用AWS在独立子网上建立RRAS VPN

Question

基本布局：

• VPC的IP范围为10.0.0.0/16
• 子网上的2 EC2s 10.0.0.0/24
  • 首先，RRAS向VPN客户端提供IP地址(范围10.0.4.0/24)
  • 第二，仅仅是一个接收pings的测试机器。

• 与本问题无关的其他子网10.0.1.0/24等。

IP地址：

RRAS Server LAN side:   10.0.0.5
Test machine:           10.0.0.6
RRAS Server VPN Side:   10.0.4.10
Client #1:              10.0.4.11

VPN的

规范：

远程客户端应该只能使用VPN访问10.0.0.0/24子网上的计算机，并且不应该能够通过VPN浏览internet。这将需要客户建立分裂隧道，这是可以的。

发行：

当前的问题是，我不能让ping数据包去我想要的地方。我在这两台机器上都设置了Wireshark，但是数据包根本无法到达测试机器。

示例Pings：

Client #1:
a. ping 10.0.0.5     [success]
b. ping 10.0.4.10    [success]
c. ping 10.0.0.6     [fail]

在ping c中，我在RRAS侧的Wireshark上看到了ping，但它从未在测试机器上接收过。Wireshark给出了一个错误：“没有找到响应！”

我设想我错误地配置了VPC，因此10.0.4.0/24子网中的数据包要么是：

1. 被VPC丢弃，因为它们来自意外的子网，或者
2. 没有路线可以告诉VPC把他们送到哪里，所以他们就迷路了。

我能够通过启用一个公共NAT来实现这一点，但是我们不希望我们的所有工作人员通过这个VPN连接到互联网上，并收取大量的数据传输费用。

Answer 1

结果，我不得不在EC2控制台中禁用源代码/目的地检查。

这可以通过选择EC2实例来完成，然后从Actions菜单中选择，Networking > Change /Dest

编辑：

所作的其他一些改变是

1. VPN子网更改为10.1.0.0/24 (VPC之外)
2. 添加到VPC的路由，将10.1.0.0/24指向VPN实例