亚马逊AWS官方博客

利用 AWS Client VPN 安全地访问 VPC 中和 on-premise 资源

1.Client to site VPN 简介

Client to site VPN 又称为 Access VPN,员工通过该方式可以接入公司内部网络,适用于员工移动和远程办公的需要。SSL VPN 是最常用的 Client to site VPN 协议,利用 SSL 及其后续升级协议 TLS 来建立 VPN tunnel。Amazon Client VPN 提供该服务。

2.AWS Client VPN 简介

AWS Client VPN 让用户可以从任意位置使用 open VPN 客户端创建 TLS 连接到 AWS VPC, 它是完全托管的服务,用户不再需要维护和管理第三方的 VPN 接入方案。默认弹性和高可用,根据用户数自动扩展。支持客户端通过证书方式认证,也可以与 AD 集成。

在创建之前,先熟悉一下如下概念和注意事项:

  • Client VPN Endpoint:VPN session 的终结点。
  • Target Network:Client VPN endpoint 关联的子网,指 VPC 的subnet。用户可以关联多个子网,但必须属于同一个 VPC,且每个 AZ 中只能关联一个子网。
  • Route:Client VPN endpoint 的路由表,决定了 client 可以到达的目的网络。
  • Authorization 规则:限制可以访问某个子网的用户组。对于某个特定的子网,可以限制某个 AD 组的用户访问。默认没有授权规则,必须创建授权规则允许用户访问某个资源或网络。
  • Client VPN的 CIDR 不能和关联的 subnet 或者连通的网络中有任何 IP 地址冲突。
  • Client VPN endpoint和关联的 VPC 必须属于同一账号。

Client VPN 使用场景:

用户可以利用 Client VPN 连接到 VPC 内部、用户 On-premise 资源、Internet、Peering 的 VPC。

3.AWS Client VPN 配置步骤

3.1 准备工作

本例采用双向认证方式,先利用 OpenVPN easy-rsa 生成客户端和服务器端的证书和密钥,并将 server 端的证书和密钥上传到 AWS certificate manager 服务中。具体命令如下:

git clone https://github.com/OpenVPN/easy-rsa.git

cd easy-rsa/easyrsa3

./easyrsa init-pki

./easyrsa build-ca nopass

./easyrsa build-server-full server2 nopass

./easyrsa build-client-full client2 nopass

#这里的 server2、client2 用户可自行定义名称。生成成功后,将根证书、服务器端的证书和私钥 copy 到用户自定义文件夹中

cp pki/ca.crt /custom_folder/

cp pki/issued/server2.crt /custom_folder/

cp pki/private/server2.key /custom_folder/

cd /custom_folder

#将根证书、server 端的证书和私钥上传到 ACM 服务中,用户可以利用 AWS CLI 或者console 来完成下面的导入操作

   $ aws acm import-certificate –certificate file://server2.crt –certificate-chain file://ca.crt –private-key file://server2.key –region us-east-1

导入后在 ACM 中确认是否导入成功:

3.2 创建Client VPN endpoint

登录 console 后进入 VPC 服务,选择 US-east-1,US-east-2,US-west-2,eu-west-1 这四个 region 之一(目前这四个 region 提供 client VPN 服务)。

  1. 选择 CIDR,该 CIDR 为分配给 client 的地址池,不能和 VPC 以及所需要连通的网络有地址冲突。
  2. 服务器端证书 ARN,选择准备阶段导入 ACM 中生成的证书 ARN。
  3. 客户端证书 ARN,选择准备阶段导入 ACM 中生成的证书 ARN,勾选双向认证。

  1. 用户可以选择打开或不打开连接日志,打开后可以将用户登录日志信息发送到 CloudWatch 中。
  2. DNS server 是可选项,用户可以选择公网的 DNS 服务,也可以使用本地 DNS 解析。
  3. 传输协议,可以使用 TCP 或 UDP。使用 UDP 效率会更高。

3.3 关联 VPC subnet 到 Client VPN endpoint

创建完成后 endpoint 状态默认为 pending-associate,需要关联到 VPC 中某个子网。

选择 Client VPN 接入的 VPC subnet,并关联。关联过程需要几分钟。最终状态如下:

