Назад | Перейти на главную страницу

VPN с пересылкой DHCP на AWS

Я заинтересован в настройке VPN-сервера на Amazon EC2 в качестве VPN-сервера. Важно, чтобы клиенты, подключающиеся к VPN, получали IP-адрес от AWS VPC, чтобы мы могли установить подключение к любым серверам EC2 и от них к клиентам VPN.

Сценарий использования - перенос среды разработки в кластер Kubernetes, работающий в облаке, при этом при этом часть кода выполняется локально.

В настоящее время у нас есть настройка VPN с Softether, которая использует DNSMasq для предоставления локального DHCP-сервера. Наши серверы EC2 получают IP в диапазоне 10.x.x.x.x, но клиенты VPN получают IP в диапазоне 192.168.x.x. диапазон, который не позволяет серверам EC2 отправлять трафик непосредственно клиентам VPN.

Поскольку я не очень разбираюсь в сетях, я не знаю, как этого добиться. Кто-нибудь может дать мне несколько указателей?

Тот факт, что у вас есть диапазон IP-адресов VPC (EC2) 10.x.x.x (например, 10.20.0.0/16) и диапазон IP-адресов VPN 192.168.x.x (например, 192.168.123.0/24) никоим образом не мешает этим двум сетям общаться друг с другом. Однако есть несколько шагов, которые вы должны выполнить сначала.

Я понимаю, что в настоящий момент вы можете подключиться из VPN к экземплярам EC2, но не из EC2 к клиентам VPN, верно? И у тебя есть SoftEther VPN-шлюз на одном из экземпляров EC2, например на 10.20.30.40, пример i-123vpnvpn, верный?

Итак, чтобы подвести итог:

  • Диапазон IP-адресов VPC / EC2: 10.20.0.0/16
  • Диапазон IP-адресов VPN: 192.168.123.0/24
  • SoftEther шлюз: 10.20.30.40, идентификатор экземпляра i-123vpnvpn

Чтобы включить подключения от EC2 к VPN, убедитесь, что все это настроено:

  1. В Таблица маршрутов VPC должна иметь запись для 192.168.123.0/24 указывая на экземпляр SoftEther i-123vpnvpn. Это позволит Amazon узнать, что, когда экземпляры EC2 хотят общаться с IP-адресами VPN, пакеты должны направляться на SoftEther экземпляр первый.

  2. Отключить Src / Dst Проверка в конфигурации экземпляра SoftEther в консоли EC2. Экземпляры EC2 по умолчанию не могут получать трафик, который не предназначен для них, т.е. они не могут действовать как маршрутизаторы. Отключение Src / Dst Проверка снимает это ограничение и позволяет экземпляру маршрутизировать трафик между 10.20.0.0/16 и 192.168.123.0/24.

  3. Отрегулировать Конфигурация SoftEther и межсетевой экран для включения входящих подключений извне (= EC2) к VPN. Очень часто это отключено на шлюзах VPN в целях безопасности. Я не знаю SoftEther, поэтому не могу объяснить, как это сделать.

  4. Откройте SoftEther's EC2 Группа безопасности для всего трафика из 10.20.0.0/16.

  5. (Необязательно) Отключить NAT на экземпляре SoftEther. На данный момент весь трафик из VPN, вероятно, переведен из диапазона 192.168.123.0/24 в IP-адрес SoftEther EC2 10.20.30.40. Отключение NAT (трансляция сетевых адресов) откроет исходные адреса VPN экземплярам EC2.

Который должен будет достаточно, чтобы разрешить двусторонний трафик между VPC и VPN. Как видите, движущихся частей довольно много. Удачи с этим!

Надеюсь, это поможет :)