Назад | Перейти на главную страницу

Не удается проверить связь или трассировку через AWS IPSec VPN

Мой VPC подключен к моему помещению через IPSec VPN, на консоли AWS показано, что туннель работает.

Что работает:

06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 .

Что не работает:

Конфигурации:

Таблица маршрутов для подсети:

Destination        target        status    propagated
10.0.0.0/16        local         Active    No
0.0.0.0/16       igw-f06e2d95    Active    No
192.168.0.0/16   vgw-d1084e83    Active    No

Группа безопасности экземпляров AWS: Входящая:

Type          Protocol    Port Range    Source
All ICMP      All          N/A      0.0.0.0/0

Исходящий:

Type          Protocol    Port Range    Source
All Traffic      All          N/A      0.0.0.0/0
All Traffic      All          N/A      192.168.0.0/16

Входящий сетевой ACL:

Rule#    Type            Protocol     Port Range        Source        Allow/Deny
100      All Traffic      ALL          ALL          0.0.0.0/0          ALLOW
200      All Traffic      ALL          ALL          192.168.0.0/16     ALLOW
*        All Traffic      ALL          ALL          0.0.0.0/0          DENY

Сетевой ACL исходящий

Rule#    Type            Protocol     Port Range        Source        Allow/Deny
100      All Traffic      ALL          ALL          0.0.0.0/0          ALLOW
200      All Traffic      ALL          ALL          192.168.0.0/16     ALLOW
\*        All Traffic      ALL          ALL          0.0.0.0/0          DENY

Путь трассировки от моего экземпляра AWS до IP-адреса в моем помещении показывает:

tracepath ip-192-168-234-254.ap-southeast-1.compute.internal
 1?: \[LOCALHOST\]                                         pmtu 9001
 1:  ip-10-0-2-1.ap-southeast-1.compute.internal           0.082ms pmtu 1500
 1:  no reply
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply

Дополнительная информация: мой экземпляр AWS работает под управлением Ubuntu 14.04.

Вкратце: трафик из моего помещения действительно достигает моего экземпляра VPC, но я не могу получить ответ ping или трассировку в обоих направлениях, даже если группы безопасности и сетевые ACL настроены правильно, и хотя я могу получать ответы ping изнутри мой VPC.

На самом деле это был статический маршрут на странице VPN-подключений - я пропустил шаг по добавлению статического маршрута для маршрутизации трафика определенных IP-адресов через VPN.

Например, если в вашей подсети используются IP-адреса 173.112.0.0/16:

Добавьте 173.112.0.0/16 в поле «Префиксы IP».

Обратите внимание, что столбец IP-префиксов принимает только блоки CIDR. Вы можете добавить отдельные IP-адреса с помощью блока / 32 CIDR, если хотите быть более строгими.