Самый простой путь к настройке VPN к AWS VPC?

Question

[ivan_p]

Необходимо настроить VPN доступ к приватной сети в AWS облаке. Первой попыткой было сделать нечто подобное к https://www.comparitech.com/blog/vpn-privacy/how-t... И хотя это решение зарабатало на VPC c дефолтной конфигурацией, на сети с чуть более сложной топологией оно не работает. Моих ограниченых знаний в области настройки сетей не хватает что-бы идентифицировать проблему и ее исправить. В связи с этим рассматриваю 3 варианта:
1. Найти специалиста сетевика который сделает это за деньги. Может желающие есть и на этом ресурсе.
2. Спросить на тостере совета о других вариантах, которые более казуальные и не требуют понимания сетевых технологий на уровне чуть выше базовых.
3. Засесть за просмотры видеоуроков и онлайн курсов Cisco, переквалифицироваться в DevOps. К сожалению вариант слишков времязатратный чтобы быть хоть сколько нибудь реальным :(
Буду благодарен за любые подсказки.

Answer 1

[Евгений Хлебников]

Лучше описать вашу "более сложную топологию" и проблемы с которыми столкнулись.
Как правило, если в дефолт VPC у вас все завелось, то при поднятии VPN хоста в паблик подсети вашего VPC доступ внутрь VPC работать будет. Проблемы могут быть в маршрутизации, доступе(SecurityGroup\NetworkACL) и других особенностях организации вашего VPC.

Если у вас внутри вашего VPC только linux хосты - лучше не исполmзуйте VPN для администрирования. Рекомендованное решение - бастион.
Для доступа ваших пользователей внутрь VPC пока только VPN.

Comments

[ivan_p]

yellowmew , спасибо за ответ!
Хм, интерестно. А можете продолжить мысль почему бастион рекомендуемое решение?
Кстати в VPC в котором "не завелось" есть только приватные подсети, и достучаться к ним как раз и не могу.
Ситуация следующая. Есть основная сеть: 10.0.0.0/16. В ней есть пятнадцать подсетей: от 10.0.1.0/24 до 10.0.15.0/24.
Когда я подымаю linux box с OpenVPN сервером в одной из них, то он не работает с такой же конфигурацией как на дефолтной VPC. Когда я попытался проверить доступность ресурсов, но понял что с поднятой машины я вообще не вижу ничего кроме хостов в той же подсети в которой она крутиться. Интересный момент в том, что windows бастион который поднят в той же подсети что linux и видит все хосты во всех подсетях. Т.Е. новая машина находится в 10.0.15.0/24, бастион находится в той же подсети. Но если бастион может достучатся к 10.0.14.0/24, 10.0.13.0/24 и т.д, то новая машина не может. Дефолтный gateway у них одинаковый.
Заранее спасибо!

[Евгений Хлебников]

Никогда не реализовывал схему с только приватными сабнетами, но что-то подсказывает мне, что впн в такой схеме просто так не заведется (если заведется вообще)

Когда вы создаете VPC с несколькими подсетями, все они имеют запись через local в таблице маршрутизации. Таким образом, AWS организует связность внутри VPC - подсети могут друг друга видеть. Маршрутизация в каждой подсети при этом идет через узел подсети с первым адресом (например в 10.0.1.0/24 это 10.0.1.1) - в AWS VPC это всегда верно, а уже этот узел имеет знания прописанные в таблице маршрутизации конкретной подсети: где и что можно найти.

публичный IP (при прикреплении EIP или автовыделении его AWS) адрес прозрачно через указанный узел транслируется прямо на машину.
То есть если у вас только приватные подсети (без доступа в- и из интернета) то доступ через публичный IP на машину вы спокойно можете получить, что мы и видим с вашим VPN или бастионом.

На машину бастиона вы приземляете трафик извне, дальше трафик идет с бастиона на целевые машины, без необходимости настраивать роутинг. В случае VPN трафик идет через VPN

VPN : это элемент, в первую очередь, сети. А значит он должен не только получить трафик извне но и отправить ответ из приватной подсети наружу.

занудство

В обычном VPC с доступом через VPN как правило строится схема из
- блока публичных подсетей, маршруты на 0.0.0.0/0 в которых настраиваются через специальный элемент VPC : InternetGateway (igw)
- VPN находящийся в публичной подсети (и потому знающий где находится интернет :D )
- Приватной подсети, в таблице маршрутизации которой написано искать 0.0.0.0/0 (или какую-то приватную подсеть, с которой связывается VPN) через инстанс VPN-а. (в моих VPC я как правило использую Elastic Network Interface для такой маршрутизации, но можно слать трафик в VirtualPrivateGateway или напрямую на instance-id. В общем там много вариантов, в зависимости от того какую сетевую схему вы реализуете)

В вашем случае, возможно, сработает просто добавление маршрута в таблицу маршрутизации ваших приватных подсетей (ищите все в разделе VPC AWS сервисов) на 0.0.0.0/0 через ваш VPN инстанс.

Так же, не забудьте, что у AWS есть два похожих слоя сетевой защиты : (различие важно!) NetworkACL, который регулирует взаимоотношения между подсетями и SecurityGroups которые регулируют взаимоотношения между элементами VPC к которым они могут быть привязаны( NetworkInterface, Instance .. etc.) : Не буду вдаваться в подробности, но
- в NetworkACL не должно быть правил запрещающих тем или иным образом доступ к подсети, где живет VPN из подсети, где находятся целевые инстансы, к которым вы пытаетесь получить доступ. И наоборот.
- в SecurityGroup конкретного инстанса должно быть правило, разрешающее трафик с инстанса VPN на порты управления, в VPN инстансе должно быть правило, разрешающее доступ с целевого инстанса по портам 1024-65535(или вообще всем) - это эфемерные порты, ответный трафик

[ivan_p]

yellowmew, спасибо еще раз, буду переваривать информацию