連接到 AWS 上的 Windows Server 2016 VPN 但無法 ping VPC 中的資源

我按照本指南在 EC2 中的 Windows Server 2016 實例上設置了一個 VPN，只有一個網路介面和一個分配的彈性 IP。我能夠使用 L2TP/IPSEC 成功地將我的 macOS 連接到 VPN，並在 VPN 伺服器中設置的靜態範圍內獲得 IP 地址。給定的 IP 地址在 VPN 伺服器所在的子網範圍內。但是，我無法 ping VPC 中的任何資源，包括 VPN 伺服器的地址。

為了更清楚起見，以下是連接 VPN 後的 IP 地址範例：

• VPC CIDR：172.31.0.0/16
• AZ 子網範圍：172.31.0.0/24
• VPN 伺服器內部 IP：172.31.0.10
• VPN 中的 macOS IP：172.31.0.20

macOS 還設置為通過 VPN 路由所有流量。

為了隔離問題，我暫時禁用了伺服器防火牆，並允許所有流量通過安全組到達 VPN 伺服器，但仍然無法 ping 或連接到 VPC 內的任何資源。我還禁用了 EC2 實例上的源/目標檢查，但無濟於事。

我需要讓道路勇士使用 Windows 和 Mac 使用安全 VPN 訪問 VPC 內的資源。我們決定使用 Windows Server VPN，以便更輕鬆地針對 Active Directory 進行身份驗證。

我不確定我做錯了什麼。誰能告訴我下一步可以檢查的內容？提前致謝！

終於找到瞭如何在 AWS 中的 Windows Server 2016 上創建 VPN 的正確步驟。連接後，客戶端可以訪問 VPC 內的資源，並且仍然可以訪問 Internet。這是有關如何為感興趣的人完成的步驟的完整列表。

1. 設置實例和所需的介面：

• 在 EC2 中使用 1 個具有公共 IP 的網路介面啟動 Windows Server 2016 實例。
• 禁用實例上的源/目標檢查。確保安全組允許從您的 IP 地址到伺服器的 RDP。
• 按照這個 serverfault answer連接到實例並創建一個適合充當第二個網路介面的環回。
• 在伺服器的安全組中允許以下 UDP 埠：500,4500,1701
• 允許伺服器安全組中的 ESP 協議。

2. 設置路由和遠端訪問伺服器：

• 按照本指南設置 RRAS ，直到步驟 9。包括路由以及 VPN。
• 在配置步驟中，選擇遠端訪問（撥號或 VPN）。
• 檢查VPN，然後點擊下一步。
• 選擇連接到 Internet 的網路介面。這將是 AWS PV 網路設備。取消選中啟用安全功能，因為它會阻止您的 RDP 訪問。稍後使用安全組阻止 RDP。
• 在 IP 地址分配中，選擇從指定的地址範圍。
• 設置要給予連接客戶端的靜態 IP 範圍。範圍內的第一個 IP 將分配給 VPN 伺服器作為網關地址。就我而言，我只是使用了 192.168.100.1-192.168.100.254。
• 半徑伺服器？否。然後點擊完成。您可能會在幾分鐘內失去與伺服器的連接。

3. 設置 L2TP：

• 右鍵點擊伺服器名稱，然後點擊屬性。
• 點擊安全選項卡。
• 勾選允許自定義 IPSEC 策略，然後設置預共享密鑰。
• 點擊確定以保存設置。
• 右鍵點擊伺服器名稱。選擇所有任務，然後點擊重新啟動。

4. 設置 NAT 以允許客戶端訪問 AWS 資源和 Internet：

• 仍在 RRAS 管理工具中時，點擊左側面板上的 IPv4，然後右鍵點擊正常。
• 點擊新建路由協議，然後選擇 NAT。點擊確定。
• 右鍵點擊 NAT，然後點擊新建介面。
• 選擇連接到 Internet 的乙太網埠（在我的例子中，乙太網 2）。選擇連接到 Internet 的公共介面。勾選啟用 NAT。點擊確定。
• 再次右鍵點擊 NAT，然後點擊新建介面。
• 選擇連接到環回介面的乙太網埠（在我的例子中是乙太網）。選擇連接到專用網路的專用介面。點擊確定。

5. 使用兼容 L2TP 的客戶端進行連接。

引用自：https://serverfault.com/questions/865914