【亚马逊云】使用 AWS Client VPN 终端节点并使用 OpenVPN 测试其连通性

已于 2025-02-11 11:35:33 修改
阅读量1.8k 收藏 20
点赞数 33
分类专栏: 亚马逊云 文章标签: aws php 云计算
于 2024-12-31 15:01:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45392321/article/details/144849789
版权

🪪本文作者:许业宝

🌞 VSTECS 云解决方案架构师 | 亚马逊云科技云博主

⭐ 五项AWS能力认证 | CKA、CKS认证

🏆 信息网络布线项目市赛一等奖 | CSDN云计算领域优质创作者

文章目录

实验前置条件

  1. 创建好一个 VPC虚拟私有网络待用(包括已创建子网、互联网网关、路由表等配置);
  2. 准备好一台要测试连接 VPN的服务器(需安装 Client VPN 客户端);

1. AWS Client VPN 实验架构示例图

image-20241224101219366

2. AWS 虚拟私有网络简介

AWS 虚拟私有网络解决方案可在您的本地网络、远程办公室、客户端设备和 AWS 全球网络之间建立安全的连接。AWS VPN 由两种服务组成:AWS Site-to-Site VPN AWS Client VPN。这两种服务一起,可提供高度可用且具有弹性的托管云 VPN 解决方案,以保护您的网络流量安全。

AWS Site-to-Site VPN 可在您的网络与 Amazon Virtual Private Cloud 或 AWS Transit Gateway 之间建立加密隧道。要管理远程访问,AWS Client VPN 可使用 VPN 软件客户端将您的用户连接到 AWS 或本地资源。

3. AWS Client VPN 系统结构

AWS Client VPN 是一项完全托管的弹性 VPN 服务,可根据用户需求自动扩展或缩减。由于它是一个云 VPN 解决方案,因此,您无需安装和管理基于硬件或基于软件的解决方案,也无需尝试估计一次支持多少个远程用户。

AWS Client VPN 功能

AWS Client VPN 提供了一个完全托管的 VPN 解决方案,可通过 Internet 连接和兼容 OpenVPN 的客户端从任何位置访问。它具有出色的弹性,能够自动扩展,满足您的需求。您的用户可以连接到 AWS 网络和本地网络。AWS Client VPN 与您现有的 AWS 基础设施(包括 Amazon VPC 和 AWS Directory Service)无缝集成,因此您无需更改网络拓扑。

  • 身份验证

AWS Client VPN 将使用 Active Directory 或证书进行身份验证。Client VPN 与 AWS Directory Service 集成,AWS Directory Service 与您现有的本地 Active Directory 相连接,因此您无需将数据从现有的 Active Directory 复制到云中。采用 Client VPN 的基于证书的身份验证与 AWS Certificate Manager 集成在一起,可轻松预置、管理和部署证书。

  • 授权

AWS Client VPN 提供基于网络的授权,因此您可以基于 Active Directory 组定义访问控制规则,以限制对特定网络的访问。

  • 安全连接

AWS Client VPN 使用安全的 TLS VPN 隧道协议对流量进行加密。单个 VPN 隧道在每 个Client VPN 终端节点处终止,并为用户提供访问所有 AWS 和本地资源的权限。

  • 连接管理

您可以使用 Amazon CloudWatch Logs 从 AWS Client VPN 连接日志监控、存储和访问您的日志文件。然后,您可以从 CloudWatch Logs 中检索关联的日志数据。您可以轻松地监控、取证分析和终止特定连接,同时控制可访问您网络的用户。

  • 与员工设备的兼容性

AWS Client VPN 旨在将设备连接到您的网络。它允许您从基于 OpenVPN 的客户端中进行选择,从而使您的员工可以使用自己选择的设备,包括 Windows、Mac、iOS、Android 和 Linux 设备。

