У меня такая модель: user -vpn-> pfsense (local network: 10.211.1.0/24) -vpn-> aws (172.31.0.0/16) (pfsense to aws is site-to-site vpn and always up)
Я хочу, чтобы пользователь мог получить доступ к частной сети в aws, например: ssh ubuntu@172.31.10.100 (172.31.10.100 - это частный IP-адрес экземпляра ec2 в aws)
Это результат маршрутов от пользователя при запуске vpn от пользователя к pfsense:
> ip route
10.211.1.0/24 via 10.222.1.1 dev tun0
10.222.1.0/24 dev tun0 proto kernel scope link src 10.222.1.2
172.31.0.0/16 via 10.222.1.1 dev tun0
Как видите, я продвинул маршрут 172.31.0.0/16 от сервера pfsense к пользователю, чтобы пользователь знал, что pfsense знает этот маршрут.
Но на самом деле он не знает, результат трассировки от пользователя:
traceroute to 172.31.10.100 (172.31.10.100), 30 hops max, 60 byte packets
1 10.222.1.1 (10.222.1.1) 8.711 ms 8.572 ms 11.983 ms
2 192.168.100.1 (192.168.100.1) 13.817 ms 16.050 ms 19.920 ms
3 172.31.99.22 (172.31.99.22) 19.900 ms 23.807 ms 23.786 ms
4 static.myisp.dom (xxxxxxxxxxxxxxx) 27.229 ms 28.827 ms 30.000 ms
5 * * *
6 * * *
7 * * *
8 * * *
Итак, пользователь спрашивает 10.222.1.1 но он не знает, как добраться 172.31.10.100 что он должен знать.
Когда я в локальной сети 10.211.1.0/24, Я могу использовать ssh 172.31.10.100 успешно, укажите, что VPN работает.
Также я могу пинговать 172.31.10.100 в pfsense -> Диагностика -> Имя хоста: 172.31.10.100, Исходный адрес: LAN успешно. (172.31.10.100 позволяет пинговать откуда угодно)
Как разрешить пользователю доступ к сети aws при открытии туннеля к pfsense?