openvpnの運用でハマった

今までの履歴

• 構築

  • AWSにOpenVPNでVPNを構築してみた

• v2.3からv2.4への更新

  • openvpn v2.3からv2.4への更新

ハマった内容

• 構成
  • もともとVPN接続をした後プライベートサブネットに接続させるような構成にしていた
  • AWSのプライベートサブネットにOpenVPNでVPN接続

VPN接続したらプライベートアドレスのEC2やセキュリティグループで絞り込んだRDSに入れる仕組みなのだが、突然EC2とRDSにログインできなくなった。

デバッグ

• クラスメソッドさんの記事を参考にVPNサーバ上でtcpdumpをとってみたが、通信できてないこと以外はわからず
  • Amazon EC2とOpenVPNでサーバ-多拠点クライアント間通信をセキュアに行う

VPN接続の通信はクライアントのポート番号で絞り込めるよ

$ sudo tcpdump src host x.x.x.x src port <ここは接続ごとに変わる>

復旧

なんと AWSにOpenVPNでVPNを構築してみた で設定したはずの echo 1 > /proc/sys/net/ipv4/ip_forward というスクリプトがコメントされてました（というより戻った？）。わかるか！こんなん

やっぱこういうことを防ぐためにLinux側でフォワーディング常時実行しといたほうがよさげか？

$ sudo vi /etc/sysctl.conf
net.ipv4.ip_forward = 1

Amazonさん、早くソフトウェアVPNサーバのマネージドサービス出して