Amazon-Web-Services
使用打包程序建構的 OpenVPN AMI 錯誤地使用了生成的配置文件中建構的舊公共 IP
當我使用基於 AWS OpenVPN AMI 的 Hashicorp Packer 建構 AMI 時,來自執行建構的第一個實例的公共 IP 地址將在以後使用 AMI 時保持不變,而此時它應該更新。
因此,當我嘗試在新的 AWS 實例上使用生成的 AMI 時,如果我嘗試為使用者生成證書,openvpn.conf 文件總是包含來自用於建構 AMI 的實例的不正確的舊公共 IP。它應該使用目前實例的公共 IP。我能做些什麼來糾正這種行為嗎?
如果有幫助,這是使用者數據的相關提取,僅在實例啟動時(而不是在建構期間)使用。在這種情況下,VPN 客戶端將被配置為網關。
client_network=${client_network} client_netmask_bits=${client_netmask_bits} private_subnet1=${private_subnet1} public_subnet1=${public_subnet1} aws_internal_domain=${aws_internal_domain} remote_subnet_cidr=${remote_subnet_cidr} ls -la /usr/local/openvpn_as/scripts/ /usr/local/openvpn_as/scripts/sacli -k vpn.daemon.0.client.network -v $client_network ConfigPut /usr/local/openvpn_as/scripts/sacli -k vpn.daemon.0.client.netmask_bits -v $client_netmask_bits ConfigPut /usr/local/openvpn_as/scripts/sacli --key 'vpn.server.tls_auth' --value 'true' ConfigPut /usr/local/openvpn_as/scripts/sacli --key vpn.server.routing.gateway_access --value 'true' ConfigPut /usr/local/openvpn_as/scripts/sacli --key vpn.server.routing.private_network.0 --value "$private_subnet1" ConfigPut /usr/local/openvpn_as/scripts/sacli --key vpn.server.routing.private_network.1 --value "$public_subnet1" ConfigPut /usr/local/openvpn_as/scripts/sacli --key vpn.server.routing.private_network.2 --value "$client_network/$client_netmask_bits" ConfigPut /usr/local/openvpn_as/scripts/sacli --key vpn.server.routing.private_access --value 'route' ConfigPut /usr/local/openvpn_as/scripts/sacli --key 'vpn.client.routing.reroute_dns' --value 'true' ConfigPut /usr/local/openvpn_as/scripts/sacli --key 'vpn.server.dhcp_option.domain' --value "$aws_internal_domain" ConfigPut /usr/local/openvpn_as/scripts/sacli --key 'vpn.server.routing.allow_private_nets_to_clients' --value 'true' ConfigPut /usr/local/openvpn_as/scripts/sacli start cd /usr/local/openvpn_as/scripts/ ./sacli --user $openvpn_user --key 'prop_autologin' --value 'true' UserPropPut ./sacli --user $openvpn_user --key 'c2s_route.0' --value "$remote_subnet_cidr" UserPropPut ./sacli --user $openvpn_user AutoGenerateOnBehalfOf mkdir -p seperate ./sacli -o ./seperate --cn "${openvpn_user}_AUTOLOGIN" get5 chown $openvpn_user seperate/* /usr/local/openvpn_as/scripts/sacli start ls -la seperate
解決這個問題的第一個線索是通過查詢數據庫提供的:
/usr/local/openvpn_as/scripts/sacli ConfigQuery
這表明 host.name 條目不正確,可以通過以下方式輕鬆修復:
public_ip=$(curl http://169.254.169.254/latest/meta-data/public-ipv4); echo "Public IP: $public_ip" /usr/local/openvpn_as/scripts/sacli --key "host.name" --value "$public_ip" ConfigPut
在 openvpn 文件中還提到,從備份恢復時,可以將偵聽器配置為使用不正確的 ip,並且可以使用以下命令將其恢復為預設值…
/usr/local/openvpn_as/scripts/sacli --key "vpn.daemon.0.server.ip_address" --value "all" ConfigPut /usr/local/openvpn_as/scripts/sacli --key "vpn.daemon.0.listen.ip_address" --value "all" ConfigPut /usr/local/openvpn_as/scripts/sacli --key "vpn.server.daemon.udp.port" --value "1194" ConfigPut /usr/local/openvpn_as/scripts/sacli --key "vpn.server.daemon.tcp.port" --value "443" ConfigPut