我允许 EC2 安全组中的哪些 IP 地址允许客户端 VPN 流量通过？

Question

我有一个 AWS 客户端 VPN 设置，以便可以连接到 VPN 的人可以访问同一 VPC 上的 EC2 服务器。一些用户报告说，他们在使用 VPN 时无法连接到服务，而其他用户则可以。

我可以在终端中执行 aping {{address_of_ec2_instance}}并获得响应，但连接到同一 VPN 的另一个用户将使用完全相同的命令获得超时，并解析相同的 IP。当他们访问https://www.whatismyip.com/时，他们报告连接到相同的 ISP 和位置。

我唯一可以推测的是，也许我没有在 EC2 安全设置上允许正确的端口范围，并且某些用户在端口范围内，但其他用户不在端口范围内。对于给定的客户端 VPN 终端节点，如何确定要转发的端口范围？

Answer 1

当您启动客户端 VPN 时，您将提供一个Client IPv4 CIDR范围。连接到此时，您将获得该范围内的 IP 地址（连接时被视为私有 IP 地址）。

对于任何私有 IP 连接，源 IP 将来自此范围（并且当您使用客户端 VPN 时，您应该使用公共 IP 上的私有 IP 进行连接，以保持通过隧道的网络传输）。

如果您通过公共 IP 地址进行连接，则需要考虑是否希望所有流量或仅专用流量通过客户端 VPN。通过启用分割隧道，您将使用本地的公共 IP 地址，否则您将使用 Amazon 服务器池中的公共 IP 地址。

附带说明一下，如果您尝试调试连接故障，可以使用VPC 流日志。