如何设置从 AWS EC2 实例到 VPN 的连接？答案

【问题标题】：How to setup a connection to VPN from AWS EC2 instance?如何设置从 AWS EC2 实例到 VPN 的连接？
【发布时间】：2018-03-01 05:32:48
【问题描述】：

我正在 EC2 中运行一个应用程序，该应用程序需要连接到在 VPN 中运行的外部服务（与第三方网络的连接）。我有用于连接的 IP 地址和身份验证详细信息（预共享密钥），但不知道如何准确设置连接。我需要安装 VPN 客户端还是通过 AWS 控制台有其他方法？

如果您可以分享设置步骤/教程，那将非常有帮助。

我已经配置了 Site-Site VPN，并且可以在 VPN 连接下看到两条隧道（现在都处于 DOWN 状态）。我已经与第三方共享了 VPN 配置文件，他们要求我的源 IP 地址用于两条隧道。我假设源 IP 将是连接到我的 VPC 的 NAT 网关的公共 IP（因为服务器没有分配公共 IP）。

【问题讨论】：

【解决方案1】：

您可以使用从 Amazon Virtual Private Cloud 到您的本地网络的站点到站点 VPN(AWS hardware VPN) 配置，不需要单独的 VPN 客户端。配置完成后，您就可以从其IP范围内访问VPN中的Server了。

遵循 AWS 用户指南将引导您完成配置 VPN 连接。基本配置很简单，AWS 还将提供自动化脚本来在您的 OnPremise 网络中设置配置。

【讨论】：

硬件 VPN 并不真正适合连接到第三方网络，这听起来就是这样。该服务中有一些假设假设外部网络处于共同的管理控制之下，并且是受信任的。
@Michael-sqlbot 它确实是与第三方网络的连接。你能解释一下为什么硬件 vpn 不适合这个吗？
硬件 VPN 假定连接的另一端是受信任的并且在您的控制之下。它在您的 VPC 中打开了一个仅受现有 NACL 和安全组约束的漏洞——它没有自己的安全组或 ACL 或路由表。它要求您的网络编号与所连接网络的编号兼容，因为它不提供 NAT 功能。这是连接到您的办公室或数据中心的一项很棒的服务，但不能连接到第三方网络。
@Michael-sqlbot 理解。因此第三方网络中的任何人都可以看到我的 vpc 中的服务器（并可能访问未经身份验证的服务器）。那么这里的替代解决方案是什么？
同意@Michael-sqlbot 点。根据您的场景和安全考虑，可以选择使用站点到站点或点到站点 VPN。

【解决方案2】：

您可以在您的 EC2 实例中设置 VPN 客户端，也可以使用以下方法将您的 VPC 连接到 VPN 服务器：

【讨论】：