主要问题是一旦连接了 vpn,我就无法连接到内部 ec2 实例或网络。
首先,我不擅长网络和设置,并且已经阅读了文档以解决尽可能多的问题。我正在寻找更多帮助,因为我花了几天时间进行设置,但无法弄清楚 AWS VPC 的路由配置。
VPC1: IPv4 CIDR 172.44.0.0/16
子网(全部为公共):
172.44.1.0/24 [主子网](以下有路线表)
172.44.2.0/24
172.44.0.0/24
路由表:
172.44.0.0/16[已修复拼写错误,第 30 行改为第 44 行] 本地 活跃 否
0.0.0.0/0 igw-60f33005 活动否
- 虚拟专用网关 - 路由传播 = 是
互联网网关设置VPC1
NAT 网关:
- 34.110.17.48(这不是实际 IP) 172.44.1.117 VPC1 [主子网]subnet-7xxxxx
EC2 信息:
实例:
- 弹性 IP:28.14.134.60(这不是实际 IP)
SG->
- 自定义 UDP 规则 UDP 1194 0.0.0.0/0
- SSH TCP 22 0.0.0.0/0
- 所有 ICMP - IPv4 所有 N/A 0.0.0.0/0
服务器配置文件
port 1194
proto udp
dev tun
server 172.44.0.0 255.255.0.0
push "route 28.14.134.60 255.255.0.0"
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
cipher AES-256-CBC
auth SHA512
ifconfig-pool-persist ipp.txt
keepalive 15 60
comp-lzo adaptive
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log
verb 3
max-clients 100
user nobody
group nogroup
key-direction 0
# Add route to Client routing table for the OpenVPN Server
push "route 172.44.0.0 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
# This is probably wrong
push "route 10.8.0.0 255.255.0.0"
ufw:
- ufw 允许 1194/udp
- ufw 允许 OpenSSH
vim /etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to wlp11s0 (change to the interface you discovered!)
-A POSTROUTING -s 172.44.0.0/16 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
...
我需要帮助的是确认网关和路由的设置。欢迎提供任何提示或完整更正!!
答案1
在您的问题中,您提到了 VPN 连接,但您的路由表通过 Internet 网关发送流量 0.0.0.0/0,对吗?
您描述的路由表正确吗?如果您使用的是 VPC1:ipv4 CIDR 172.44.0.0/16,则路由表中的第一个条目应该是:
172.44.0.0/16 本地,而非 172.30.0.0/16 本地
确保您正在查看正确的路由表,并确保它具有本地路由和 0.0.0.0/0 IGW 路由。
另请检查:
- 链接到 VPC 的 NACL 未阻止您的流量(入站和出站)
- 没有操作系统防火墙规则阻止连接
- 您的安全组允许正确的流量(入站)