Windows

連接到 AWS 上的 Windows Server 2016 VPN 但無法 ping VPC 中的資源

  • November 6, 2017

我按照本指南在 EC2 中的 Windows Server 2016 實例上設置了一個 VPN,只有一個網路介面和一個分配的彈性 IP。我能夠使用 L2TP/IPSEC 成功地將我的 macOS 連接到 VPN,並在 VPN 伺服器中設置的靜態範圍內獲得 IP 地址。給定的 IP 地址在 VPN 伺服器所在的子網範圍內。但是,我無法 ping VPC 中的任何資源,包括 VPN 伺服器的地址。

為了更清楚起見,以下是連接 VPN 後的 IP 地址範例:

  • VPC CIDR:172.31.0.0/16
  • AZ 子網範圍:172.31.0.0/24
  • VPN 伺服器內部 IP:172.31.0.10
  • VPN 中的 macOS IP:172.31.0.20

macOS 還設置為通過 VPN 路由所有流量。

為了隔離問題,我暫時禁用了伺服器防火牆,並允許所有流量通過安全組到達 VPN 伺服器,但仍然無法 ping 或連接到 VPC 內的任何資源。我還禁用了 EC2 實例上的源/目標檢查,但無濟於事。

我需要讓道路勇士使用 Windows 和 Mac 使用安全 VPN 訪問 VPC 內的資源。我們決定使用 Windows Server VPN,以便更輕鬆地針對 Active Directory 進行身份驗證。

我不確定我做錯了什麼。誰能告訴我下一步可以檢查的內容?提前致謝!

終於找到瞭如何在 AWS 中的 Windows Server 2016 上創建 VPN 的正確步驟。連接後,客戶端可以訪問 VPC 內的資源,並且仍然可以訪問 Internet。這是有關如何為感興趣的人完成的步驟的完整列表。

  1. 設置實例和所需的介面:
  • 在 EC2 中使用 1 個具有公共 IP 的網路介面啟動 Windows Server 2016 實例。
  • 禁用實例上的源/目標檢查。確保安全組允許從您的 IP 地址到伺服器的 RDP。
  • 按照這個 serverfault answer連接到實例並創建一個適合充當第二個網路介面的環回。
  • 在伺服器的安全組中允許以下 UDP 埠:500,4500,1701
  • 允許伺服器安全組中的 ESP 協議。
  1. 設置路由和遠端訪問伺服器:
  • 按照本指南設置 RRAS ,直到步驟 9。包括路由以及 VPN。
  • 在配置步驟中,選擇遠端訪問(撥號或 VPN)。
  • 檢查VPN,然後點擊下一步。
  • 選擇連接到 Internet 的網路介面。這將是 AWS PV 網路設備。取消選中啟用安全功能,因為它會阻止您的 RDP 訪問。稍後使用安全組阻止 RDP。
  • 在 IP 地址分配中,選擇從指定的地址範圍。
  • 設置要給予連接客戶端的靜態 IP 範圍。範圍內的第一個 IP 將分配給 VPN 伺服器作為網關地址。就我而言,我只是使用了 192.168.100.1-192.168.100.254。
  • 半徑伺服器?否。然後點擊完成。您可能會在幾分鐘內失去與伺服器的連接。
  1. 設置 L2TP:
  • 右鍵點擊伺服器名稱,然後點擊屬性。
  • 點擊安全選項卡。
  • 勾選允許自定義 IPSEC 策略,然後設置預共享密鑰。
  • 點擊確定以保存設置。
  • 右鍵點擊伺服器名稱。選擇所有任務,然後點擊重新啟動。
  1. 設置 NAT 以允許客戶端訪問 AWS 資源和 Internet:
  • 仍在 RRAS 管理工具中時,點擊左側面板上的 IPv4,然後右鍵點擊正常。
  • 點擊新建路由協議,然後選擇 NAT。點擊確定。
  • 右鍵點擊 NAT,然後點擊新建介面。
  • 選擇連接到 Internet 的乙太網埠(在我的例子中,乙太網 2)。選擇連接到 Internet 的公共介面。勾選啟用 NAT。點擊確定。
  • 再次右鍵點擊 NAT,然後點擊新建介面。
  • 選擇連接到環回介面的乙太網埠(在我的例子中是乙太網)。選擇連接到專用網路的專用介面。點擊確定。
  1. 使用兼容 L2TP 的客戶端進行連接。

引用自:https://serverfault.com/questions/865914