מישהו יכול לומר לי האם אני טועה כאן. אני מנסה להקים שרת VPN, מאחורי מכשיר NAT פנימי ב־EC2. יש שלושה ממשקים במכשיר, ממשק WAN ואז שניים נוספים שמפנים לתת רשת LAN סטנדרטית ומתוך רשת “dmz”. הקמתי טבלת ניתוב ברשת ה־dmz לDefault (0.0.0.0) בממשק במכשיר שנמצא ברשת ה־dmz. אני יכול לפינג את המכשיר מהשרת, ולהיפך, בלי בעיה.
קדמתי והעברת את פורט ה־VPN מהמכשיר לשרת באמצעות רשת ה־“dmz”. אני יודע שהתנועה נכנסת למכשיר.
לדעתי, או שהתנועה לא מנותבת כראוי או ששרת ה־VPN לא יכול להשיב. ההשערה שלי היא שהשרת מקבל את הבקשה ומשיב דרך רשת הלาน במקום.
ביצעתי בדיקה על ידי עריכת פרופילי NIC על השרת עם כתובות סטטיות והגדרת שער יציאה רק על ממשק ה־dmz. הופתעתי שזה לא עבד; הוא לא יכל לנתב לאינטרנט. ה־tracert לא הראה תוצאות.
אני מבין שהדרך הנכונה/הנורמלית היא פשוט שיהיה לשרת ה־VPN צד dmz ברשת ציבורית עם EIP על זה; ניסה לעשות שימוש במכשיר לשם שיפור האבטחה.
האם מישהו יכול לייעץ אם אני בדרך הלא נכונה? תודה מראש.
בדרך כלל, מכשירי רשת שמטפלים ב־NAT גם מטפלים בחיבורי VPN. אתה יכול פשוט להשתמש באותו מכשיר לשניהם? זה יהיה הרבה יותר קל לניהול.
בהנחה שמכשיר הרשת מוגדר נכון, כדאי לבדוק אם אפשר לכבות את בדיקות המקור/יעד על ממשק הרשת. הגדרה זו מותקנת כברירת מחדל והיא תוריד חבילות שלא תואמות את כתובת הממשק. במיוחד חשוב לבדוק את זה על ממשק ה־VPN של השרת.
אם המכשיר אכן מעביר לכתובות שלא מתאימות זה כנראה טעות בהגדרות של המכשיר. זכור שלמכשיר יש גם טבלת ניתובים משלו שיש להגדיר - בנפרד מרשימות ה־subnets ב־AWS. לכן:
- בדוק source/destination
- ודא שברשימת הניתובים של רשת ה־VPN יש מסלול חזרה למכשיר
- ודא שרשימת הניתובים של המכשיר עצמו יודעת לאן לנתב
- ודא שקבוצות האבטחה על שני המכשירים מאפשרות תעבורה זה אל זה.
אה, העניין של source/dest כנראה זה הבעיה! לצערי, אצטרך לנתק או לכבות את המכשיר כדי לשנות את זה בשני הצדדים. אנסה מחר וזה נראה איך זה ישתפר.
גם מסכים, רק שהמכשיר הזה עושה רק OpenVPN, שזה אולי עניין של תרגול (והקמה מעצבנת).