Tham gia Đăng nhập
Điểm:1
raphael.oester avatar Server

Các gói không được định tuyến qua đường hầm openvpn trong phiên bản ec2

lá cờ in
raphael.oester

Tôi đang thiết lập máy chủ openvpn trên phiên bản aws ec2. Ví dụ này có hai giao diện:

  • Một giao diện thuộc mạng con riêng (10.10.0.0/17)
  • Một giao diện thuộc mạng con công cộng (10.10.128.0/17)

Mục tiêu của tôi là cho phép lưu lượng truy cập từ internet giao tiếp với các phiên bản trong mạng con riêng, thông qua VPN. Đây là một lược đồ

Kết nối được thiết lập tốt giữa bên ngoài và giao diện công cộng.Nó cũng được thiết lập giữa giao diện riêng và các phiên bản trong mạng con riêng.

Sự cố xuất hiện khi tôi cố gắng ping các phiên bản riêng tư từ máy khách bên ngoài. Tôi có thể thấy thông báo "trình tự khởi tạo đã hoàn tất", nhưng dường như không có lưu lượng truy cập nào được định tuyến qua đường hầm. Trên thực tế, dường như không có tuyến đường nào được tìm thấy, ngay cả khi đích đến là chính máy chủ vpn:

theo dõi giao diện điều chỉnh máy chủ

đăng nhập kết nối trên máy khách

đăng nhập kết nối trên máy chủ

Mặc dù dường như có lỗi khi tạo tuyến đường, nhưng nó vẫn có trong bảng định tuyến nhân nên tôi đoán vấn đề không đến từ đây:

lệnh định tuyến trên máy khách

Đây là cấu hình máy khách của tôi:

khách hàng
nhà phát triển điều chỉnh
proto udp
từ xa <server_ip> 1194
tuyến đường 10.10.0.0 255.255.128.0
quý tộc
giải quyết-thử lại vô hạn
phím kiên trì
kiên trì điều chỉnh
comp-lzo 
động từ 3
mật mã AES-256-CBC
<ca>
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
<SNIP>
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
</ca>
<chứng chỉ>
Giấy chứng nhận:
<SNIP>
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
<SNIP>
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
-----BẮT ĐẦU GIẤY CHỨNG NHẬN----
<SNIP>
-----GIẤY CHỨNG NHẬN KẾT THÚC-----
</chứng chỉ>
<phím>
----- BẮT ĐẦU KHÓA RIÊNG TƯ -----
<SNIP>
----- KẾT THÚC KHÓA RIÊNG TƯ -----
</key>

Và máy chủ một:


cục bộ 0.0.0.0 

cổng 1194

proto udp

nhà phát triển điều chỉnh

ca /etc/openvpn/easy-rsa/pki/ca.crt
chứng chỉ /etc/openvpn/easy-rsa/pki/issued/server.crt
khóa /etc/openvpn/easy-rsa/pki/private/server.key  

dh /etc/openvpn/easy-rsa/pki/dh.pem

mạng con cấu trúc liên kết

máy chủ 10.10.0.0 255.255.128.0

#giao tiếp giữa khách hàng với khách hàng
trùng lặp-cn

lưu giữ 10 120

mật mã AES-256-CBC

comp-lzo

phím kiên trì
kiên trì điều chỉnh

trạng thái openvpn-status.log

động từ 3

tắt tiếng 10

rõ ràng-thoát-thông báo 1

Tôi đã làm theo hướng dẫn openvpn từ đầu và thực sự không biết mình đang thiếu gì. Cảm ơn trước sự giúp đỡ của bạn !

71
0 + 0
Tim avatar
lá cờ gp
Tim
Câu hỏi của bạn sẽ dễ hiểu hơn với sơ đồ và các thuật ngữ của bạn như "lưu lượng truy cập bên ngoài" được xác định.Tôi không thực sự chắc chắn những gì bạn đang cố gắng đạt được. Hai câu hỏi 1) Bạn đã xem xét kiểm tra nguồn/đích EC2 chưa? 2) Bạn đã cân nhắc sử dụng VPN được quản lý của AWS chưa?
0
Hồi đáp
raphael.oester avatar
lá cờ in
raphael.oester
Chỉ cần thêm một lược đồ vào bài viết. Lưu lượng truy cập bên ngoài có nghĩa là lưu lượng truy cập đến từ internet. 1) Tôi không hiểu câu hỏi của bạn 2) Có và tôi không muốn sử dụng nó vì nó vừa đắt vừa không đủ cá nhân hóa
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
AWS VPN có giá khoảng 36 đô la mỗi tháng, đắt để sử dụng nhưng lại rẻ đối với một công ty / doanh nghiệp do dư thừa, v.v. Hãy đọc toàn bộ trang này, đặc biệt là phần tôi liên kết trực tiếp tới https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck. VPN hơi giống NAT ở chỗ nó không phải là nguồn hoặc đích của lưu lượng "Mỗi phiên bản EC2 thực hiện kiểm tra nguồn/đích theo mặc định. Điều này có nghĩa là phiên bản phải là nguồn hoặc đích của bất kỳ lưu lượng nào mà nó gửi hoặc nhận.. ."
0
Hồi đáp
raphael.oester avatar
lá cờ in
raphael.oester
Tôi đang xây dựng một ứng dụng chứa nhiều phiên bản VPN và thực sự không đủ khả năng trả 36 đô la cho mỗi máy chủ với số tiền đó. Tôi đã tắt kiểm tra nguồn/đích, nhưng không thay đổi gì cả. Và thực ra điều đó khá được mong đợi vì lưu lượng VPN thậm chí không được định tuyến qua đường hầm - như đã nói trong tiêu đề. Xem ảnh chụp màn hình theo dõi.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi không thể trợ giúp với OpenVPN, chỉ có AWS. Phí AWS VPN cho phép hai VPN đến và bao gồm giao tiếp với mọi tài nguyên trong VPC của bạn, nhưng chỉ với hai mục tiêu/điểm đến bên ngoài VPC của bạn. Nếu bạn đang kết nối nhiều nhánh/tài nguyên với VPN thì tôi có thể hiểu tại sao bạn muốn có nhiều VPN, nhưng tôi thắc mắc liệu bạn có thể quản lý bằng mã hóa cấp ứng dụng hay không - nhưng bạn chưa nói bạn đang cố gắng đạt được điều gì, chỉ là làm thế nào Bạn muốn làm điều đó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.