Какие IP-адреса я разрешу в группе безопасности EC2, чтобы пропускать трафик VPN клиента?
У меня есть настройка AWS Client VPN, чтобы люди, которые могут подключиться к VPN, могли получить доступ к нашим серверам EC2 в том же VPC. Некоторые пользователи сообщают, что не могут подключиться к сервисам, находясь в VPN, в то время как другие могут.
Я могу сделать ping {{address_of_ec2_instance}}в терминале и получите ответ, но другой пользователь, подключенный к тому же vpn, получит тайм-аут с той же командой и с тем же IP-адресом. Когда они переходят на https://www.whatismyip.com/, они сообщают, что подключены к тому же интернет-провайдеру и местоположению.
Единственное, что я могу предположить, это то, что, возможно, я не разрешил правильный диапазон портов в настройках безопасности EC2, и некоторые пользователи находятся в этом диапазоне, а другие нет. Как определить диапазон портов для переадресации с учетом конечной точки VPN клиента?
1 ответ
Когда вы запускаете клиентский VPN, вы предоставляете Client IPv4 CIDRдиапазон. При подключении к нему вам будет предоставлен IP-адрес из этого диапазона (который при подключении рассматривается как частный IP-адрес).
Для любых частных IP-соединений исходный IP-адрес будет поступать из этого диапазона (и поскольку вы используете клиентскую VPN, вам следует подключаться, используя частный IP-адрес через общедоступный, чтобы обеспечить транзит сети через туннель).
Если вы подключаетесь через общедоступный IP-адрес, вам необходимо решить, хотите ли вы, чтобы весь трафик или только частный трафик проходил через клиентскую VPN. Включив разделенный туннель, вы будете использовать общедоступный IP-адрес своей локальной сети, в противном случае вы будете использовать общедоступный IP-адрес из пула серверов Amazons.
В качестве примечания, если вы когда-нибудь пытаетесь отладить сбои подключения, вы можете использовать журналы потоков VPC.