Программное VPN-подключение к частному экземпляру Amazon AWS VPC [закрыто]

8

У меня есть экземпляр Virtual Private Cloud (VPC) в Amazon AWS. Внутри VPC у меня есть частный экземпляр, который выполняет базу данных, и открытый экземпляр, который имеет интерфейсные веб-страницы для доступа к базе данных.

Нет возможности войти в приватный экземпляр напрямую извне, так как у него нет публичного ip. Тем не менее, я могу войти в него из публичного экземпляра, используя его частный IP-адрес.

Я хочу создать VPN-шлюз внутри моего VPC, который позволит мне напрямую подключаться к частному экземпляру извне, используя программные VPN, такие как OpenVPN или OpenSwan.

Мои вопросы -

  1. Это вообще возможно?
  2. Если да, каковы шаги для настройки этого механизма?

Заранее спасибо.

vpn amazon-web-services openvpn amazon-vpc tilmik
источник
4
С этой проблемой каждый день сталкиваются разработчики, работающие над проектами AWS. Литература Amazon не так плоха, как «плохие старые времена» Oracle, но незначительна. То есть, они минимальны и непрозрачны для новичков в проблемах VPC, сетей, DNS и т. Д., Которые создает «виртуальный центр обработки данных», такой как AWS VPC. Таким образом, чтобы заблокировать вопрос, сказав: «Вы не знаете достаточно, чтобы правильно задать вопрос», блокируется множество начинающих разработчиков, которые составляют значительную часть целевой аудитории этого сайта, а также Amazon / Rackspace / et al. С VPN сложно работать, особенно в качестве клиента, а не сети к сети.
Деннис
4
Этот вопрос должен быть вновь открыт. Нет хорошей документации о том, как сделать это с openswan, и openvpn не подходит для долгосрочного использования при использовании 2fa.
Йорфус
1
+1 за повторное открытие вопроса ...
Джастин Солиз

Ответы:

5

Да, это возможно:

вам нужно сделать следующее:

1- Установите сервер openvpn на публичный экземпляр.

Настройте сервер openvpn для отправки маршрутов или диапазона IP-адресов вашего частного экземпляра.

  in the config file add:
  Assuming the private range is 192.168.1.0/24

  push "route 192.168.1.0 255.255.255.0"

Разрешить трафик из трафика VPN в частный экземпляр, используя iptables.

2- Создайте один или переместите vpn-клиенты и наслаждайтесь прямым подключением.

Если вам нужны какие-либо подробности из вышеперечисленного, я буду рад помочь.

MohyedeenN
источник
Спасибо за ответ. Я настроил шлюз IPSEC / L2TP на одном из общедоступных экземпляров EC2, но я борюсь с клиентской частью VPN. Можете ли вы предложить VPN-клиент, который может использовать IPSEC / L2TP / PPP? Если это не сработает, я попробую ваше предложение с OpenVPN.
tilmik
На самом деле из клиента ipsec-l2tp vpn по умолчанию я получаю следующую ошибку - «Ошибка 230: шлюз по умолчанию не найден или не удалось записать информацию о шлюзе по умолчанию». В чем может быть проблема?
tilmik
я не знаком с ipsec vpn, я использую openVPN
MohyedeenN
@MohyedeenN, у меня похожие мысли. У меня вопрос. Помимо того, что вы предложили выше, мне нужно настроить правила групп безопасности VPC, чтобы разрешить трафик с VPN-сервера (в подсети pub) на другие ресурсы (в частной подсети). И также правила группы безопасности в частной подсети для приема трафика от VPN-сервера в подсети Pub? Это звучит логично для меня, хотя. Спасибо. и +1.
Slayedbylucifer
@slayedbylucifer, наверняка вам нужно разрешить необходимые порты в группах безопасности, также используя iptables, если вы применяете какие-либо правила в сочетании с группами безопасности, вы правы, это совершенно логично :)
MohyedeenN