Windows Server 2008 r2でAmazon EC2のVPNサーバーを上げる

ネットワーク上には、Amazon AWSクラウドでVPNサーバーを上げる方法が多数ありますが、Unixのようなシステム向けですが、Windowsで上げる方法はまったく考慮されていません。



マニュアルが見つからなかったので、自分でそれを把握し、Windows Server + OpenVPN + Android OpenVPN Clientに基づいたAmazon EC2を作成したかったのです。



行こう！



この記事は初心者向けではないため、一般的な質問がいくつかありません。



Amazon AWSでの登録プロセスについては説明しません-簡単です。 私は前に登録しなかったので、電話番号に確認が来ることに驚いた。 勤務番号を書きます。 登録後、 ダッシュボード https://console.aws.amazon.com/console/homeにアクセスします



メニューサービス → 計算 → EC2 → インスタンスを踏みます。 [ Launch Instance]をクリックして、 ウィザードを開きます。 使用可能なAMIのリストで、 Microsoft Windows Server 2008 R2 Base-ami-59fc7439を選択します



2番目のステップでは、利用可能なオプションt2.micro（無料利用枠）を選択します-その機能は私たちにとって十分以上のものです。 [ 起動 ]をクリックするのは急いではいません。[ 次へ：インスタンスの詳細を構成する]をクリックします（デフォルトでVPCを構成し、デフォルトのサブネットがあり、KeyPairsが作成されていると仮定します 。ちなみに、VPCをゼロから再構築し、1つのネットワークのみを残しました10.100.11.0/24）。



デフォルトでは設定はそのままですが、[ パブリックIPの自動割り当て]を[ 有効]に設定します。 次に、 プレビューと起動をクリックします。 インスタンスが作成されるまで数分待ちます。



左側のダッシュボードで、[ ネットワークとセキュリティ] →[ セキュリティグループ]セクションを選択します。 インスタンスに関連付けられているグループを選択します。 以下の[ 受信]、[送信]タブでは 、すべてのトラフィック（alltraff）を通過させる許可を一時的に追加します。



現在、RDPのみが許可されています。 急いでいる人は、両方のタブでOpenVPNとICMPのポート1194を有効にすることができます。 インスタンスが作成されて機能するので、接続する必要があります。 インスタンスを選択し、[ 接続 ]をクリックします 。



.rdpファイルをダウンロードしてパスワードを取得するよう求めるウィンドウが表示されます。 ダウンロード。 [ パスワードを取得]をクリックして、キーファイルを指定し、復号化して、パスワードを取得します。 ケースの前半が完了しました。 RDPを開き、ホストに接続します。



私たちの前に純粋なOSがあります。 次に何が必要ですか？



1. Google Chromeをダウンロードして、チェックを簡単にします。

2. OpenVPNをダウンロードします。

3.デフォルト構成でサーバーを上げます。

4. NATを上げます。



IE経由でダウンロードする必要がある場合を除き、最初の2つのポイントに問題はありません。 公式Webサイト（MSI）からOpenVPNをダウンロードし、デフォルト設定で設定します。何も変更しないでください。



Chromeからipleak.netにアクセスして、IPを確認します。 彼は米国/オレゴン州のどこかにいるでしょう。 OpenVPNのサーバー証明書とクライアント証明書の作成方法については説明しません。このトピックに関する資料は十分にあります。 必ずPAMファイル（Diffie-Hellman）を作成してください。作成しないと、サーバーは起動しません。



OK、すべてがダウンロードされ、インストールされました。 サーバーでサーバーマネージャーを開き、[ サービス]セクションに移動します 。 OpenVPN Legacy Serviceを見つけ、そのプロパティを開きます-Startup type： Automaticを指定して、サービスを開始します。 これは、インスタンスを再起動した後にOpenVPNサーバーが自動的に起動するために必要です。



C：\ Program Files \ OpenVPN \ configを開きます-CA.key、server.key、ta.key、dh2048.pemのキーと、CAおよびサーバー証明書をそこにドロップします。 C：\ Program Files \ OpenVPN \ sample-configを開き、そこからserver.ovpnファイルをC：\ Program Files \ OpenVPN \ configにコピーします。



このようなコンテンツの書き換え：

ポート1194

プロトUDP

開発者



ca ca.crt

cert server.crt

鍵server.key

dh dh2048.pem

＃VPNの仮想ネットワーク

サーバー172.10.10.0 255.255.255.0



ifconfig-pool-persist ipp.txt

キープアライブ10120



tls-auth ta.key 0＃このファイルは秘密です

暗号AES-256-CBC



最大クライアント数100



永続キー

持続する



開発ノード「HomeVPN」



#HomeVPNは、OpenVPNのインストールによって作成されたTAPです。 便宜上名前を変更しました



＃これは、すべてのクライアントを無理なくルーティングできるようにするために必要です。

「ルート0.0.0.0 0.0.0.0」を押します



＃DNSを指定しますが、これは必須ではありません

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"



動詞3

明示的終了通知1

保存します。



サーバーのセットアップが完了しました。 server.ovpnを選択し 、コンテキストメニューを開き、 この設定ファイルで[OpenVPNを開始 ]を選択します 。