4. AWS Client VPN - 生成上传VPN证书

  • 在 EC2 实例中生成 VPN 服务器和客户端的证书密钥;
  • 将创建好的证书上传到ACM中;
  • 在本地保存好VPN服务器和客户端证书;

在 EC2 实例中,生成VPN RSA证书。

# 系统更新
$ sudo yum update -y

# 安装Git
$ sudo yum install -y git

# 将OpenVPN easy-rsa 存储库克隆到本地
$ git clone https://github.com/OpenVPN/easy-rsa.git
$ cd easy-rsa/easyrsa3

# 初始化一个新的 PKI环境(PKI:公钥基础设施)
$ ./easyrsa init-pki

# 构建新的证书颁发机构(CA)
$ ./easyrsa build-ca nopass

# 生成服务器证书和密钥
$ ./easyrsa build-server-full server.vpn.xybaws.com nopass

# 生成客户端证书和密钥
$ ./easyrsa build-client-full client1.vpn.xybaws.com nopass

# 将服务器证书和密钥和客户端证书和密钥复制到项目文件夹
$ mkdir ~/xybaws-vpn/
$ cp pki/ca.crt ~/xybaws-vpn/
$ cp pki/issued/server.vpn.xybaws.com.crt ~/xybaws-vpn/
$ cp pki/private/server.vpn.xybaws.com.key ~/xybaws-vpn/
$ cp pki/issued/client1.vpn.xybaws.com.crt ~/xybaws-vpn/
$ cp pki/private/client1.vpn.xybaws.com.key ~/xybaws-vpn/
$ cd ~/xybaws-vpn

# 查看创建出来的服务器和客户端证书和密钥
$ ll
total 28
-rw-------. 1 root root 1184 Dec 17 03:12 ca.crt
-rw-------. 1 root root 4515 Dec 17 03:13 client1.vpn.xybaws.com.crt
-rw-------. 1 root root 1704 Dec 17 03:14 client1.vpn.xybaws.com.key
-rw-------. 1 root root 4532 Dec 17 03:12 server.vpn.xybaws.com.crt
-rw-------. 1 root root 1700 Dec 17 03:13 server.vpn.xybaws.com.key

# 将服务器证书和密钥以及客户端证书和密钥上传到ACM
$ aws acm import-certificate \
	--certificate fileb://server.vpn.xybaws.com.crt \
	--private-key fileb://server.vpn.xybaws.com.key \
	--certificate-chain fileb://ca.crt \
	--tags Key=Name,Value=xybaws-vpn-server \
	--region ap-northeast-1

$ aws acm import-certificate \
	--certificate fileb://client1.vpn.xybaws.com.crt \
	--private-key fileb://client1.vpn.xybaws.com.key \
	--certificate-chain fileb://ca.crt \
	--tags Key=Name,Value=xybaws-vpn-client1 \
	--region ap-northeast-1

image-20241224130528754

导航至ACM控制台查看,

image-20241224132253081

image-20241224132340207

image-20241223174658089

客户端证书

image-20241224132606268

服务器证书

image-20241224132926727

5. AWS Client VPN - 创建 VPN 使用的安全组

导航至VPC安全组创建安全组

  • 安全组名称:xxxxxx-vpn-security-group
  • VPC:xxxxxx-vpc
  • 入站规则 / 添加规则:所有流量 0.0.0.0/0

image-20241224125447394

6. AWS Client VPN - 创建客户端 VPN 终端节点

创建客户端 VPN终端节点

操作步骤如下:

点击客户端 VPN 终端节点 , 开始创建客户端 VPN 终端节点

  • 名称标签:xxx-vpn

  • 客户端 IPv4 CIDR(以 CIDR 记法表示的 IP 地址范围,从该范围中为客户端分配 IP 地址。):10.0.0.0/22

  • 服务器证书 ARN:server.vpn.xxx.com

  • 身份验证选:使用相互身份验证

  • 客户端证书 ARN:client1.vpn.xxx.com

  • DNS 服务器 1 的IP地址(VPC DNS 内部地址)如,172.16.0.2

  • VPC ID (与终端节点关联的 VPC,一个终端节点仅可与一个VPC相关联):xxx-vpc

  • 安全组 ID (指定特定 VPC 中的安全组以应用到客户端 VPN 终端节点):xxx-vpn-securiy-group

image-20241223175838390

注意点:

