我按照本指南在EC2中的Windows Server 2016实例上仅使用单个networking接口和分配的弹性IP来设置VPN。 我能够使用L2TP / IPSEC成功地将我的macOS连接到VPN,并获得VPN服务器中设置的静态范围内的IP地址。 给定的IP地址在VPN服务器所在的子网范围内。 但是,我无法ping通VPC中的任何资源,包括VPN服务器的地址。
为了更清楚,下面是VPN连接后的IP地址示例:
- VPC CIDR:172.31.0.0/16
- AZ子网范围:172.31.0.0/24
- VPN服务器内部IP:172.31.0.10
- 在VPN中的macOS IP:172.31.0.20
macOS还设置为通过VPN路由所有stream量。
为了隔离问题,我暂时禁用了服务器防火墙,并允许通过安全组的所有stream量到VPN服务器,但仍无法ping或连接到VPC内部的任何资源。 我也禁用EC2实例的源/目的地检查无济于事。
我需要使用Windows和Mac的公路战士使用安全的VPN访问VPC内的资源。 我们决定使用Windows Server VPN,因此更容易通过Active Directory进行身份validation。
我不知道我在做什么错。 任何人都可以给我指示,我可以检查下一个? 提前致谢!
最后find了如何在AWS中的Windows Server 2016上创buildVPN的正确步骤。 一旦连接,客户端就可以访问VPC内的资源,并仍能访问互联网。 以下是关于如何为感兴趣的人完成的完整步骤列表。
-
设置实例和所需的接口:
- 使用一个公用IP在1个networking接口上分配EC2中的Windows Server 2016实例。
- 禁用实例上的源/目标检查。 确保安全组允许RDP从您的IP地址到服务器。
- 连接到实例并创build一个回路,通过遵循这个服务器故障的答案来适应第二个networking接口。
- 在服务器的安全组中允许以下UDP端口:500,4500,1701
- 在服务器的安全组中允许ESP协议。
-
安装路由和远程访问服务器:
- 按照本指南设置RRAS, 直到步骤9 。 包括路由与VPN一起。
- 在configuration步骤中,select远程访问(拨号或VPN)。
- 检查VPN,然后单击下一步。
- select连接到Internet的networking接口。 这将是AWS PVnetworking设备。 取消选中启用安全function,因为它会阻止您的RDP访问。 稍后使用安全组阻止RDP。
- 在IP地址分配上,select来自指定范围的地址。
- 设置连接客户端的静态IP范围。 该范围内的第一个IP将被分配给VPN服务器充当网关地址。 在我的情况下,我只用了192.168.100.1-192.168.100.254。
- Radius服务器? 不,然后点击完成。 您可能会在几分钟内失去服务器的连接。
-
设置L2TP:
- 右键单击服务器名称,然后单击“属性”。
- 点击安全选项卡。
- 勾选允许自定义IPSEC策略,然后设置预共享密钥。
- 点击确定保存设置。
- 用鼠标右键单击服务器名称。 select所有任务,然后单击重新启动。
-
设置NAT以允许客户端访问AWS资源和Internet:
- 仍然在RRASpipe理工具中,点击左侧面板上的IPv4,然后右键单击常规。
- 单击新build路由协议,然后selectNAT。 点击OK。
- 用鼠标右键单击NAT,然后单击新build接口。
- select连接到互联网的以太网端口(在我的情况下,以太网2)。 select连接到Internet的公共接口。 选中启用NAT。 点击OK。
- 再次右键单击NAT,然后单击新build接口。
- select以太网端口连接到环回接口(在我的情况下,以太网)。 select连接到专用networking的专用接口。 点击OK。
-
使用L2TP兼容客户端连接。