Вопросы Теги

Подключен к Windows Server 2016 VPN на AWS, но не может проверить связь с ресурсами в VPC

Я выполнил это руководство , чтобы настроить VPN на экземпляре Windows Server 2016 в EC2 только с одним сетевым интерфейсом и назначенным эластичным IP-адресом. . Мне удалось успешно подключить свою macOS к VPN с помощью L2TP / IPSEC и получить IP-адрес в пределах статического диапазона, установленного на сервере VPN. Указанный IP-адрес находится в диапазоне подсети, в которой находится VPN-сервер. Но я не смог пропинговать какие-либо ресурсы в VPC, включая адреса VPN-сервера.

Для большей ясности, вот пример IP-адресов после подключения VPN:

  • VPC CIDR: 172.31.0.0/16[12210 sizesAZ диапазон подсети: 172.31.0.0/24
  • Внутренний IP-адрес VPN-сервера: 172.31.0.10
  • macOS IP в VPN: 172.31.0.20

macOS также настроен на маршрутизацию всего трафика через VPN.

Чтобы изолировать проблему, я временно отключил брандмауэры сервера и разрешил весь трафик через систему безопасности к VPN-серверу, но по-прежнему не может проверить связь или подключиться к каким-либо ресурсам внутри VPC. Я также отключил проверку источника / назначения на экземпляре EC2, но безрезультатно.

Мне нужно, чтобы наездники использовали Windows и Mac для доступа к ресурсам внутри VPC с помощью безопасной VPN. Мы решили использовать Windows Server VPN, чтобы упростить аутентификацию в Active Directory.

Я не уверен, что делаю неправильно. Может ли кто-нибудь дать мне направление, что я могу проверить дальше? Заранее спасибо!

2
задан 31 July 2017 в 04:26
1 ответ

Наконец-то я нашел правильные шаги по созданию VPN на сервере Windows Server 2016 в AWS. Подключившись, клиент получает доступ к ресурсам внутри VPC и, тем не менее, к Интернету. Вот полный список шагов, как это было сделано для интересующихся.

  1. Настройка экземпляра и необходимых интерфейсов:

    • Вращение экземпляра Windows Server 2016 в EC2 с 1 сетевым интерфейсом с публичным IP.
    • Отключение проверки источника/назначения на экземпляре. Убедитесь, что группа безопасности разрешает RDP с вашего IP-адреса на сервер.
    • Подключитесь к экземпляру и создайте шлейф, адаптированный для работы в качестве второго сетевого интерфейса, следуя этой ошибке сервера answer.
    • Разрешите следующие UDP-порты в группе безопасности сервера: 500 4500 1701
    • Разрешите протокол ESP в группе безопасности сервера.

  2. Настройка маршрутизации и сервера удаленного доступа:

    • Следуйте этому руководству для настройки RRAS до шага 9. Включите Маршрутизацию вместе с VPN.
    • На шаге настройки выберите Удаленный доступ (dial-up или VPN).
    • Поставьте галочку на VPN и нажмите Далее.
    • Выберите сетевой интерфейс, подключенный к Интернету. Это будет сетевое устройство AWS PV. Снимите флажок Включить функцию безопасности, так как это заблокирует ваш доступ к RDP. Блокируйте RDP позже, используя группу безопасности.
    • В присвоении IP-адресов выберите From a specified range of addresses (Из заданного диапазона адресов).
    • Установите статический диапазон IP-адресов, который будет передаваться подключающимся клиентам. Первый IP-адрес в этом диапазоне будет назначен VPN-серверу в качестве шлюзового адреса. В моем случае, я только что использовал 192.168.100.1-192.168.100.254.
    • Radius Server? Нет. Тогда нажмите Готово. Вы можете потерять соединение с сервером на несколько минут.

  3. Setup L2TP:

    • Щелкните правой кнопкой мыши по имени сервера и выберите Properties.
    • Щелкните вкладку Security tab.
    • Установите флажок Allow custom IPSEC policy then set the Pre-Shared Key.
    • Щелкните OK для сохранения настроек.
    • Щелкните правой кнопкой мыши по имени сервера.
    • Щелкните правой кнопкой мыши по имени сервера. Выберите Все задачи, затем нажмите Перезагрузить.

  4. Setup NAT, чтобы разрешить клиентам доступ к ресурсам AWS и Интернет:

    • Находясь в инструменте управления RRAS, нажмите на IPv4 на левой панели, затем правой кнопкой мыши щелкните на General.
    • Щелкните New Routing Protocol, затем выберите NAT. Щелкните OK.
    • Щелкните правой кнопкой мыши на NAT и выберите Новый интерфейс.
    • Выберите порт Ethernet, подключенный к Интернету (в моем случае, Ethernet 2). Выберите Публичный интерфейс, подключенный к Интернету. Установите флажок Включить NAT. Нажмите OK.
    • Щелкните еще раз правой кнопкой мыши на NAT, а затем на New Interface.
    • Выберите порт Ethernet, подключенный к шлейфовому интерфейсу (в моем случае Ethernet). Выберите Частный интерфейс, подключенный к частной сети. Нажмите OK.

  5. Подключение с помощью клиента, совместимого с L2TP.

3
ответ дан 3 December 2019 в 10:34

Теги

Похожие вопросы