Мой VPC подключен к моему помещению через IPSec VPN, на консоли AWS показано, что туннель работает.
Что работает:
Я вижу трафик из моего помещения (подсеть 192.168.0.0/16) в AWS VPC (10.0.0.0/16) в потоковых журналах VPC, помеченных как принятый.
Когда я делаю tcp-дамп трафика ICMP на терминале, используя sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo
, Я вижу пинг:
06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44
.
Что не работает:
192.168.234.254
или любой другой частный IP-адрес в моем помещении. Эти трассировки заканчиваются тайм-аутом, всю дорогу просто звездочкой. Конфигурации:
Таблица маршрутов для подсети:
Destination target status propagated
10.0.0.0/16 local Active No
0.0.0.0/16 igw-f06e2d95 Active No
192.168.0.0/16 vgw-d1084e83 Active No
Группа безопасности экземпляров AWS: Входящая:
Type Protocol Port Range Source
All ICMP All N/A 0.0.0.0/0
Исходящий:
Type Protocol Port Range Source
All Traffic All N/A 0.0.0.0/0
All Traffic All N/A 192.168.0.0/16
Входящий сетевой ACL:
Rule# Type Protocol Port Range Source Allow/Deny
100 All Traffic ALL ALL 0.0.0.0/0 ALLOW
200 All Traffic ALL ALL 192.168.0.0/16 ALLOW
* All Traffic ALL ALL 0.0.0.0/0 DENY
Сетевой ACL исходящий
Rule# Type Protocol Port Range Source Allow/Deny
100 All Traffic ALL ALL 0.0.0.0/0 ALLOW
200 All Traffic ALL ALL 192.168.0.0/16 ALLOW
\* All Traffic ALL ALL 0.0.0.0/0 DENY
Путь трассировки от моего экземпляра AWS до IP-адреса в моем помещении показывает:
tracepath ip-192-168-234-254.ap-southeast-1.compute.internal
1?: \[LOCALHOST\] pmtu 9001
1: ip-10-0-2-1.ap-southeast-1.compute.internal 0.082ms pmtu 1500
1: no reply
2: no reply
3: no reply
4: no reply
5: no reply
6: no reply
Дополнительная информация: мой экземпляр AWS работает под управлением Ubuntu 14.04.
Вкратце: трафик из моего помещения действительно достигает моего экземпляра VPC, но я не могу получить ответ ping или трассировку в обоих направлениях, даже если группы безопасности и сетевые ACL настроены правильно, и хотя я могу получать ответы ping изнутри мой VPC.
На самом деле это был статический маршрут на странице VPN-подключений - я пропустил шаг по добавлению статического маршрута для маршрутизации трафика определенных IP-адресов через VPN.
Например, если в вашей подсети используются IP-адреса 173.112.0.0/16:
Добавьте 173.112.0.0/16 в поле «Префиксы IP».
Обратите внимание, что столбец IP-префиксов принимает только блоки CIDR. Вы можете добавить отдельные IP-адреса с помощью блока / 32 CIDR, если хотите быть более строгими.