✨1️⃣要想访问到外网,此VPC需要创建互联网网关,才能访问到外网。

✨2️⃣客户端VPN端点中的DNS服务器地址应该设置成此VPC所在网段的IP地址(一般默认为x.x.x.2)。

修改客户端 VPN 端点

image-20241224103803680

image-20241223175131424

image-20241223175245666

7. AWS Client VPN - 关联 VPN 终端节点

image-20241224102129199

image-20241224102458743

当目标网络关联状态变成Assoclated

image-20241224102615075

8. AWS Client VPN - 授权客户端访问网络

授权规则指定哪些客户端可以访问 VPC

导航到VPC — 点击客户端 VPN 终端节点 — 选择已创建好的客户端 VPN—选择授权规则

  • 1️⃣要启动访问权限的目标网络:0.0.0.0/0
  • 2️⃣授权访问权限:允许访问所有用户

image-20241224103247229

image-20241224103153163

!!!授权成功!!!

image-20241224103111225

9. AWS Client VPN - 创建授权配置文件

下载客户端 ovpn 文件,建立授权配置

  • 下载客户端 ovpn文件

image-20241224103436802

  • 点击下载客户端配置

image-20241224103404563

  • 编辑下载下来的授权配置文件。添加如下内容:
<cert>
Contenets of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>
  • 同时,也需要修改 DNS 名称,主要添加client1
remote client1.cvpn-endpoint-xxxxxxxxx.prod.clientvpn.us-east-1.amazonaws.com 443
  • 具体完整示例客户端配置文件如下:
client
dev tun
proto udp
remote client1.cvpn-endpoint-xxxxxxxxx.prod.clientvpn.us-east-1.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----

</ca>

<cert>
Contenets of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0

verify-x509-name server.vpn.awsvstecs.com name

10. AWS Client VPN - 修改路由表

修改 VPN 终端节点的路由表,导航至VPC客户端 VPN 终端节点路由表

  • 路由目标:0.0.0.0/0

  • 目标 VPC 子网 ID:subnet-xxxxxx

image-20241224112259220

image-20241224112721337

image-20241224103651111

11. AWS Client VPN - 使用 OpenVPN 连接 Client VPN 终端节点

  • 下载 OpenVPN 客户端

下载链接:Community Downloads - Open Source VPN | OpenVPN

image-20241224114724673

  • 下载AWS官方提供的连接客户端。

说明:AWS Client VPN 的客户端免费提供。您可以将计算机直接连接到 AWS Client VPN,以获得端到端的 VPN 体验。该软件客户端与 AWS Client VPN 的所有功能兼容。

下载链接:https://aws.amazon.com/cn/vpn/client-vpn-download/

image-20241224115055077

使用 OpenVPN客户端AWS Client VPN桌面版 连接 Client VPN 终端节点。

image-20241224115702784

image-20241224115706464

测试 VPC内网访问

  • 未连接VPN时,私有IP地址无法访问内网

image-20241224115743881

  • 连接到Client VPN后,私有IP地址可以访问内网

image-20241224120131144

注意

因国内网络限制原因,在Global区创建的Client VPN客户端终端节点,无法在境内使用客户端虚拟网络进行私网访问,本次实验是在Global其他区域开的轻量级服务器进行操作的。

12. 常见问题

💢报错

[ec2-user@ip-172-16-10-10 xybaws-vpn]$ pwd
/home/ec2-user/xybaws-vpn
[ec2-user@ip-172-16-10-10 xybaws-vpn]$ aws acm import-certificate \
> --certificate fileb://server.vpn.xybaws.com.crt \
> --private-key filed://server.vpn.xybaws.com.key \
> --certificate-chain filed://ca.crt \
> --tags Key=Name,Value=xybaws-vpn-server \
> --region ap-northeast-1
Unable to locate credentials. You can configure credentials by running "aws configure".
[ec2-user@ip-172-16-10-10 xybaws-vpn]$

