AWS VPC의 퍼블릭 서브넷에 있는 Bastion 인스턴스에 OpenVPN 서버를 구성했습니다. 지금은 OpenVpn 클라이언트를 사용하여 해당 인스턴스의 개인 IP 주소에 액세스할 수 있지만다른 프라이빗 서브넷에서 실행되는 EC2 인스턴스에 액세스VPC에서.
내 server.conf 파일은 다음과 같습니다.
port 1194
# TCP or UDP server?
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
;topology subnet
server 10.8.0.0 255.255.255.0
;client-config-dir ccd
route 10.10.0.0 255.255.0.0
route 10.10.12.0 255.255.255.0
route 10.10.52.0 255.255.255.0
route 10.10.51.0 255.255.255.0
push "route 10.10.0.0 255.255.0.0"
push "route 10.10.12.0 255.255.255.0"
push "route 10.10.11.0 255.255.255.0"
push "route 10.10.51.0 255.255.255.0"
push "route 10.10.52.0 255.255.255.0"
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
client-to-client
#keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
user nobody
group nobody
status openvpn-status.log
verb 3
내 네트워킹 지식이 적절한 수준이 아니기 때문에 누군가 이 문제를 해결하는 방법을 알고 있다면 매우 좋을 것입니다.
감사해요
답변1
내 VPC에 OpenVPN 서버로 Mikrotik Cloud RouterOS가 여러 개 있고 작동하는 데에도 시간이 걸렸습니다.
귀하의 인프라와 현재 문제가 무엇인지 명확하게 알 수는 없지만귀하의 클라이언트는 이미 OpenVPN 서버에 연결할 수 있지만 다른 개인 EC2 서버에는 연결할 수 없다고 가정합니다.
귀하의 클라이언트 IP 풀(10.8.0.0/24)이 OpenVPN 서버 내부 IP(10.10.0.0/16)와 다른 것으로 확인되었습니다. 이는 VPC 라우팅 테이블이 어떤 서브넷이 10.8.0.0/24인지, 해당 트래픽을 어디로 라우팅할지 모르기 때문에 VPC 라우팅을 복잡하게 만듭니다.
이 문제를 해결한 방법은 패킷이 OpenVPN 서버를 떠날 때 내 클라이언트 트래픽(예: IP 10.8.0.100)이 OpenVPN 서버(예: IP 10.10.0.100)로 가장되도록 NAT를 적용하는 것이었습니다. 이렇게 하면 개인 EC2 서버가 항상 OpenVPN 서버를 통해 라우팅됩니다.
확인해야 할 몇 가지 사항:
EC2 보안 그룹이 트래픽을 허용하고 있습니다.
VPC 서브넷은 라우팅 테이블과 연결되어 있습니다.
VPC 라우팅 테이블에는 해당 경로가 설정되어 있습니다.
NAT가 발생하는 경우 EC2 소스/대상 확인이 비활성화됩니다.
대체 솔루션은 모든 10.8.0.0/24 트래픽이 OpenVPN 서버로 전송되도록 경로 테이블을 설정하는 것일 수 있지만 이 경로로 가면 행운을 빕니다.