Windows Server 2008 r2でAmazon EC2のVPNサーバーを上げる

ネットワーク上には、Amazon AWSクラウドでVPNサーバーを上げる方法が多数ありますが、Unixのようなシステム向けですが、Windowsで上げる方法はまったく考慮されていません。

マニュアルが見つからなかったので、自分でそれを把握し、Windows Server + OpenVPN + Android OpenVPN Clientに基づいたAmazon EC2を作成したかったのです。

行こう！

この記事は初心者向けではないため、一般的な質問がいくつかありません。

Amazon AWSでの登録プロセスについては説明しません-簡単です。 私は前に登録しなかったので、電話番号に確認が来ることに驚いた。 勤務番号を書きます。 登録後、 ダッシュボード https://console.aws.amazon.com/console/homeにアクセスします

メニューサービス → 計算 → EC2 → インスタンスを踏みます。 [ Launch Instance]をクリックして、 ウィザードを開きます。 使用可能なAMIのリストで、 Microsoft Windows Server 2008 R2 Base-ami-59fc7439を選択します

2番目のステップでは、利用可能なオプションt2.micro（無料利用枠）を選択します-その機能は私たちにとって十分以上のものです。 [ 起動 ]をクリックするのは急いではいません。[ 次へ：インスタンスの詳細を構成する]をクリックします（デフォルトでVPCを構成し、デフォルトのサブネットがあり、KeyPairsが作成されていると仮定します 。ちなみに、VPCをゼロから再構築し、1つのネットワークのみを残しました10.100.11.0/24）。

デフォルトでは設定はそのままですが、[ パブリックIPの自動割り当て]を[ 有効]に設定します。 次に、 プレビューと起動をクリックします。 インスタンスが作成されるまで数分待ちます。

左側のダッシュボードで、[ ネットワークとセキュリティ] →[ セキュリティグループ]セクションを選択します。 インスタンスに関連付けられているグループを選択します。 以下の[ 受信]、[送信]タブでは 、すべてのトラフィック（alltraff）を通過させる許可を一時的に追加します。

現在、RDPのみが許可されています。 急いでいる人は、両方のタブでOpenVPNとICMPのポート1194を有効にすることができます。 インスタンスが作成されて機能するので、接続する必要があります。 インスタンスを選択し、[ 接続 ]をクリックします 。

.rdpファイルをダウンロードしてパスワードを取得するよう求めるウィンドウが表示されます。 ダウンロード。 [ パスワードを取得]をクリックして、キーファイルを指定し、復号化して、パスワードを取得します。 ケースの前半が完了しました。 RDPを開き、ホストに接続します。

私たちの前に純粋なOSがあります。 次に何が必要ですか？

1. Google Chromeをダウンロードして、チェックを簡単にします。
2. OpenVPNをダウンロードします。
3.デフォルト構成でサーバーを上げます。
4. NATを上げます。

IE経由でダウンロードする必要がある場合を除き、最初の2つのポイントに問題はありません。 公式Webサイト（MSI）からOpenVPNをダウンロードし、デフォルト設定で設定します。何も変更しないでください。

Chromeからipleak.netにアクセスして、IPを確認します。 彼は米国/オレゴン州のどこかにいるでしょう。 OpenVPNのサーバー証明書とクライアント証明書の作成方法については説明しません。このトピックに関する資料は十分にあります。 必ずPAMファイル（Diffie-Hellman）を作成してください。作成しないと、サーバーは起動しません。

OK、すべてがダウンロードされ、インストールされました。 サーバーでサーバーマネージャーを開き、[ サービス]セクションに移動します 。 OpenVPN Legacy Serviceを見つけ、そのプロパティを開きます-Startup type： Automaticを指定して、サービスを開始します。 これは、インスタンスを再起動した後にOpenVPNサーバーが自動的に起動するために必要です。

C：\ Program Files \ OpenVPN \ configを開きます-CA.key、server.key、ta.key、dh2048.pemのキーと、CAおよびサーバー証明書をそこにドロップします。 C：\ Program Files \ OpenVPN \ sample-configを開き、そこからserver.ovpnファイルをC：\ Program Files \ OpenVPN \ configにコピーします。

このようなコンテンツの書き換え：

ポート1194
プロトUDP
開発者

ca ca.crt
cert server.crt
鍵server.key
dh dh2048.pem
＃VPNの仮想ネットワーク
サーバー172.10.10.0 255.255.255.0

ifconfig-pool-persist ipp.txt
キープアライブ10120

tls-auth ta.key 0＃このファイルは秘密です
暗号AES-256-CBC

最大クライアント数100

永続キー
持続する

開発ノード「HomeVPN」

#HomeVPNは、OpenVPNのインストールによって作成されたTAPです。 便宜上名前を変更しました

＃これは、すべてのクライアントを無理なくルーティングできるようにするために必要です。
「ルート0.0.0.0 0.0.0.0」を押します

＃DNSを指定しますが、これは必須ではありません
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

動詞3
明示的終了通知1

保存します。

サーバーのセットアップが完了しました。 server.ovpnを選択し 、コンテキストメニューを開き、 この設定ファイルで[OpenVPNを開始 ]を選択します 。

