web-dev-qa-db-ja.com

AWSでWindows Server 2016 VPNに接続しましたが、VPCのリソースにpingできませんでした

この ガイド に従って、単一のネットワークインターフェイスと割り当てられたElastic IPのみを備えたEC2のWindows Server 2016インスタンスにVPNをセットアップしました。 L2TP/IPSECを使用してmacOSをVPNに正常に接続し、VPNサーバーで設定された静的範囲内のIPアドレスを取得することができました。指定されたIPアドレスは、VPNサーバーが存在するサブネット範囲内にあります。しかし、VPNサーバーのアドレスを含むVPC内のリソースにpingすることはできませんでした。

より明確にするために、VPNが接続された後のIPアドレスの例を次に示します。

  • VPC CIDR:172.31.0.0/16
  • AZサブネット範囲:172.31.0.0/24
  • VPNサーバーの内部IP:172.31.0.10
  • vPNのmacOS IP:172.31.0.20

MacOSは、VPNを介してすべてのトラフィックをルーティングするようにも設定されています。

問題を特定するために、サーバーのファイアウォールを一時的に無効にし、VPNサーバーへのセキュリティグループを通過するすべてのトラフィックを許可しましたが、VPC内のリソースにpingまたは接続できませんでした。 EC2インスタンスのソース/宛先チェックも無効にして無効にしました。

安全なVPNを使用してVPC内のリソースにアクセスするには、WindowsとMacを使用する出張者が必要です。 Active Directoryに対する認証が簡単になるように、Windows Server VPNを使用することにしました。

何が悪いのかわかりません。次に確認できることについて誰かが私に指示を与えることはできますか?前もって感謝します!

windowsamazon-web-servicesvpnrrasl2tp
2
Carlo Miguel Cruz

最後に、AWSのWindows Server 2016でVPNを作成する方法の正しい手順を見つけました。接続すると、クライアントはVPC内のリソースにアクセスし、インターネットにアクセスできます。これは、興味のある人のために行われた手順の完全なリストです。

  1. インスタンスと必要なインターフェースをセットアップします。

    • パブリックIPを持つ1つのネットワークインターフェイスを備えたEC2でWindows Server 2016インスタンスを起動します。
    • インスタンスのソース/宛先チェックを無効にします。セキュリティグループで、IPアドレスからサーバーへのRDPが許可されていることを確認します。
    • インスタンスに接続し、このserverfault answer に従って、2番目のネットワークインターフェイスとして機能するように適合されたループバックを作成します。
    • サーバーのセキュリティグループで次のUDPポートを許可します:500,4500,1701
    • サーバーのセキュリティグループでESPプロトコルを許可します。

  2. ルーティングとリモートアクセスサーバーのセットアップ:

    • これに従って ガイド RRASをセットアップステップ9まで。 VPNとともにルーティングを含めます。
    • 構成手順で、[リモートアクセス(ダイヤルアップまたはVPN)]を選択します。
    • VPNにチェックを入れて、[次へ]をクリックします。
    • インターネットに接続されているネットワークインターフェイスを選択します。これはAWS PVネットワークデバイスになります。 RDPアクセスをブロックするため、[セキュリティを有効にする]チェックボックスをオフにします。後でセキュリティグループを使用してRDPをブロックします。
    • [IPアドレスの割り当て]で、[指定されたアドレス範囲から]を選択します。
    • 接続するクライアントに与える静的IP範囲を設定します。範囲内の最初のIPがVPNサーバーに割り当てられ、ゲートウェイアドレスとして機能します。私の場合、192.168.100.1-192.168.100.254を使用しました。
    • RADIUSサーバー?いいえ。[完了]をクリックします。サーバーからの接続が数分間失われる可能性があります。

  3. L2TPのセットアップ:

    • サーバー名を右クリックし、[プロパティ]をクリックします。
    • [セキュリティ]タブをクリックします。
    • [カスタムIPSECポリシーを許可する]をオンにして、事前共有キーを設定します。
    • [OK]をクリックして設定を保存します。
    • サーバー名を右クリックします。 [すべてのタスク]を選択して、[再起動]をクリックします。

  4. セットアップNATクライアントがAWSリソースとインターネットにアクセスできるようにするには:

    • RRAS管理ツールを使用しているときに、左側のパネルで[IPv4]をクリックし、[全般]を右クリックします。
    • [新しいルーティングプロトコル]をクリックし、[NAT]を選択します。 OKをクリックします。
    • NAT)を右クリックして、[新しいインターフェイス]をクリックします。
    • インターネットに接続されているイーサネットポートを選択します(私の場合はイーサネット2)。インターネットに接続されているパブリックインターフェイスを選択します。 NATを有効にするにチェックを入れます。 OKをクリックします。
    • NAT)をもう一度右クリックして、[新しいインターフェイス]をクリックします。
    • ループバックインターフェイスに接続するイーサネットポート(私の場合はイーサネット)を選択します。プライベートネットワークに接続されているプラ​​イベートインターフェイスを選択します。 OKをクリックします。

  5. L2TP互換クライアントを使用して接続します。

3
Carlo Miguel Cruz