✅Installing or updating the latest version of the AWS CLI

$ curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"

$ unzip awscliv2.zip

$ sudo ./aws/install

操作如下:

[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws configure
AWS Access Key ID [None]: AKIA****************M6
AWS Secret Access Key [None]: xDvX*********************************pFn
Default region name [None]: ap-northeast-1
Default output format [None]: json
[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************2WM6 shared-credentials-file
secret_key     ****************hpFn shared-credentials-file
    region           ap-northeast-1      config-file    ~/.aws/config
[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws acm import-certificate \
> --certificate fileb://server.vpn.xybaws.com.crt \
> --private-key fileb://server.vpn.xybaws.com.key \
> --certificate-chain fileb://ca.crt \
> --tags Key=Name,Value=xybaws-vpn-server \
> --region ap-northeast-1
{
    "CertificateArn": "arn:aws:acm:ap-northeast-1:540*******692:certificate/1bf78b2b-6e05-487d-af6b-965f02d2e51d"
}
[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws acm import-certificate \
> --certificate fileb://client1.vpn.xybaws.com.crt \
> --private-key fileb://client1.vpn.xybaws.com.key \
> --certificate-chain fileb://ca.crt \
> --tags Key=Name,Value=xybaws-vpn-client1 \
> --region ap-northeast-1
{
    "CertificateArn": "arn:aws:acm:ap-northeast-1:540*******692:certificate/374b2569-18cf-4fc2-9418-ae3dbcbc6d57"
}
[ec2-user@ip-172-16-10-16 xybaws-vpn]$

13. 参考链接

1️⃣https://aws.amazon.com/cn/vpn/features/

2️⃣Installing or updating the latest version of the AWS CLI - AWS Command Line Interface

3️⃣https://docs.aws.amazon.com/zh_cn/vpn/latest/clientvpn-admin/client-authentication.html

4️⃣https://docs.aws.amazon.com/zh_cn/vpn/latest/clientvpn-admin/cvpn-getting-started.html

