使用 AWS 在单独的子网上设置 RRAS VPN

使用 AWS 在单独的子网上设置 RRAS VPN

基本布局:

  • VPC 的 IP 范围为 10.0.0.0/16
  • 子网 10.0.0.0/24 上有 2 个 EC2
    • 首先使用 RRAS 向 VPN 客户端提供 IP 地址(范围 10.0.4.0/24)
    • 第二台只是一台接收 ping 的测试机器
  • 与本问题无关的其他子网10.0.1.0/24等

IP 地址:

RRAS Server LAN side:   10.0.0.5
Test machine:           10.0.0.6
RRAS Server VPN Side:   10.0.4.10
Client #1:              10.0.4.11

VPN规格:

远程客户端只能使用 VPN 访问 10.0.0.0/24 子网上的计算机,而不能通过 VPN 浏览互联网。这将要求客户端设置拆分隧道,这是可以的。

问题:

当前的问题在于,我无法让 ping 数据包到达我想要的位置。我在两台机器上都设置了 Wireshark,但数据包就是无法到达测试机器。

Ping 示例:

Client #1:
a. ping 10.0.0.5     [success]
b. ping 10.0.4.10    [success]
c. ping 10.0.0.6     [fail]

ping c在 RRAS 端的 Wireshark 中看到了 ping,但在测试机器上从未收到过。Wireshark 给出错误:“未找到响应!”

我认为我错误配置了 VPC,因此来自 10.0.4.0/24 子网的数据包可能是:

  1. 由于来自意外子网而被 VPC 丢弃,或者
  2. 没有路由来告诉 VPC 将它们发送到哪里,所以它们只是迷路了

通过启用公共 NAT 我已经能够使其正常工作,但是我们不希望所有员工都通过此 VPN 连接到互联网并产生大量的数据传输费用。

答案1

事实证明我只需要在 EC2 控制台中禁用源/目标检查。

可以通过选择 EC2 实例,然后从“操作”菜单中选择“网络”>“更改源/目标检查”来完成此操作


编辑:

其他一些改变包括

  1. VPN 子网更改为 10.1.0.0/24(VPC 之外)
  2. 已添加到 VPC 的路由将 10.1.0.0/24 指向 VPN 实例

相关内容