ปัญหาหลักคือฉันไม่สามารถเชื่อมต่อกับอินสแตนซ์ ec2 ภายในหรือเครือข่ายได้เมื่อเชื่อมต่อ VPN แล้ว

ดังนั้นเพื่อนำสิ่งนี้ ฉันไม่เก่งเรื่องการสร้างเครือข่ายและตั้งค่านี้ และได้อ่านเอกสารเพื่อแก้ไขให้มากที่สุดเท่าที่ฉันจะทำได้ ฉันกำลังมองหาความช่วยเหลือเพิ่มเติมเนื่องจากฉันใช้เวลาสองสามวันในการตั้งค่านี้ และไม่สามารถทราบการกำหนดค่าการกำหนดเส้นทางสำหรับ AWS VPC

VPC1 : ipv4 CIDR 172.44.0.0/16

ซับเน็ต (สาธารณะทั้งหมด):

  • 172.44.1.0/24 [เครือข่ายย่อยหลัก] (มีตารางเส้นทางด้านล่าง)

  • 172.44.2.0/24

  • 172.44.0.0/24

ตารางเส้นทาง:

  • 172.44.0.0/16 [พิมพ์ผิด 30 ถึง 44]ท้องถิ่น Active No

  • 0.0.0.0/0 igw-60f33005 ไม่มีการใช้งาน

    • เกตเวย์ส่วนตัวเสมือน - การขยายเส้นทาง = ใช่

การตั้งค่าเกตเวย์อินเทอร์เน็ตสำหรับVPC1

แนทเกตเวย์:

  • 34.110.17.48 (นี่ไม่ใช่ IP จริง) 172.44.1.117 VPC1 [ซับเน็ตหลัก]subnet-7xxxxx

ข้อมูล EC2:

ตัวอย่าง:

  • Elastic ip: 28.14.134.60 (นี่ไม่ใช่ IP จริง)

SG->

  • กฎ UDP แบบกำหนดเอง UDP 1194 0.0.0.0/0
  • SSH TCP 22 0.0.0.0/0
  • ICMP ทั้งหมด - IPv4 ทั้งหมด N/A 0.0.0.0/0

Server.conf

port 1194
proto udp
dev tun
server 172.44.0.0 255.255.0.0
push "route 28.14.134.60 255.255.0.0"
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
cipher AES-256-CBC
auth SHA512
ifconfig-pool-persist ipp.txt
keepalive 15 60
comp-lzo adaptive
persist-key
persist-tun
status openvpn-status.log
log-append  /var/log/openvpn.log
verb 3
max-clients 100
user nobody
group nogroup
key-direction 0

# Add route to Client routing table for the OpenVPN Server
push "route 172.44.0.0 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
# This is probably wrong
push "route 10.8.0.0 255.255.0.0"

ยูเอฟ:

  • ufw อนุญาต 1194/udp
  • ufw อนุญาต OpenSSH

กลุ่ม /etc/ufw/before.rules

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#


# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to wlp11s0 (change to the interface you discovered!)
-A POSTROUTING -s 172.44.0.0/16 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

...

สิ่งที่ฉันต้องการความช่วยเหลือคือการยืนยันการตั้งค่าเกตเวย์และการกำหนดเส้นทาง น้อมรับคำแนะนำติชมหรือแก้ไขเต็มๆ!!

answer

ในคำถามของคุณ คุณพูดถึงการเชื่อมต่อ VPN แต่ตารางเส้นทางของคุณกำลังส่งทราฟฟิก 0.0.0.0/0 ผ่านอินเทอร์เน็ตเกตเวย์ ถูกต้องไหม

ตารางเส้นทางที่คุณอธิบายถูกต้องหรือไม่ หากคุณใช้ VPC1: ipv4 CIDR 172.44.0.0/16 รายการแรกในตารางเส้นทางควรเป็น:

172.44.0.0/16 Local และไม่ใช่ 172.30.0.0/16 Local

ตรวจสอบให้แน่ใจว่าคุณกำลังดูตารางเส้นทางที่ถูกต้อง และตรวจสอบว่ามีเส้นทางในพื้นที่และเส้นทาง 0.0.0.0/0 IGW

ตรวจสอบด้วยว่า:

  1. NACL ที่เชื่อมโยงกับ VPC ไม่ได้ปิดกั้นการรับส่งข้อมูลของคุณ (ขาเข้าและขาออก)
  2. ไม่มีกฎไฟร์วอลล์ของระบบปฏิบัติการที่บล็อกการเชื่อมต่อ
  3. ที่กลุ่มความปลอดภัยของคุณอนุญาตการรับส่งข้อมูลที่ถูกต้อง (ขาเข้า)