Блог

Главная - Вопросы по программированию - Клиент AWS VPN может подключаться, но не может получить доступ к ресурсам VPC

Клиент AWS VPN может подключаться, но не может получить доступ к ресурсам VPC

#amazon-web-services #vpn #amazon-vpc #openvpn

#amazon-веб-сервисы #vpn #amazon-vpc #openvpn

Вопрос:

Я настроил AWS Client VPN таким образом, чтобы я мог успешно подключаться с помощью взаимной аутентификации (сертификаты) и я могу получить доступ к Интернету. Тем не менее, несмотря на следующие руководства, я не могу получить доступ к ресурсам в других подсетях в том же VPC. Я был бы очень благодарен за любые подсказки о том, чего может не хватать.

 Client VPN configuration:

Association:
Subnet: subnet-0a51a9e6891ccee4f
Security Group:  sg-08649152e7b46e74a

Authorization:
CIDR (1): 0.0.0.0/0
CIDR (2): 172.30.0.0/16 (VPC private IP)

Route Table:
CIDR: 172.30.0.0/16, Target Subnet: subnet-0a51a9e6891ccee4f
CIDR: 0.0.0.0/0, Target Subnet: subnet-0a51a9e6891ccee4f

VPN Subnet configuration (subnet-0a51a9e6891ccee4f):

Route Table:
Destination: 172.30.0.0/16, Target: local
Destination: 0.0.0.0/0, Target: igw-55d21930

Network ACL:
Inbound:
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW
1000 ALL Traffic ALL ALL 172.30.0.0/16 ALLOW

Outbound:
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW
1000 ALL Traffic ALL ALL 172.30.0.0/16 ALLOW

VPN Security Group: (sg-08649152e7b46e74a)
Inbound:
All traffic All All 0.0.0.0/0 
All traffic All All 172.30.0.0/16
All traffic All All sg-08649152e7b46e74a

Outbound:
All traffic All All 172.30.0.0/16
All traffic All All 0.0.0.0/0
All traffic All All sg-08649152e7b46e74a

Клиент может подключиться и получает назначенный IP, например, 172.30.8.98.

Тем не менее, я не могу получить доступ к экземпляру EC2 (в данном случае это mongodb на порту 27017), который защищен группой безопасности, даже если я разрешаю трафик из вышеупомянутой группы безопасности VPN (sg-08649152e7b46e74a).).

Комментарии:

1. Вы когда-нибудь решали эту проблему?

Ответ №1:

Возможно, одно из этого поможет:

  1. SG, связанный с подсетью, полезен только для доступа в Интернет — добавьте 0.0.0.0 / 0 и забудьте об этом (если кто-нибудь не захочет просветить меня после). Теперь, когда вы хотите подключиться к mongo EC2, добавьте в его SG правило, разрешающее 27017 из sg-08649152e7b46e74a

  2. Вы пытаетесь подключиться к общедоступному IP-адресу EC2 вместо частного IP-адреса

Ответ №2:

У меня была точно такая же проблема, мне пришлось изменить файл конфигурации OpenVPN следующими маршрутами.

 VPC CIDR : 192.168.0.0/16
Routes for OpenVPN Configuration File :
route-nopull
route 192.16.0.0 255.255.0.0
dhcp-option DNS 192.168.0.2