Software-VPN-Verbindung zur privaten Amazon AWS VPC-Instanz [geschlossen]

8

Ich habe eine Virtual Private Cloud (VPC) -Instanz unter Amazon AWS. Innerhalb der VPC habe ich eine private Instanz, auf der die Datenbank ausgeführt wird, und eine öffentliche Instanz, die die Front-End-Webseiten für den Zugriff auf die Datenbank enthält.

Es gibt keine Möglichkeit, sich direkt von außen bei der privaten Instanz anzumelden, da sie keine öffentliche IP hat. Ich kann mich jedoch von der öffentlichen Instanz aus mit ihrer privaten IP-Adresse anmelden.

Ich möchte ein VPN-Gateway in meiner VPC erstellen, mit dem ich mithilfe von Software-VPNs wie OpenVPN oder OpenSwan direkt von außen eine Verbindung zur privaten Instanz herstellen kann.

Meine Fragen sind -

  1. Ist das überhaupt möglich?
  2. Wenn ja, wie werden diese Mechanismen eingerichtet?

Danke im Voraus.

Tilmik
quelle
4
Dies ist ein Problem, mit dem Entwickler, die an AWS-Projekten arbeiten, täglich konfrontiert werden. Die Literatur von Amazon ist nicht so schlecht wie die "schlechten alten Zeiten" von Oracle, aber nur geringfügig. IE, sie sind minimal und undurchsichtig für Neulinge in den Bereichen VPC, Netzwerk, DNS usw., die in einem "virtuellen Rechenzentrum" wie AWS VPC auftreten. Wenn Sie also eine Frage blockieren, indem Sie sagen: "Sie wissen nicht genug, um die Frage richtig zu stellen", werden viele Anfänger blockiert, die einen großen Teil der Zielgruppe dieser Website und von Amazon / Rackspace / et al. Es ist schwierig, mit VPNs zu arbeiten, insbesondere als Client und nicht von Netzwerk zu Netzwerk.
Dennis
4
Diese Frage sollte erneut geöffnet werden. Es gibt keine gute Dokumentation dazu mit openswan und openvpn ist für die langfristige Verwendung bei Verwendung von 2fa nicht geeignet.
Jorfus
1
+1 für die Wiedereröffnung der Frage ...
Justin Soliz

Antworten:

5

Ja es ist möglich:

Sie müssen Folgendes tun:

1- Installieren Sie den openvpn-Server auf der öffentlichen Instanz.

Konfigurieren Sie den openvpn-Server so, dass Routen oder IP-Bereiche Ihrer privaten Instanz gesendet werden.

  in the config file add:
  Assuming the private range is 192.168.1.0/24

  push "route 192.168.1.0 255.255.255.0"

Zulassen des Datenverkehrs vom VPN-Datenverkehr zur privaten Instanz mithilfe von iptables.

2- Erstellen Sie einen oder verschieben Sie VPN-Clients und genießen Sie Ihre direkte Verbindung.

Wenn Sie Details zu den oben genannten Themen benötigen, helfe ich Ihnen gerne weiter.

MohyedeenN
quelle
Danke für die Antwort. Ich habe ein IPSEC / L2TP-Gateway auf einer der öffentlichen EC2-Instanzen eingerichtet, habe jedoch Probleme mit dem VPN-Client-Teil. Können Sie einen VPN-Client vorschlagen, der IPSEC / L2TP / PPP verwenden kann? Wenn dies nicht funktioniert, werde ich Ihren Vorschlag mit OpenVPN versuchen.
Tilmik
Tatsächlich wird vom Standard-VPN-Client ipsec-l2tp der folgende Fehler angezeigt: "Fehler 230: Kein Standard-Gateway gefunden oder Standard-Gateway-Informationen konnten nicht geschrieben werden". Was könnte das Problem sein?
Tilmik
Ich bin nicht mit IPSec VPN vertraut, ich benutze OpenVPN
MohyedeenN
@ MohyedeenN, ich mache ähnliche Gedanken durch. Ich habe eine Frage. Abgesehen von dem, was Sie oben vorgeschlagen haben, muss ich die Regeln für VPC-Sicherheitsgruppen konfigurieren, um Datenverkehr vom VPN-Server (im Pub-Subnetz) zu anderen Ressourcen (im privaten Subnetz) zuzulassen. Und auch Sicherheitsgruppenregeln im privaten Subnetz, um Datenverkehr vom VPN-Server im Pub-Subnetz zu akzeptieren? Es klingt für mich jedoch logisch. Vielen Dank. und +1.
Slayedbylucifer
@slayedbylucifer, Natürlich müssen Sie die erforderlichen Ports in den Sicherheitsgruppen zulassen und auch iptables verwenden, wenn Sie Regeln in Verbindung mit Sicherheitsgruppen anwenden. Sie haben Recht, es ist völlig logisch :)
MohyedeenN