web-dev-qa-db-ja.com

AWSでのOpenVPN HAセットアップ

AWSではOpenVPNの有料版を使用しています。次に、HAをセットアップしたいのですが、AWSでのOpenVPN HAの適切なソリューションが見つかりませんでした。試してみました OpenVPNドキュメント ですが、AWSでのHAの要件を満たしていません。 OpenVPN HA ON AWSの最良のソリューションを誰でも共有/提案できますか?

6
sanjayparmar

2つのOpenVPNアクセスサーバーインスタンスを起動し、それぞれにElastic IPを割り当てます。すべてのアカウントを2回作成して2つのインスタンス間で同期を保つ必要がないように、LDAP認証用にそれらを構成します。

ip:443/adminで管理インターフェイスを開き、[LDAP]-> [LDAPの設定]をクリックします。

https://openvpn.net/index.php/access-server/docs/admin-guides/190-how-to-authenticate-users-with-active-directory.html

独自のLDAPサービスをデプロイするか、以下を使用できます。

https://aws.Amazon.com/directoryservice

次に、クライアントがこれらのインスタンスに接続する方法を決定する必要があります。

最も簡単な方法は、両方のOpenVPNアクセスサーバーをクライアント構成に追加することです。

remote-random
remote hostname-of-instance1
remote hostname-of-instance2

または、AWS Route53で両方のIPアドレスを使用してラウンドロビンレコードを作成し、Route53にノードの到達可能性を監視させ、必要に応じて到達不能なインスタンスを削除することもできます。

https://docs.aws.Amazon.com/Route53/latest/DeveloperGuide/dns-failover.html

この場合、必要なものは次のとおりです。

remote round-robin-record

openVPNクライアントの設定ファイル内。

または、AWS ELBをデプロイし、いつでも実行したいインスタンスの数を選択し、インスタンスが死ぬか到達不能になった場合はいつでも、ELBにインスタンスを必要に応じて生成およびリタイアさせることができます。

この場合、OpenVPNクライアントはELB自体のIPアドレス/ホスト名に接続します。

編集:OpenVPNサーバーの1つがダウンすると、クライアントは切断されます。おそらく、クライアントに、正常に機能しているOpenVPNサーバーに自動的に再接続してもらいます。これを追加するには、以下を追加します。

keepalive 10 120

openVPN設定ファイルに。詳細: https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html

この設定では、クライアントとサーバーは10秒ごとに相互にpingします。 120秒を超えて1つのパーティでトラフィックが見られない場合、トンネルはシャットダウンされ、再起動されます。

EDIT2:

OpenVPNがユーザーに再接続するたびにログイン/パスワードの再入力を要求しないようにするには、これをOpenVPNクライアントの構成ファイルに追加するようにユーザーに依頼します。

auth-user-pass auth.txt

次に、構成ファイルと同じディレクトリにauth.txtというファイルを作成します。

mylogin
mypassword

ファイルが適切に保護されていることを確認してください。

5
Luca Gibelli