Windows

使用 AWS 在單獨的子網上設置 RRAS VPN

  • September 4, 2019

基本佈局:

  • VPC 的 IP 範圍為 10.0.0.0/16

  • 子網 10.0.0.0/24 上的 2 個 EC2

    • 首先是 RRAS 向 VPN 客戶端提供 IP 地址(範圍 10.0.4.0/24)
    • 其次只是一台接收 ping 的測試機
  • 其他與本題無關的子網10.0.1.0/24等

IP 地址:

RRAS Server LAN side:   10.0.0.5
Test machine:           10.0.0.6
RRAS Server VPN Side:   10.0.4.10
Client #1:              10.0.4.11

VPN規格:

遠端客戶端應該只能使用 VPN 訪問 10.0.0.0/24 子網上的電腦,並且不能通過 VPN 瀏覽網際網路。這將要求客戶端設置拆分隧道,這沒關係。

問題:

目前的問題是我無法讓 ping 數據包到達我想要的地方。我在兩台機器上都設置了 Wireshark,但數據包根本沒有進入測試機器。

範例 Ping:

Client #1:
a. ping 10.0.0.5     [success]
b. ping 10.0.4.10    [success]
c. ping 10.0.0.6     [fail]

我在ping cRRAS 端的 Wireshark 中看到了 ping,但在測試機器上從未收到它。Wireshark 給出錯誤:“未找到響應!”

我想我錯誤配置了 VPC,因此來自 10.0.4.0/24 子網的數據包是:

  1. 被 VPC 刪除,因為它們來自意外的子網,或者
  2. 沒有適當的路線告訴 VPC 將它們發送到哪裡,所以它們只會迷路

我已經能夠通過啟用公共 NAT 來完成這項工作,但是我們不希望我們所有的員工都通過這個 VPN 連接到網際網路並收取大量數據傳輸費用。

原來我只需要在 EC2 控制台中禁用源/目標檢查。

這可以通過選擇 EC2 實例,然後從 Actions 菜單,Networking > Change Source/Dest Check 來完成


編輯:

進行的其他一些更改是

  1. VPN 子網更改為 10.1.0.0/24(在 VPC 之外)
  2. 添加到 VPC 的路由,將 10.1.0.0/24 指向 VPN 實例

引用自:https://serverfault.com/questions/981900