Назад | Перейти на главную страницу

Подключен к Windows Server 2016 VPN на AWS, но не может проверить связь с ресурсами в VPC

Я следил за этим руководство для настройки VPN на экземпляре Windows Server 2016 в EC2 только с одним сетевым интерфейсом и назначенным эластичным IP-адресом. Я смог успешно подключить свою macOS к VPN с помощью L2TP / IPSEC и получить IP-адрес в пределах статического диапазона, установленного на сервере VPN. Указанный IP-адрес находится в диапазоне подсети, в которой находится VPN-сервер. Но я не мог пинговать какие-либо ресурсы в VPC, включая адреса VPN-сервера.

Чтобы было понятнее, вот образец IP-адресов после подключения VPN:

MacOS также настроена на маршрутизацию всего трафика через VPN.

Чтобы изолировать проблему, я временно отключил брандмауэры сервера и разрешил весь трафик через группу безопасности к серверу VPN, но по-прежнему не мог проверить связь или подключиться к каким-либо ресурсам внутри VPC. Я также отключил проверку источника / назначения на экземпляре EC2, но безрезультатно.

Мне нужны дорожные воины, использующие Windows и Mac для доступа к ресурсам внутри VPC, используя безопасный VPN. Мы решили использовать Windows Server VPN, чтобы упростить аутентификацию в Active Directory.

Я не уверен, что делаю не так. Может ли кто-нибудь дать мне направление, что я могу проверить дальше? Заранее спасибо!

Наконец-то нашли правильные шаги по созданию VPN на Windows Server 2016 в AWS. После подключения клиент может получить доступ к ресурсам в VPC и по-прежнему иметь доступ к Интернету. Вот полный список шагов, как это было сделано для заинтересованных.

  1. Настройте экземпляр и необходимые интерфейсы:

    • Разверните экземпляр Windows Server 2016 в EC2 с 1 сетевым интерфейсом с общедоступным IP-адресом.
    • Отключите проверку источника / назначения для экземпляра. Убедитесь, что группа безопасности разрешает RDP с вашего IP-адреса на сервер.
    • Подключитесь к экземпляру и создайте петлю, адаптированную для работы в качестве второго сетевого интерфейса, следуя этой ошибке сервера ответ.
    • Разрешить следующие порты UDP в группе безопасности сервера: 500,4500,1701
    • Разрешить протокол ESP в группе безопасности сервера.

  2. Настройка сервера маршрутизации и удаленного доступа:

    • Следить за этим руководство настроить RRAS до Шага 9. Включите маршрутизацию вместе с VPN.
    • На этапе настройки выберите Удаленный доступ (коммутируемое соединение или VPN).
    • Поставьте галочку на VPN и нажмите Далее.
    • Выберите сетевой интерфейс, подключенный к Интернету. Это будет сетевое устройство AWS PV. Снимите флажок Включить функцию безопасности, поскольку она заблокирует ваш доступ по RDP. Заблокируйте RDP позже, используя группу безопасности.
    • В разделе «Назначение IP-адреса» выберите «Из указанного диапазона адресов».
    • Установите статический диапазон IP-адресов, который будет предоставлен подключающимся клиентам. Первый IP-адрес в диапазоне будет назначен VPN-серверу в качестве адреса шлюза. В моем случае я просто использовал 192.168.100.1-192.168.100.254.
    • Радиус-сервер? Нет. Затем нажмите «Готово». Вы можете потерять соединение с сервером на несколько минут.

  3. Настройка L2TP:

    • Щелкните правой кнопкой мыши имя сервера и выберите "Свойства".
    • Щелкните вкладку безопасности.
    • Установите флажок Разрешить настраиваемую политику IPSEC, затем установите предварительный общий ключ.
    • Нажмите ОК, чтобы сохранить настройки.
    • Щелкните правой кнопкой мыши имя сервера. Выберите «Все задачи» и нажмите «Перезагрузить».

  4. Настройте NAT, чтобы разрешить клиентам доступ к ресурсам AWS и Интернету:

    • Находясь в инструменте управления RRAS, щелкните IPv4 на левой панели, затем щелкните правой кнопкой мыши Общие.
    • Щелкните New Routing Protocol, затем выберите NAT. Щелкните ОК.
    • Щелкните правой кнопкой мыши NAT, затем выберите New Interface.
    • Выберите порт Ethernet, подключенный к Интернету (в моем случае Ethernet 2). Выберите Открытый интерфейс, подключенный к Интернету. Поставьте галочку Enable NAT. Щелкните ОК.
    • Снова щелкните правой кнопкой мыши NAT, затем выберите New Interface.
    • Выберите порт Ethernet для подключения к интерфейсу обратной петли (в моем случае Ethernet). Выберите Частный интерфейс, подключенный к частной сети. Щелкните ОК.

  5. Подключитесь с помощью клиента, совместимого с L2TP.