L2TP Issues AWS EC2

Похоже, это была проблема маршрутизации на самом сервере AWS EC2, я следовал старому сообщению на форумах AWS: https://forums.aws.amazon.com/thread.jspa?messageID=487251. Последнее сообщение в этой теме - это то, чему я следовал, и все заработало как ожидалось, я добавил его сообщение сюда, чтобы его можно было сохранить на случай, если ссылка потеряется. Трюк для меня заключался в добавлении статического маршрута, так как я уже сделал большую часть этого сообщения, или оно не было применимо в моей ситуации.

Немного поздновато, поскольку этому посту почти 2 года; однако, мы только что закончили настройку RRAS w/L2TP IPSEC VPN & NAT на экземпляре Win2012. экземпляре Win2012. Надеюсь, это поможет всем остальным, кто случайно найдет дорогу к этой теме.

Эта настройка довольно открытая, и вы захотите заблокировать свои ACL и SecGroups после того, как все заработает; однако, это должно помочь вам

ПРИМЕЧАНИЕ: ^ = щелчок правой кнопкой мыши

Необходимые условия:

1. интернет-шлюз
2. VPC с одной или несколькими подсетями (мы используем две - одна исключительно для RRAS, другая - для LAN-сервера).
3. Экземпляр Windows 2012 (наш сервер RRAS) с 2 сетевыми интерфейсами. Назначьте статические IP на каждый интерфейс (у нас есть последовательные IP, но не уверены, что это необходимо). Прикрепите и EIP к Eth0. Отключите SRC/DEST проверку на каждом интерфейсе (примечание: по моему опыту, отключение SRC/DEST на экземпляре влияет только на Eth0. Лучше сделать это вручную на каждом интерфейсе).
4. Экземпляр Windows 2012 (наш сервер локальной сети) с 1 сетевым интерфейсом, назначен статический IP
5. Сервер RRAS подключен к вашему домену (почти уверен, что это требуется для RRAS, но это определенно требуется для нашей установки, так как пользователи VPN аутентифицируются в AD). У вас уже должны быть настроены ACLs и SG настройки, позволяющие серверу RRAS взаимодействовать с вашим DC(s).

Настройте ACL (для тестирования мы применили ACL к обеим подсетям RRAS и подсети LAN) Входящие: Порт 3389 (RDP); TCP; ВАШ IP-адрес или диапазон IP-адресов. (это для целей управления; может быть удален или изменен после того, как ваша VPN работает) Входящие: Все; Все; Все; Все; подсеть VPC (для NAT) Входящие: Порт 500; UDP; 0.0.0.0/0; Разрешить (для VPN) Входящие: Порт 4500; UDP; 0.0.0.0/0; Разрешить (для VPN) Входящие: Все; ESP (50); 0.0.0.0/0; Разрешить (для VPN) Входящие: 1701; UDP; 0.0.0.0/0; Разрешить (для VPN) Входящие: Диапазон 49152-65535; TCP & UDP; 0.0.0.0/0; Разрешить (ответы на трафик локальной сети) Исходящие: Все; Все; 0.0.0.0/0; Разрешить (для NAT и VPN)

Настройка группы безопасности для сервера RRAS Входящие: Все; Все; LAN SG ID Входящие: TCP; 3389 (RDP); ВАШ IP или диапазон IP (также для целей управления; может быть удален или изменен после запуска вашей VPN) Входящие: -- Входящие: UDP; 500; 0.0.0.0/0 Входящие: UDP; 1701; 0.0.0.0/0 Входящие: UDP; 4500; 0.0.0.0/0 Входящие: ESP (50); ALL; 0.0.0.0/0 Исходящие: All; All; 0.0.0.0/0

Настройка группы безопасности для сервера LAN Inbound: Все; Все; RRAS SG ID Входящие: TCP; 3389 (RDP); ВАШ IP или диапазон IP (также для целей управления; может быть удален или изменен после запуска VPN) Исходящие: Все; Все; 0.0.0.0/0

Настройка таблицы маршрутов для сервера RRAS (мы используем главный rtb) VPN Подсеть; локальный; активный 0.0.0.0/0; IGW ID; active

Настраиваем таблицу маршрутов для LAN сервера (требуется для NAT) VPN Subnet; локальный; активный 0.0.0.0/0; RRAS Eth1 interface ID; active На данном этапе вы должны иметь возможность RDP на оба сервера с локальной машины, а также с одного сервера на другой. одного сервера на другой. Кроме того, сервер RRAS должен иметь возможность зайти на публичный сайт (например, Google), а сервер LAN - нет. Теперь о том, как все это объединить:

Установите маршрутизацию и удаленный доступ на ваш сервер RRAS

Менеджер сервера > Добавить роли и функции > Удаленный доступ на основе ролей (примите значения по умолчанию) Когда появится запрос, включите службы роли Routing

