Tengo un servidor OpenVPN en funcionamiento instalado en la instancia EC2 dentro de mi VPC. Se utiliza para permitir que los usuarios remotos accedan a servicios dentro de una subred privada. Ha sido una solución suficiente hasta ahora, pero actualmente todos los clientes se ven como una IP de servidor VPN.
¿Es posible configurar el servidor OpenVPN en la instancia EC2 y asignar direcciones IP (preferiblemente estáticas por usuario) a los clientes?
Digamos que tengo una 10.0.0.0/16VPC con 10.0.10.0/24subred A, 10.0.11.0/24subred B. Me gustaría asignar direcciones IP de la subred 2 a clientes VPN.
Respuesta1
En realidad, estás utilizando la opción NATed (predeterminada), lo que significa que todos los clientes serán vistos como el propio servidor OpenVPN.
Podrías usar la otra opción que es Enrutado. En este caso, a sus clientes se les asignarán direcciones IP de un rango que usted defina (10.0.11.0/24 de su ejemplo). Asegúrese de que esta subred (10.0.11.0/24) no exista en su VPC o OMLY su servidor OpenVPN esté ubicado en esta subred.
Lo único que debe tener en cuenta es que sus instancias en la subred privada a la que acceden sus usuarios deben saber cómo llegar a las direcciones IP de sus usuarios (10.0.11.0/24 en este caso) porque AWS no No sabemos dónde enrutar el tráfico destinado a esta "nueva" subred, por lo que será descartado.
La solución para esto es:
- Agregue una ruta a su tabla de enrutamiento de AWS (en su subred privada) para enviar todo el tráfico destinado a 10.0.11.0/24 a su servidor OpenVPN.
- Deshabilite la verificación de origen/destino en su instancia de servidor OpenVPN
- Asegúrese de que el grupo de seguridad de su instancia de servidor OpenVPN permita el tráfico desde 10.0.11.0/24
- Si está utilizando NACL, asegúrese de no bloquear también este tráfico.