问题标签 [aws-vpn]

我一直致力于使用 AWS 的 CDK 创建 VPN。我不得不使用 Cloudformation 较低级别的资源，因为似乎还没有任何构造。我相信我的代码设置正确，因为cdk diff没有显示任何错误。但是，运行时cdk deploy出现以下错误：

这很奇怪......因为我认为我不需要相互身份验证来创建使用相互身份验证的 VPN。如果是这种情况，那么如何让 aws cdk 堆栈在部署时使用相互身份验证？这是我拥有的相关代码：

也许这很简单，比如需要更新 IAM 策略？总的来说，我对 aws、aws cdk/cloudformation 和 devops 还很陌生。因此，任何见解将不胜感激！

我正在尝试使用 Powershell 创建用于 AWS VPN 和 OpenVPN 的证书。我发现文档帮助不大。有什么好的网站吗？

我不确定为什么必须在AWS Direct Connect + VPN设置中使用公共 VIF。通常，如果您连接到虚拟私有网关，您应该使用私有 VIF，如AWS Managed VPN中所示。为什么在这种情况下必须使用公共 VIF？

AWS Direct Connect + VPN 示意图：

AWS 托管 VPN 示意图：

编辑 1：
通过观看AWS re:Invent 2018：AWS VPN 解决方案 (NET304)获得了更好的理解。我们需要公共 VIF，因为 AWS Site-to-Site VPN 在虚拟专用网关上创建了两个公共端点，这些端点仅对公共 VIF 可见。那次谈话的图表：

我正在使用具有相互身份验证的 AWS Client VPN，并且我想通过特定用户 IP 地址限制对我的 VPN 终端节点的访问。这可能吗 ？

我有一个s3设置为托管静态站点的存储桶。（https://internal.beforep.com）

我已经client vpn endpoint为 VPN 访问设置了 aws 并且它已启用split-tunneling。

现在我只想通过我的 VPN访问这个站点（https://internal.beforep.com ）。我怎样才能做到这一点？

由于我在client vpn endpoint启用拆分隧道的情况下使用，应该如何配置S3 存储桶策略和通过 VPN 的访问？

假设我使用 VPN CIDR as 10.1.0.0/22，如果我将存储桶策略设置如下：

但是即使我连接到VPN，我仍然无法使用浏览器访问该网站，它说访问被拒绝。这是因为启用了拆分隧道还是因为我在 aws 方面做错了什么？

有人可以帮帮我吗？

AWS Managed VPN 和 Site-to-site VPN 有什么区别

我使用一个安全组设置了一个客户端 VPN 端点（客户端 CIDR 10.0.132.0/22），关联到两个私有子网（10.0.2.0/24 和 10.0.3.0/24）。我还有一个使用相同的两个子网和相同的安全组的 RDS 数据库。安全组具有允许来自同一安全组的所有流量的入站规则。

我可以连接到 VPN，但是当我尝试连接到 mysql 时，它无法解析主机。

我认为它可能是 DNS，但我从 EC2 查找了数据库的私有 IP（10.0.2.X），然后我尝试使用该 IP 进行连接，但它也不起作用。

然后我认为它可能是安全组中的某些东西，我添加了一个入站规则，接受来自任何地方的所有流量，但仍然无法连接。

我可以从 EC2 实例访问 RDS，这意味着 RDS 工作正常，听起来不像是安全组问题。

我认为问题可能来自VPN。我可以正确连接到 VPN，并且可以在 AWS 控制台（客户端 IP 10.0.132.X）中看到连接。

额外信息：

虚拟专用网：

协会：

授权：

路由表：

有什么帮助吗？

谢谢

我正在尝试初始化放大，但由于网络错误而失败。下面是命令堆栈。

我查了很多论坛。涉及代理时会发生这种情况（一般建议是设置环境变量 http_proxy 和 https_proxy）。虽然我的笔记本电脑在公司 VPN 上，但没有设置代理。请找到 netsh 命令的输出

请帮我解决问题。

我们有一个从我们的 AWS 云到客户的现场网络的站点到站点 VPN 连接。我们的 Web 应用程序登录需要来自客户的活动目录的身份验证，因此需要 VPN 连接。

当我们的应用程序有一段时间没有使用时，VPN 隧道会关闭，因此当用户尝试登录应用程序时，由于隧道关闭，他无法登录。隧道需要一些时间才能起床，之后一切正常。

我与客户的 IT 人员打了一个电话，他们似乎在他们的末端设置了一个保持活动位（DPD 设置），但隧道仍然在不断下降。AWS 支持也没有多大帮助。

我四处搜索，发现我们可以保持隧道活动的一种方法是“从来自外部接口的设备向目标发送 ping。ping 的可能目的地是 VPC 内的实例”

AWS 文档还建议“创建一个主机，每 5 秒向您的 VPC 中的一个实例发送 ICMP 请求。”

我的 VPC 中已经有一个私有子网 EC2 实例（只有私有 IP）。

我的问题是，我是否需要在我的 VPC 私有子网中创建另一个 ec2 实例并每 5 秒从另一个实例 ping 第一个实例？

我需要为此编写一个shell脚本吗？

我基本上对从哪里 ping、谁 ping 以及如何 ping 感到困惑。

嗨，我已经完成了启用拆分隧道的 AWS VPN 客户端设置，确切的场景是我们的账户 A、B 和 C 所有 VPC 都与账户 D 对等，账户 D 是我们的共享技术账户，我们也为最终用户设置了客户端 VPN没有任何东西。

我们的客户端 vpn 面临的两个问题如下：

1. 当用户连接到 AWS 客户端 VPN 时，他无法使用 DNS 端点访问在账户 A、B、C 中运行的 RDS 实例，这些账户中的所有其他私有 IP 地址都可以访问，看起来 AWS 正在使用私有 DNS 端点，而客户端 vpn 是不使用公共 dns 来解决它们。

2. 当用户连接到客户端 VPN 时，每次 ip 根据 cidr 更改时，他都不会获得静态 ip，有没有办法可以设置它，使其具有静态 ip，然后我们可以在我们的 ALBS 或任何其他上列入白名单解决方法，以便我们可以将 ALB 列入客户端 VPN 的白名单。