Настройте службы Routing и Remote Access Примечание: мы используем PSK и статический пул адресов для этого упражнения; ваша окончательная конфигурация может отличаться отличаться Маршрутизация и удаленный доступ ^ Имя сервера > Настроить и включить Маршрутизация и удаленные службы Пользовательская конфигурация > VPN доступ, NAT

Маршрутизация и удаленный доступ ^ Имя сервера > Свойства Безопасность > Методы аутентификации > Снять флажок EAP (это вызвало ненужные головной боли) Установите: Разрешить пользовательскую политику IPsec для L2TP/IKEv2 > ввести PSK

Маршрутизация и удаленный доступ > Имя сервера > IPv4 Выбрать статический адрес Пул и введите соответствующий диапазон [Примечание: мы решили использовать IP-адреса из подсети подсети RRAS, хотя любой частный диапазон IP адресов должен работать, при условии, что нет вероятности того, что IP будет конфликтовать с IP экземпляра в вашего VPC)

Маршрутизация и удаленный доступ > Имя сервера > IPv4 ^ NAT > Новый интерфейс > Ethernet (это должен быть Eth0 - проверьте по IP) Выберите: Публичный интерфейс подключенный к интернету Проверьте: Включить NAT на этом устройстве

Маршрутизация и удаленный доступ > Имя сервера > IPv4 ^ NAT > Новый интерфейс > Ethernet 2 (это должен быть Eth1 - проверьте по IP) Выберите: Private интерфейс, подключенный к частной сети Хорошо, это позаботится о Маршрутизация и удаленные службы; но это еще не работает. Помните тот "ву-ду", о котором я говорил? Пора подправить сервер RRAS до подчинения...

Voo-doo Item #1 (спасибо, поддержка AWS, за то, что предоставили это только после моего 5-го обращения в поддержку)

RegEdit > HKLM\SYSTEM\CurrentControlSet\Services\Tcpip ^ Parameters > Новый DWORD: DisableTaskOffload ^ DisableTaskOffload > Изменить > Значение данные: 1

Voo-doo Пункт №2 (спасибо, Comcast, за то, что испортил мою домашнюю сеть на этой неделе и дал мне момент AHA, который наконец-то заставил NAT работать) Маршрутизация и удаленный доступ > Имя сервера > IPv4 ^ Статические маршруты > Новый статический маршрут > Интерфейс: Ethernet (т.е. Eth0); Назначение: 0.0.0.0; Сетевая маска: 0.0.0.0; Шлюз: Шлюз по умолчанию сервера RRAS (возьмите из IPCONFIG/ALL); Метрика: 1 Маршрутизация и удаленный доступ > Сервер Имя > IPv4 ^ Статические маршруты > Новый статический маршрут > Интерфейс: Ethernet 2 (т.е. Eth1); Назначение: Подсеть VPC; Сетевая маска: Маска подсети VPC; Шлюз: Шлюз по умолчанию сервера RRAS; Метрика: 1

Наконец, клиентская машина. В нашем случае, Win7x64, но также работает на Win8x64:

1. Создание VPN-соединения Центр управления сетями и общим доступом > Настройка нового соединения или сети > Подключение к рабочему месту Создание нового соединения

Использовать мой интернет Подключение Адрес Интернета: RRAS EIP Имя назначения: Проверьте: Не подключаться сейчас; просто настройте его так, чтобы я мог подключиться позже. (доверьтесь мне) Введите доменные учетные данные Создать > Закрыть

2. Настройка VPN-соединения ^ "AWS L2TP" (или как вы его назвали) > вкладка Свойства Безопасность Тип VPN: Layer 2 Шифрование данных: требуется Отменить выбор: CHAP Вкладка Advanced Использовать PSK

Voo-doo Пункт #3 (что... вы думали, что все закончилось?) RegEdit > HKLM\SYSTEM\CurrentControlSet\services\PolicyAgent ^ AssumeUDPEncapsulationContextOnSendRule > Modify > Value data: 2

Теперь вы должны быть в состоянии [a] установить L2TP VPN соединение с вашим RRAS-серверу и получить доступ к вашему LAN-серверу по частным IP и FQDN (при условии, что ваш VPC был ранее настроен на разрешение связи между RRAS и вашим DC); установить соединение с вашего сервера локальной сети к общедоступным ресурсам. Tracert должен подтвердить, что трафик проходит через сервер RRAS.

Вот и все. Легко и просто, VPC...sy?

Последнее слово: ACLs и SG настройки довольно слабые на данный момент, как я уже говорил ранее. Цель здесь не в том, чтобы иметь полностью безопасной сети, а в доказательстве концепции. Я настоятельно рекомендую вам подкорректировать ваши ACL и настройки SG, чтобы усилить ваш VPC, тестируя ваши соединения по ходу дела. Другими словами, я не несу ответственности - это вы несете. ;)