Conectado ao Windows Server 2016 VPN na AWS, mas não conseguiu executar ping em recursos no VPC

Navegue suas respostas
1

Eu segui este guia para configurar uma VPN em uma instância do Windows Server 2016 no EC2 com apenas uma interface de rede e um Elastic IP atribuído. Consegui conectar meu macOS à VPN usando L2TP / IPSEC e obter um endereço IP dentro da faixa estática definida no servidor VPN. O endereço IP fornecido está dentro do intervalo de sub-rede em que o servidor VPN reside. Mas, eu não pude fazer nenhum ping no VPC incluindo os endereços do servidor VPN.

Para deixar isso mais claro, aqui está uma amostra dos endereços IP depois que a VPN é conectada:

  • VPC CIDR: 172.31.0.0/16
  • Intervalo de sub-redes AZ: 172.31.0.0/24
  • IP interno do servidor VPN: 172.31.0.10
  • IP do macOS na VPN: 172.31.0.20

O macOS também está configurado para rotear todo o tráfego pela VPN.

Para isolar o problema, desativei temporariamente os firewalls do servidor e permiti todo o tráfego através do grupo de segurança para o servidor VPN, mas ainda não consegui fazer ping ou conectar-me a nenhum recurso dentro do VPC. Também desativei a verificação de origem / destino na instância do EC2 sem sucesso.

Eu preciso ter guerreiros em estradas usando Windows e Macs para acessar recursos dentro do VPC usando uma VPN segura. Decidimos usar o Windows Server VPN para facilitar a autenticação no Active Directory.

Não tenho certeza do que estou fazendo de errado. Alguém pode me dar orientação sobre o que eu posso verificar em seguida? Obrigado antecipadamente!

    
por CM Cruz 30.07.2017 / 16:37

1 resposta

2

Finalmente, encontrei as etapas corretas sobre como criar uma VPN no Windows Server 2016 no AWS. Uma vez conectado, o cliente é capaz de acessar recursos dentro do VPC e ainda acessar a Internet. Aqui está a lista completa de etapas sobre como foi feito para os interessados.

  1. Configure a instância e as interfaces necessárias:

    • Acione uma instância do Windows Server 2016 no EC2 com 1 interface de rede com um IP público.
    • Desativar verificações de origem / destino na instância. Assegure-se de que o grupo de segurança permita o RDP de seu endereço IP ao servidor.
    • Conecte-se à instância e crie um loopback adaptado para atuar como uma segunda interface de rede seguindo este serverfault responder .
    • Permitir as seguintes portas UDP no grupo de segurança do servidor: 500,4500,1701
    • Permitir o protocolo ESP no grupo de segurança do servidor.

  2. Configurar o servidor de roteamento e acesso remoto:

    • Siga este guia para configure o RRAS até o passo 9 . Inclua o roteamento junto com a VPN.
    • Na etapa de configuração, selecione Acesso remoto (dial-up ou VPN).
    • Marque a VPN e clique em Próximo.
    • Selecione a interface de rede conectada à Internet. Esse seria o dispositivo de rede PV da AWS. Desmarque a opção Habilitar segurança, pois ela bloqueará seu acesso RDP. Bloqueie o RDP mais tarde usando o grupo de segurança.
    • Na atribuição de endereços IP, selecione De um intervalo especificado de endereços.
    • Defina um intervalo de IP estático a ser fornecido aos clientes conectados. O primeiro IP no intervalo será atribuído ao servidor VPN para atuar como endereço do gateway. No meu caso, usei apenas 192.168.100.1-192.168.100.254.
    • Servidor Radius? Não. Em seguida, clique em Concluir. Você pode perder a conectividade do servidor por alguns minutos.

  3. Configurar o L2TP:

    • Clique com o botão direito do mouse no nome do servidor e, em seguida, clique em Propriedades.
    • Clique na guia de segurança.
    • Marque a opção Permitir política IPSEC personalizada e, em seguida, defina a chave pré-compartilhada.
    • Clique em OK para salvar as configurações.
    • Clique com o botão direito do mouse no nome do servidor. Selecione Todas as tarefas e clique em Reiniciar.

  4. Configure o NAT para permitir que os clientes acessem os recursos e a Internet da AWS:

    • Ainda na ferramenta de gerenciamento RRAS, clique em IPv4 no painel esquerdo e clique com o botão direito do mouse em Geral.
    • Clique em Novo protocolo de roteamento e selecione NAT. Clique em OK.
    • Clique com o botão direito do mouse em NAT e clique em Nova interface.
    • Selecione a porta Ethernet conectada à Internet (no meu caso, Ethernet 2). Selecione a interface pública conectada à Internet. Coloque uma verificação em Ativar NAT. Clique em OK.
    • Clique com o botão direito do mouse novamente no NAT e, em seguida, clique em Nova interface.
    • Selecione a porta Ethernet conectada à interface de loopback (no meu caso, Ethernet). Selecione a interface privada conectada à rede privada. Clique em OK.

  5. Conecte-se usando um cliente compatível com L2TP.

por 01.08.2017 / 19:58

Tags

Postfix Alterar assunto com base no destinatário deixe lsof mostrar mais comprimento fd