【云原生进阶之容器】第六章容器网络6.4.1--Flannel组网方案综述
junbaozi的专栏
04-13 651
Flannel是 CoreOS 团队针对 Kubernetes 设计的一个覆盖网络(Overlay Network)工具,其目的在于帮助每一个使用 Kuberentes 的 CoreOS 主机拥有一个完整的子网。这次的分享内容将从Flannel的介绍、工作原理及安装和配置三方面来介绍这个工具的使用方法。
HCIE-Cloud题库
stqer的博客
08-09 4144
⒉.使用华为BCManagerbAckup进行数据备份采用LAN-Free组网模式,当用户备份一台虚拟机时,生产存储会执行什么操作?A.向备份存储发送备份数据(正确答案)B.向备份服务器发送备份数据C.向虚拟化环境发送备份数据D.向备份代理发送备份数据4.FusionCompute与FusionSphereOpenStack对接的,FusionCompute的管理网络必须与FusionSphereOpenStack的哪个网络互通?A.external om(正确答案).........
PPTP 实践篇
adambynes的博客
08-07 1345
今天开篇来说说VPN的事,大家知道VPN就是virtual private network就是为大家提供端到端的隧道的一系列协议对于PPP的隧道协议有PPPOE L2TP PPTP,ethernet over MPLS的有VPLS VPWS, ip over MPLS的有MPLS VPN基于MP-BGP 的VPNv4的地址空间, ethernet over IP的有OTV VXLAN NVGRE等,
AWS使用 Client VPN 配置访问VPC 内网资源
ma_qi_chao的博客
03-07 1599
AWS Client VPN是一种基于客户端的托管VPN服务,让您能够安全地访问云上资源或借助云作为网络通道访问其他资源。AWS Client VPN具有专用的VPN客户端,也支持使用OpenVPN作为客户端
【Amazon】AWS VPN 虚拟私有网络解决方案学习笔记
宝耶需努力的技术分享博客
11-26 3351
AWS 虚拟私有网络解决方案可在您的本地网络、远程办公室、客户端设备和 AWS 全球网络之间建立安全的连接。AWS VPN 由两种服务组成:AWS Site-to-Site VPNAWS Client VPN。这两种服务一起,可提供高度可用且具有弹性的托管云 VPN 解决方案,以保护您的网络流量安全。
AWS使用Client VPN使用双向身份验证
最新发布
SINGWIN01的博客
04-02 930
将位于文件底部的 -----BEGIN CERTIFICATE----- 以 -----END CERTIFICATE----- 结尾的部分复制到证书正文中。将位于文件底部的 -----BEGIN CERTIFICATE----- 以 -----END CERTIFICATE----- 结尾的部分复制到证书正文中。将从 -----BEGIN CERTIFICATE----- 开始以 -----END CERTIFICATE----- 结尾的文件部分复制到证书私钥中。1.6生成客户端证书和密钥。
AWS使用Client VPN基于Active Directory使用身份验证
SINGWIN01的博客
04-02 812
将位于文件底部的 -----BEGIN CERTIFICATE----- 以 -----END CERTIFICATE----- 结尾的部分复制到证书正文中。将从 -----BEGIN CERTIFICATE----- 开始以 -----END CERTIFICATE----- 结尾的文件部分复制到证书私钥中。将从 -----BEGIN CERTIFICATE----- 开始以 -----END CERTIFICATE----- 结尾的文件部分复制到证书链中。打开下载的文件在后面添加证书和密钥。
AWS搭建免费OPEN VPN搭建
止境博客
02-05 3072
以上就是今天要讲的内容,本文介绍了windows环境下openvpn的搭建,后续其他平台的搭建需要大家探索。装配完毕后我们可以看到在root目录下生成了对应的xxx.ovpn文件(xxx就是上边输入的名字)点击文件,打开文件树,我们将刚生成的xxx.ovpn下载到本地(需要登录root不然没有权限)点击进入config文件夹,将我们在4.9步骤,服务器下载好的xxx.ovpn放进去。在连接服务器的时候注意root账号连接,否则会提示无权限的问题。选择完后回车,会提示选择端口号1194,输入1194后回车。
私有云搭建测试
weixin_47748395的博客
08-04 863
1.云计算简介 1.1 云计算 基于互联网的相关服务的增加、使用和交付模式;这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池这些资源能够被快速提供,管理投入及与供应商的交互都相对较少。通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。 1.2 IaaS(infrastructure) 基础设施即服务,提供给消费者的服务是对所有计算基础设施的利用,包括处理CPU、内存、存储、网络和其他基本的计算资源,用户能够部署和运行任意软件,包括操作系统和应用程序通常分为是三种用法:共有云、私有
