Я создал VPC в Amazon и создал несколько подсетей - как публичных, так и частных. 1 из этих подсетей является частной подсетью, в которой есть сервер Linux. Я создал виртуальный частный шлюз для частных подсетей и интернет-шлюз для общедоступных подсетей.
Я создал клиентский шлюз с правильными настройками партнерского брандмауэра и VPN-подключением, которое использует этот клиентский шлюз. Другая сторона установила VPN-туннель к AWS, и AWS сообщает, что туннель открыт. Они выполнили эхо-запрос сервера в частной подсети в AWS и могут успешно его увидеть.
Однако я не могу пинговать сервер в их сети с того же сервера в AWS.
Their server is x.x.x.x (private ip on their network).
My server ip is y.y.y.43 (private Ip in private subnet)
Трассировка от сервера в aws до их сервера выглядит так:
traceroute to x.x.x.x (private IP on their network), 30 hops max, 60 byte packets
1 * ec2-79-125-1-96.eu <http://ec2-79-125-1-96.eu> <http://ec2-79-125-1-96.eu> <http://ec2-79-125-1-96.eu>-west-1.compute.amazonaws.com <http://west-1.compute.amazonaws.com> <http://west-1.compute.amazonaws.com> (79.125.1.96) 2.494 ms ec2-79-125-1-102.eu <http://ec2-79-125-1-102.eu> <http://ec2-79-125-1-102.eu> <http://ec2-79-125-1-102.eu>-west-1.compute.amazonaws.com <http://west-1.compute.amazonaws.com> <http://west-1.compute.amazonaws.com> (79.125.1.102) 0.567 ms
2 178.236.0.138 (178.236.0.138) 1.390 ms 178.236.0.108 (178.236.0.108) 1.044 ms 176.32.106.132 (176.32.106.132) 0.625 ms
3 178.236.0.133 (178.236.0.133) 1.138 ms 178.236.0.117 (178.236.0.117) 7.105 ms 178.236.0.119 (178.236.0.119) 1.204 ms
4 213.242.106.85 (213.242.106.85) 1.319 ms !N ae3.dub40.ip4.gtt.net <http://dub40.ip4.gtt.net> <http://dub40.ip4.gtt.net> <http://dub40.ip4.gtt.net> (141.136.96.137) 1.321 ms !N 213.242.106.85 (213.242.106.85) 1.312 ms !N
Таблицы маршрутов VPC выглядят так:
destination y.y.0.0/16 target=local
destination x.x.x.0/24 target=virtual gateway
destination my-public-ip-I'm-connecting-from target=internet gateway
Таблица маршрутизации на сервере выглядит так:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 y.y.y.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 y.y.y.1 0.0.0.0 UG 10001 0 0 eth1
y.y.y.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
y.y.y.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.169.254 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
У меня есть группа безопасности, связанная с этим сервером, которая разрешает входящие ICMP и SSH с моего общедоступного IP-адреса, с которого я подключаюсь к AWS, исходящие все и везде.
У меня есть сетевой ACL, связанный с этим сервером, который разрешает входящие ICMP и SSH с моего общедоступного IP-адреса, исходящие все и везде.
Почему я не могу проверить связь с сервером в их сети? Почему кажется, что traceroute ищет общедоступные IP-адреса?
Таким образом, несмотря на неоднократные запросы проверить, разрешен ли ICMP в другой сети, похоже, что это не так. Как только включили, все заработало.