Conexión VPN de software a la instancia privada de Amazon AWS VPC [cerrada]

8

Tengo una instancia de Virtual Private Cloud (VPC) en Amazon AWS. Dentro de la VPC, tengo una instancia privada que ejecuta la base de datos y una instancia pública que tiene las páginas web front-end para acceder a la base de datos.

No hay forma de iniciar sesión en la instancia privada directamente desde afuera ya que no tiene ninguna IP pública. Sin embargo, puedo iniciar sesión desde la instancia pública utilizando su ip privada.

Quiero crear una puerta de enlace VPN dentro de mi VPC que me permita conectarme directamente a la instancia privada desde afuera usando VPN de software como OpenVPN u OpenSwan.

Mis preguntas son

  1. ¿Es esto posible en absoluto?
  2. En caso afirmativo, ¿cuáles son los pasos para configurar este mecanismo?

Gracias por adelantado.

vpn amazon-web-services openvpn amazon-vpc tilmik
fuente
44
Este es un problema que enfrentan los desarrolladores que trabajan en proyectos de AWS todos los días. La literatura de Amazon no es tan mala como los "malos viejos tiempos" de Oracle, pero solo ligeramente. Es decir, son mínimos y opacos para los recién llegados a los problemas de VPC, redes, DNS, etc. que un 'centro de datos virtual' como AWS VPC. Entonces, bloquear una pregunta diciendo: "No sabes lo suficiente como para hacer la pregunta correcta" bloquea a muchos desarrolladores principiantes que son una gran parte del público objetivo de este sitio web y Amazon / Rackspace / et al. Es difícil trabajar con VPN, especialmente como cliente y no de red a red.
Dennis
44
Esta pregunta debe ser reabierta. No hay buena documentación sobre cómo hacer esto con openswan y openvpn no es viable para uso a largo plazo cuando se usa 2fa.
jorfus
1
+1 para la pregunta de reapertura ...
Justin Soliz

Respuestas:

5

Si es posible:

necesitas hacer lo siguiente:

1- Instalar el servidor openvpn en la instancia pública.

Configure el servidor openvpn para enviar rutas o rango de ip de su instancia privada.

  in the config file add:
  Assuming the private range is 192.168.1.0/24

  push "route 192.168.1.0 255.255.255.0"

Permita el tráfico del tráfico VPN a la instancia privada, utilizando iptables.

2- Crea uno o mueve clientes vpn y disfruta de tu conexión directa.

Si necesita algún detalle de lo anterior, con gusto lo ayudaré.

MohyedeenN
fuente
Gracias por la respuesta. He configurado una puerta de enlace IPSEC / L2TP en una de las instancias públicas de EC2, pero estoy luchando con la parte del cliente VPN. ¿Puedes sugerir un cliente VPN que pueda usar IPSEC / L2TP / PPP? Si esto no funciona, voy a probar tu sugerencia con OpenVPN.
tilmik
En realidad, desde el cliente ipsec-l2tp vpn predeterminado aparece el siguiente error: "Error 230: No se encontró una puerta de enlace predeterminada o no se pudo escribir la información de la puerta de enlace predeterminada". ¿Cual podría ser el problema?
tilmik
no estoy familiarizado con ipsec vpn, uso openVPN
MohyedeenN
@MohyedeenN, estoy pasando por pensamientos similares. Tengo una pregunta. Además de lo que ha sugerido anteriormente, ¿debo configurar las reglas de los grupos de seguridad de VPC para permitir el tráfico del servidor VPN (en la subred del pub) a otros recursos (en la subred privada). ¿Y también las reglas del grupo de seguridad en la subred privada para aceptar el tráfico del servidor VPN en la subred de pub? Sin embargo, me parece lógico. Gracias. y +1.
slayedbylucifer
@slayedbylucifer, para asegurarse de que necesita permitir los puertos necesarios, en los grupos de seguridad, también usando iptables si está aplicando alguna regla en conjunto con grupos de seguridad, tiene razón, es completamente lógico :)
MohyedeenN