我关注了指导在 EC2 中仅使用单个网络接口和分配的弹性 IP 在 Windows Server 2016 实例上设置 VPN。我能够使用 L2TP/IPSEC 将我的 macOS 成功连接到 VPN,并获取 VPN 服务器中设置的静态范围内的 IP 地址。给定的 IP 地址在 VPN 服务器所在的子网范围内。但是,我无法 ping VPC 中的任何资源,包括 VPN 服务器的地址。
为了更清楚起见,以下是 VPN 连接后的 IP 地址示例:
- VPC CIDR:172.31.0.0/16
- AZ 子网范围:172.31.0.0/24
- VPN 服务器内部 IP:172.31.0.10
- VPN 中的 macOS IP:172.31.0.20
macOS 也设置为通过 VPN 路由所有流量。
为了隔离问题,我暂时禁用了服务器防火墙,并允许所有流量通过安全组到达 VPN 服务器,但仍然无法 ping 或连接到 VPC 内的任何资源。我还禁用了 EC2 实例上的源/目标检查,但无济于事。
我需要让使用 Windows 和 Mac 的旅途人员使用安全 VPN 访问 VPC 内的资源。我们决定使用 Windows Server VPN,这样更容易通过 Active Directory 进行身份验证。
我不确定我做错了什么。有人能告诉我下一步该检查什么吗?提前谢谢!
答案1
终于找到了如何在 AWS 上的 Windows Server 2016 上创建 VPN 的正确步骤。连接后,客户端可以访问 VPC 内的资源,并且仍然可以访问 Internet。以下是有关如何完成此操作的完整步骤列表,供感兴趣的人参考。
设置实例和所需的接口:
- 在 EC2 中启动一个具有 1 个带公共 IP 的网络接口的 Windows Server 2016 实例。
- 禁用实例上的源/目标检查。确保安全组允许从您的 IP 地址到服务器的 RDP。
- 连接到实例并按照此 serverfault 创建一个适合用作第二个网络接口的环回回答。
- 在服务器的安全组中允许以下UDP端口:500,4500,1701
- 在服务器的安全组中允许ESP协议。
设置路由和远程访问服务器:
- 关注此指导设置 RRAS直到第 9 步. 包括与 VPN 一起的路由。
- 在配置步骤中,选择远程访问(拨号或VPN)。
- 勾选 VPN,然后单击“下一步”。
- 选择连接到 Internet 的网络接口。这将是 AWS PV 网络设备。取消选中启用安全功能,因为它将阻止您的 RDP 访问。稍后使用安全组阻止 RDP。
- 在 IP 地址分配上,选择来自指定范围的地址。
- 设置要分配给连接客户端的静态 IP 范围。范围内的第一个 IP 将分配给 VPN 服务器作为网关地址。在我的例子中,我仅使用了 192.168.100.1-192.168.100.254。
- Radius 服务器?没有。然后单击“完成”。您可能会在几分钟内失去与服务器的连接。
设置L2TP:
- 右键单击服务器名称,然后单击“属性”。
- 单击“安全”选项卡。
- 勾选允许自定义 IPSEC 策略然后设置预共享密钥。
- 单击“确定”保存设置。
- 右键单击服务器名称。选择所有任务,然后单击重新启动。
设置 NAT 以允许客户端访问 AWS 资源和 Internet:
- 仍在 RRAS 管理工具中时,单击左侧面板上的 IPv4,然后右键单击常规。
- 单击“新路由协议”,然后选择“NAT”。单击“确定”。
- 右键单击 NAT,然后单击新建接口。
- 选择连接到互联网的以太网端口(我这里是以太网 2)。选择连接到互联网的公共接口。勾选启用 NAT。点击确定。
- 再次右键单击 NAT,然后单击新建接口。
- 选择连接到环回接口的以太网端口(在我的情况下是以太网)。选择连接到专用网络的专用接口。单击确定。
使用 L2TP 兼容客户端进行连接。