Программное VPN-подключение к частному экземпляру Amazon AWS VPC [закрыто]

У меня есть экземпляр Virtual Private Cloud (VPC) в Amazon AWS. Внутри VPC у меня есть частный экземпляр, который выполняет базу данных, и открытый экземпляр, который имеет интерфейсные веб-страницы для доступа к базе данных.

Нет возможности войти в приватный экземпляр напрямую извне, так как у него нет публичного ip. Тем не менее, я могу войти в него из публичного экземпляра, используя его частный IP-адрес.

Я хочу создать VPN-шлюз внутри моего VPC, который позволит мне напрямую подключаться к частному экземпляру извне, используя программные VPN, такие как OpenVPN или OpenSwan.

Мои вопросы -

Это вообще возможно?
Если да, каковы шаги для настройки этого механизма?

Заранее спасибо.

— tilmik
источник

С этой проблемой каждый день сталкиваются разработчики, работающие над проектами AWS. Литература Amazon не так плоха, как «плохие старые времена» Oracle, но незначительна. То есть, они минимальны и непрозрачны для новичков в проблемах VPC, сетей, DNS и т. Д., Которые создает «виртуальный центр обработки данных», такой как AWS VPC. Таким образом, чтобы заблокировать вопрос, сказав: «Вы не знаете достаточно, чтобы правильно задать вопрос», блокируется множество начинающих разработчиков, которые составляют значительную часть целевой аудитории этого сайта, а также Amazon / Rackspace / et al. С VPN сложно работать, особенно в качестве клиента, а не сети к сети.

— Деннис

Этот вопрос должен быть вновь открыт. Нет хорошей документации о том, как сделать это с openswan, и openvpn не подходит для долгосрочного использования при использовании 2fa.

— Йорфус

+1 за повторное открытие вопроса ...

— Джастин Солиз

Да, это возможно:

вам нужно сделать следующее:

1- Установите сервер openvpn на публичный экземпляр.

Настройте сервер openvpn для отправки маршрутов или диапазона IP-адресов вашего частного экземпляра.

  in the config file add:
  Assuming the private range is 192.168.1.0/24

  push "route 192.168.1.0 255.255.255.0"

Разрешить трафик из трафика VPN в частный экземпляр, используя iptables.

2- Создайте один или переместите vpn-клиенты и наслаждайтесь прямым подключением.

Если вам нужны какие-либо подробности из вышеперечисленного, я буду рад помочь.

— MohyedeenN
источник

Спасибо за ответ. Я настроил шлюз IPSEC / L2TP на одном из общедоступных экземпляров EC2, но я борюсь с клиентской частью VPN. Можете ли вы предложить VPN-клиент, который может использовать IPSEC / L2TP / PPP? Если это не сработает, я попробую ваше предложение с OpenVPN.

— tilmik

На самом деле из клиента ipsec-l2tp vpn по умолчанию я получаю следующую ошибку - «Ошибка 230: шлюз по умолчанию не найден или не удалось записать информацию о шлюзе по умолчанию». В чем может быть проблема?

— tilmik

я не знаком с ipsec vpn, я использую openVPN

— MohyedeenN

@MohyedeenN, у меня похожие мысли. У меня вопрос. Помимо того, что вы предложили выше, мне нужно настроить правила групп безопасности VPC, чтобы разрешить трафик с VPN-сервера (в подсети pub) на другие ресурсы (в частной подсети). И также правила группы безопасности в частной подсети для приема трафика от VPN-сервера в подсети Pub? Это звучит логично для меня, хотя. Спасибо. и +1.

— Slayedbylucifer

@slayedbylucifer, наверняка вам нужно разрешить необходимые порты в группах безопасности, также используя iptables, если вы применяете какие-либо правила в сочетании с группами безопасности, вы правы, это совершенно логично :)

— MohyedeenN