 

3.4 配置授权规则

如上图配置,允许接入的用户访问 VPC 中的 CIDR 10.21.0.0/16。几十秒后下面的授权状态会由 authorizing 变为 active。

3.5 创建路由表

默认情况下,到 VPC subnet 的授权完成后会自动添加路由,确认状态为 active

3.6 客户端连接

先从 console 中导出VPN配置文件

将该导出的配置文件和准备阶段生成的客户端证书密钥放到同一个文件夹下

客户端证书 — easy-rsa/easyrsa3/pki/issued/client2.crt

客户端密钥 — easy-rsa/easyrsa3/pki/private/client2.key

最终在该文件夹下有如下三个文件:客户端证书/客户端密钥/VPN 配置文件

若是 MAC 系统,在客户端配置文件(默认文件名为 downloaded-client-config.ovpn)最后添加下面两行:

cert ./client2.crt

key ./client2.key

MAC客户端推荐使用 Tunnelblick 或者 openVPN,也可以是其他任何基于 openVPN的客户端。

https://tunnelblick.net/downloads.html

https://openvpn.net/vpn-server-resources/connecting-to-access-server-with-macos/

 

在 MAC上安装完 openVPN 客户端,以 Tunnelblick 为例,先导入配置文件。

将 ovpn 配置文件拖入 TunnelBlick 的配置窗口,注意下面的几个配置项。

 

若是 windows 系统,在客户端配置文件(默认文件名为 downloaded-client-config.ovpn)最后添加如下两行,并将该配置文件拷贝到 open vpn 安装路径的 config 目录下,下面的密钥和证书文件可存放任意位置,只需要提供准确的路径。

cert c:\\clientkey\\client1.crt

key c:\\clientkey\\client1.key

在windows中可以安装openvpn 客户端,链接: https://openvpn.net/community-downloads/

注意对于部分 OpenVPN 客户端,若不支持任意主机前缀选项(remote-random-hostname),需要修改客户端配置文件(默认文件名为downloaded-client-config.ovpn)中的 DNS,在前面添加任意前缀,如下面的”1.”

客户端连接成功后,可以从 console 中查看客户端状态:

连接后确认到 VPC 可达,下面的10.21.0.200 为 associate VPC中的一台 EC2虚拟机:

 

4. AWS Client VPN 访问公网场景

若希望接入用户可以通过该 VPN 连接访问 Internet,需要配置授权规则,添加到达 internet的授权:

再手工添加到 internet 的路由:

用户需要确保 target VPC 中配置了 IGW,且有到 internet 的默认路由。

上面的配置完成后,在客户 PC 上,通过 nslookup 命令确认 DNS 和公网访问都已经生效:

5. AWS Client VPN 访问on-premise场景

若希望 Client VPN 接入的用户可以访问 on-premise 资源,VPC 所 attach 的 VGW 必须已经关联到 DX 网关:

确认 VPC 路由表中有到 on-premise 网段的路由表:

若上面的条件都已经满足,On-premise 设备即可以 ping 通和登陆,下面的192.168.10.10为本地机房的一台 vyos 虚拟路由器。

6. AWS Client VPN 访问Peering VPC场景

若希望 Client VPN 接入的用户可以访问 peering VPC,只需正常创建 VPC peering connection:

确认路由表已经添加到 peering VPC 的路由,对端 VPC 子网为172.16.0.0/16 网段

本例中,对端 VPC 中 EC2 虚拟机 IP 地址为172.16.0.225,从用户 PC 可以正常 ping 通

7.  总结

利用 AWS Client VPN 服务用户可以轻松地搭建VPN服务,用户可以在任何位置以更高的稳定性和速度访问 VPC 中和 on-premise 的资源,或访问 internet。还可以通过 AD 组或者网络接入规则实现精细的安全控制。且易于管理,管理员可以查看和管理所有用户接入session,详细的接入日志信息等。

本篇作者

叶江荣

AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有多年外企售前经验,在传统网络架构的性能和安全方面有丰富的实践经验。