云计算习题
热门推荐
wql427的博客
06-23 3万+
单选题 在OSI模型中,HTTP协议工作在第()层,交换机工作在第()层。 A、 7/3 B、 7/2 (正确答案) C、 6/3 D、 6/2 Linux有三个查看文件的命令,若希望在查看文件内容过程中可以用光标上下移动来查看文件内容,应使用命令。 A、 cat B、 more C、 less (正确答案) D、 menu 以下哪一项最好地描述了何时完成监控项目过程组? A、 整个项目中持续进行 (正确答案) B、 每个可交付成果完成时 C、 计划里程碑或项目间隙 D、 每个项目阶段
云计算
Wql的博客
06-23 2354
单选题 在OSI模型中,HTTP协议工作在第()层,交换机工作在第()层。 A、 7/3 B、 7/2 (正确答案) C、 6/3 D、 6/2 Linux有三个查看文件的命令,若希望在查看文件内容过程中可以用光标上下移动来查看文件内容,应使用命令。 A、 cat B、 more C、 less (正确答案) D、 menu 以下哪一项最好地描述了何时完成监控项目过程组? A、 整个项目中持续进行 (正确答案) B、 每个可交付成果完成时 C、 计划里程碑或项目间隙 D、 每个项目阶段
aws-vpc-nat网关(私有子网访问Internet)
大鹅的博客
11-01 1385
ssh测试 :(可以通过同一vpc,有公网的机器ssh 密钥文件的方式登录私网机器)查看私网机器出网ip 即为nat网关地址。记得安全组放开,以及子网的acl策略。
记一个vpc配置引起的aws ec2无法访问外网问题
蛐蛐的博客
10-11 1894
1.简介 一般创建的ec2可以访问外网,今天创建了一个特殊的ec2,指定了subnet和vpc之后,无法访问外网 2.解决 aws做网络设置时,如果使用默认vpc,则会自动分配public ip 如果指定vpc,则会根据vpc的配置来决定是否分配public ip 如果vpc不允许分配public ip,需要启用public ip 没有public ip,无法访问外网 只能在创建实例时启用public ip,创建后无法更改 ...
服务器内网openvpn部署
weixin_42379130的博客
11-25 784
1、需要远程办公,连接到公司内网,打开相应的内网资源2、需要访问服务器内网,进行连接服务器等操作。
AWS 中文入门开发教学 12- 建立互联网网关 - 使VPC子网可以连上互联网
weixin_43487849的博客
08-19 291
https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/VPC_Internet_Gateway.html建立互联网网关:绑定到VPC上。
AWS攻略——使用Public NAT解决私有子网实例访问互联网
方亮的专栏
02-20 1314
私有网络访问互联网
AWS: VPC的介绍及使用(包含解决EC2的连接问题)
wucong60的专栏
07-20 6696
简介 VPC(Virtual Private Cloud)可以将云上的资源划分出来,做为一个隔离的云上数据中心的使用。 VPC的场景1(只包含一个公有子网) 接下来接下来我们做的步骤如下: 创建一个VPC 创建子网及在此子网中创建一个虚拟机 创建一个Internet网关,外部能访问此虚拟机 让外网能ping通此虚拟机 1. 创建一个VPC 点击创建VPC,如图,如果创建一个名为...
AWS私有子网访问互联网之-NAT网关
qq522044637的博客
08-20 4664
NAT网关基础 NAT 网关是一种网络地址转换 (NAT) 服务。您可以使用 NAT 网关,以便私有子网中的实例可以连接到 VPC 外部的服务,但外部服务无法启动与这些实例的连接。 NAT 网关将实例的源 IPv4 地址替换为 NAT 网关的私有 IP 地址。向实例发送响应流量时,NAT 设备会将地址转换回原始源 IPv4 地址。 在创建 NAT 网关时,您指定以下连接类型之一: 公开–(默认)私有子网中的实例可以通过公共 NAT 网关连接到互联网,但不能接收来自互联网的未经请求的入站连接。您.
第二部分:从客户 Amazon VPC 访问外部亚马逊云科技托管服务
傅红雪的专栏
05-05 481
亚马逊云科技有很多的无服务器的托管服务,这些服务具有高可用性,高弹性和普遍性。从客户 VPC 内部访问外部的托管服务,几乎是必然的,也只有这样才能更有效地利用云上的优势。因此在继前面的第一部分讲述了 VPC 内部的资源相互访问后,我们需要考虑如何和外部的托管服务进行连接,以及访问这些服务的网络安全以及所需要的额外配置。本文是“在亚马逊云科技上围绕 Amazon VPC 打造内外兼修的合适架构”系列主题的第二部分。主要讲述在亚马逊云科技中,如何从客户 VPC 中访问外部亚马逊云科技的托管服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值