その後、ターミナルが開き、ダウンロードプロセスが開始されます。 すべてが正しく行われると、最後に初期化シーケンス完了が表示されます。

ここで、クライアント接続に問題がないように、1つのことを選択する必要があります。Windowsファイアウォールで、OpenVPNトラフィックを通過させてポート1194を許可するルールを作成するか、ファイアウォールをオフにするだけです。 私は2番目のアイテムを選びました。

ここで、クライアント構成を作成する必要があります。 クライアント（Android）にOpenVPN Clientがインストールされており、クライアントを含むすべての必要な証明書とキーが利用可能であると想定されています。

クライアント構成は次のとおりです。

クライアント
開発者
プロトUDP
リモートxxx-xxx-xxx-xxx-xxx.us-west-2.compute.amazonaws.com 1194
無限の解決と再試行
ルートメソッドexe
ノバインド
永続キー
持続する
ca ca.crt
cert client.crt
キーclient.key
remote-cert-tlsサーバー
tls-auth ta.key 1
暗号AES-256-CBC
auth SHA1
動詞3
ルート0.0.0.0 0.0.0.0 vpn_gateway

Android向けOpenVPNでは、設定をインポートします。 [ 基本 ]タブで、認証タイプを[ 証明書 ]に設定します。 基本的にパスワードはありません。 [ サーバーリスト ]タブを確認します。Amazonサーバーを指定する必要があります（ポート1194、タイプUDP）。 [ IPアドレスとDNS ]タブで、[ 要求パラメーター ]オプションを設定する必要があります。

IPv4の [ ルーティング ]タブで 、[ デフォルトルートの使用 ]オプションを有効にする必要があります。

設定を保存します。

サーバーに接続しようとしています。 接続が確立されていない場合は、 ネットワークとセキュリティ → セキュリティグループとファイアウォールを確認してください。 すべてが正常であれば、 SUCCESSが表示され、IP VPNネットワークのいずれかを受け取ります。 私の場合、これは172.10.10.6/30です。

クライアント上でいくつかのサイトを開こうとしています...接続があるようですが、サイトは開きません。

問題は何ですか？ ポイントはNATです。

追加のAMI、Internet Gate、IP Elastic、およびその他のでたらめを作成して、AmazonでNATを構成する方法に関するネットワーク上のマニュアルがあります。 これを行う必要はありません。

すべてがはるかに簡単です。

サーバーに戻り、 ネットワークポリスとアクセスサービスの役割を作成します 。 これには、 ルーティングとリモートアクセスの役割が含まれます。 コンテキストメニューを開き、[ 構成と有効化 ]を選択します。

最後の項目を選択して、独自の構成を作成します。 次のステップで、最後の2つの項目、 NATおよびLANルーティングを選択します 。

ルーティングとリモートアクセス → IPv4 → NATの役割を拡張した後。 インターフェースを作成します： LAN1-インターネット上で見えるもの。 プロパティで、 パブリックインターフェイスを設定し、このインターフェイスでNATを有効にします 。 [ アドレスプール ]タブを開きます。 追加をクリックします。

ここでは、ネットワークではなくマシンのIPアドレス、つまりマシン（ipconfig / all）を追加する必要があります
私のネットワークは10.100.11.0/24、VPNネットワークは172.10.10.0/24 、マシンのアドレスは10.100.11.20です。 10.100.11.20 を指定する開始アドレスと、指定する終了アドレス 。 マスク255.255.255.0

保存します。

同じモードで、[ アドレスの予約 ]ボタンをクリックします。 VPNクライアントアドレス（接続時は172.10.10.6/30でした）をマシンのアドレスと「接続」する必要があります。
追加をクリックします

このパブリックIPを予約して10.100.11.20に設定し、下の列に172.10.10.6と記述します
[着信を許可する]オプションは設定しません 。

保存します。

これで最後のステップが残ります-NATにもう1つのインターフェース、TAPを追加します。 私はそれをHomeVPNと呼びました。 設定はありません。プライベートインターフェイスです。 NATは設定しません。

したがって、 VPNからLANへの 「転送」 が取得されました：172.10.10.6→10.100.11.20 。

クライアントに再接続し、VPNが立ち上がるのを待って、ipleak.netを開いて監視します。

クライアントのIPアドレスは米国/オレゴン州にあり、WebRTCのIPアドレスはVPNサーバーのIPアドレスを表示する必要があります。 172.10.10.6 。

もしそうなら、あなたは成功しました。 そうでない場合は、いくつかのステップで間違いを犯したか、急いでいます。

結論として、 ダッシュボード → ネットワークとセキュリティ →セキュリティグループセクションに進みます 。 インスタンスに関連付けられているグループを選択します。 [ インバウンド]、[アウトバウンド]タブで、すべてのトラフィックを通過させる許可を削除します。 RDPを去り、誰もやったことがない人は、ポート1194のルールを追加し、ICMPを有効にします。

シムの場合-それだけです。 ありがとう

PS Windowsクライアントではテストしていませんが、すべてはAndroid上と同じであると思います。