Я хочу настроить VPN из одного экземпляра EC2 в VPC по умолчанию, который могут использовать другие экземпляры в том же VPC, поэтому я провожу несколько начальных тестов. У меня запущено 2 тестовых экземпляра, и они могут пинговать друг друга. Когда я маршрутизирую тестовый общедоступный IP-адрес от одного к другому, пакеты выходят из eth0 экземпляра отправителя (как видно из tcpdump с ожидаемым целевым MAC-адресом (так что, я думаю, у меня правильно настроена маршрутизация хоста), но никогда не приходить в целевом экземпляре. Я тестировал эти два способа: один через 172.31.0.1, а также напрямую используя IP другого экземпляра в качестве шлюза. iptables на обоих хостах (Ubuntu и Amazon Linux оба проверены) пусто. Тестовый общедоступный IP-адрес был добавлен в качестве маршрута в главную таблицу маршрутизации VPC с использованием тестового принимающего экземпляра в качестве шлюза.
Моя цель состоит в том, чтобы экземпляры, которые я запускаю в этом VPC, которые отправляются на любой IP-адрес, не являющийся VPC, в конечном итоге переходили к экземпляру, на котором я запускаю VPN (все еще не определился между IPsec или OpenVPN). Как я могу заставить пакеты проходить на EC2 через VPC по умолчанию? Я подозреваю, что это нечто большее, чем я нашел в документации AWS или через Google (может быть, какой-то другой объект EC2 ... все ли у меня концепции правильно?).
Маршрутизация трафика к концентратору VPN выполняется так же, как и к экземпляру NAT.
Отключить проверку источника / назначения IP на целевом экземпляре, чтобы пропустить трафик, а затем
используйте таблицы маршрутизации VPC (а не статические маршруты в отдельных экземплярах) для перенаправления трафика в концентратор VPN по его идентификатору экземпляра / идентификатору эластичного сетевого интерфейса.
Экземплярам, использующим такой маршрут в качестве маршрута по умолчанию, при необходимости будут назначены только частные IP-адреса.