その後、ターミナルが開き、ダウンロードプロセスが開始されます。 すべてが正しく行われると、最後に初期化シーケンス完了が表示されます。



ここで、クライアント接続に問題がないように、1つのことを選択する必要があります。Windowsファイアウォールで、OpenVPNトラフィックを通過させてポート1194を許可するルールを作成するか、ファイアウォールをオフにするだけです。 私は2番目のアイテムを選びました。



ここで、クライアント構成を作成する必要があります。 クライアント（Android）にOpenVPN Clientがインストールされており、クライアントを含むすべての必要な証明書とキーが利用可能であると想定されています。



クライアント構成は次のとおりです。

クライアント

開発者

プロトUDP

リモートxxx-xxx-xxx-xxx-xxx.us-west-2.compute.amazonaws.com 1194

無限の解決と再試行

ルートメソッドexe

ノバインド

永続キー

持続する

ca ca.crt

cert client.crt

キーclient.key

remote-cert-tlsサーバー

tls-auth ta.key 1

暗号AES-256-CBC

auth SHA1

動詞3

ルート0.0.0.0 0.0.0.0 vpn_gateway

Android向けOpenVPNでは、設定をインポートします。 [ 基本 ]タブで、認証タイプを[ 証明書 ]に設定します。 基本的にパスワードはありません。 [ サーバーリスト ]タブを確認します。Amazonサーバーを指定する必要があります（ポート1194、タイプUDP）。 [ IPアドレスとDNS ]タブで、[ 要求パラメーター ]オプションを設定する必要があります。



IPv4の [ ルーティング ]タブで 、[ デフォルトルートの使用 ]オプションを有効にする必要があります。



設定を保存します。



サーバーに接続しようとしています。 接続が確立されていない場合は、 ネットワークとセキュリティ → セキュリティグループとファイアウォールを確認してください。 すべてが正常であれば、 SUCCESSが表示され、IP VPNネットワークのいずれかを受け取ります。 私の場合、これは172.10.10.6/30です。



クライアント上でいくつかのサイトを開こうとしています...接続があるようですが、サイトは開きません。



問題は何ですか？ ポイントはNATです。



追加のAMI、Internet Gate、IP Elastic、およびその他のでたらめを作成して、AmazonでNATを構成する方法に関するネットワーク上のマニュアルがあります。 これを行う必要はありません。



すべてがはるかに簡単です。



サーバーに戻り、 ネットワークポリスとアクセスサービスの役割を作成します 。 これには、 ルーティングとリモートアクセスの役割が含まれます。 コンテキストメニューを開き、[ 構成と有効化 ]を選択します。



最後の項目を選択して、独自の構成を作成します。 次のステップで、最後の2つの項目、 NATおよびLANルーティングを選択します 。



ルーティングとリモートアクセス → IPv4 → NATの役割を拡張した後。 インターフェースを作成します： LAN1-インターネット上で見えるもの。 プロパティで、 パブリックインターフェイスを設定し、このインターフェイスでNATを有効にします 。 [ アドレスプール ]タブを開きます。 追加をクリックします。



ここでは、ネットワークではなくマシンのIPアドレス、つまりマシン（ipconfig / all）を追加する必要があります

私のネットワークは10.100.11.0/24、VPNネットワークは172.10.10.0/24 、マシンのアドレスは10.100.11.20です。 10.100.11.20 を指定する開始アドレスと、指定する終了アドレス 。 マスク255.255.255.0



保存します。



同じモードで、[ アドレスの予約 ]ボタンをクリックします。 VPNクライアントアドレス（接続時は172.10.10.6/30でした）をマシンのアドレスと「接続」する必要があります。

追加をクリックします



このパブリックIPを予約して10.100.11.20に設定し、下の列に172.10.10.6と記述します

[着信を許可する]オプションは設定しません 。



保存します。



これで最後のステップが残ります-NATにもう1つのインターフェース、TAPを追加します。 私はそれをHomeVPNと呼びました。 設定はありません。プライベートインターフェイスです。 NATは設定しません。



したがって、 VPNからLANへの 「転送」 が取得されました：172.10.10.6→10.100.11.20 。



クライアントに再接続し、VPNが立ち上がるのを待って、ipleak.netを開いて監視します。



クライアントのIPアドレスは米国/オレゴン州にあり、WebRTCのIPアドレスはVPNサーバーのIPアドレスを表示する必要があります。 172.10.10.6 。



もしそうなら、あなたは成功しました。 そうでない場合は、いくつかのステップで間違いを犯したか、急いでいます。



結論として、 ダッシュボード → ネットワークとセキュリティ →セキュリティグループセクションに進みます 。 インスタンスに関連付けられているグループを選択します。 [ インバウンド]、[アウトバウンド]タブで、すべてのトラフィックを通過させる許可を削除します。 RDPを去り、誰もやったことがない人は、ポート1194のルールを追加し、ICMPを有効にします。



シムの場合-それだけです。 ありがとう



PS Windowsクライアントではテストしていませんが、すべてはAndroid上と同じであると思います。