Различные исходные IP-адреса при подключении к экземплярам AWS в одной зоне доступности
При подключении к своим экземплярам AWS в одной зоне доступности я могу подключиться к некоторым экземплярам, а не к другим, даже если все экземпляры использовали один и тот же NACL и группы безопасности.
Мои группы безопасности были настроены так, чтобы разрешать весь трафик с моего IP-адреса, который я получил, запустив на моем клиентском компьютере следующее:
echo $(curl -s http://ifconfig.me/ip)/32
Чтобы отладить проблему, я временно открыл SG, чтобы разрешить доступ к порту 22 из 0.0.0.0/0, и запустил tail -f /var/log/secure на сервере, к которому я не смог подключиться, и попытался подключиться с моей клиентской машины.
На этом этапе я заметил, что в зависимости от хоста, к которому я пытался подключиться, у меня были разные исходные IP-адреса.
Я использую Fritzbox на Glasfaser:
Источник: https://www.deutsche-glasfaser.de/glasfaser/hausanschluss/
Что могло вызвать это? Это двойной NAT?
Если ваши исходные IP-адреса являются динамическими, вы не можете использовать эти IP-адреса в качестве источника доверия в вашей группе ACL / безопасности.
Вы должны настроить узел перехода / узел возврата в своей подсети AWS. Этот сервер считается «безопасным», и вы получаете доступ к своим экземплярам только с этого хоста.
настроить безопасный способ аутентификации на этом сервере прыжков / отказов. например openvpn или ssh с двухфакторной аутентификацией или клиентскими сертификатами и т. д.
Похоже, что glasfaser используют NAT операторского класса (CGNAT).
Один из способов решения проблемы - подключиться к экземплярам с использованием адресов IPv6.