我一直在遵循这个指南来设置我的AWS架构,而不是一个SSH堡垒主机/跳转框我宁愿使用VPN。 有很多关于将VPC直接连接到客户路由器的指南,例如将办公室连接到AWS基础架构。
不过,我想让几个单独的用户可以直接从他们的笔记本电脑连接到VPN,无论他们的位置。 就像个人员工可以VPN到办公室networking一样,我想要一个解决scheme,一些用户可以直接VPN到AWS基础设施。
是否已经融入AWS,还是必须使用OpenVPN / Openswanconfiguration单独的EC2实例来处理它?
我会build议使用OpenVPN解决scheme: https : //docs.openvpn.net/how-to-tutorialsguides/virtual-platforms/amazon-ec2-appliance-ami-quick-start-guide/
或者,如果您不想为此启动一个实例,则可以在自己的防火墙中终止VPN,并从那里为AWS环境提供路由。 然后,您可以在现场build立自己的VPN解决scheme,或者使用您的边缘设备随附的任何解决scheme。
OpenVPN和OpenSwan(或Libreswan)都可以使用。 我不确定哪一个我更喜欢。 OpenVPN更容易设置。 我从来没有得到2FA和PAM与Openswan(或任何变体)
关于OpenVPN的一个警告:如果你使用2FA实现openvpn,你可能希望设置会话密钥重新协商reneg-sec=0你的客户端也必须支持这个(tunnelblick似乎不是)
我也推荐在VPN里面使用透明的ssh proxy堡垒。 这使您可以有一些麻烦的限制性安全组。 这是一个非常坚实的安全基础,如果需要,可以在每个阶段后用2fa扩展。
关于这两个VPN选项的一些简要说明:
OpenVPN的ipsec
粘性($ 9)客户端比Tunnelblick更稳定单个传入端口单个configuration文件注:需要一些iptables的工作
我find的最简单的OpenVPN说明是在这里您也可以使用预先构build的openvpn服务器的社区AMI 。 (虽然我没有尝试过)
OpenSwan ipsec + l2tpd
这里有一个很好的写作和一个非常好的设置脚本,我通过脚本,并确认它在每个阶段似乎做正确的事情。