Маршрутизация AWS OpenVPN

у меня есть экземпляр OpenVPN AS (AWS). Я пытаюсь маршрутизировать трафик от моего VPC (172.31.10.0 / 20) до дома (192.168.5.0/24).

что работает: Я могу направить весь трафик из дома (192.168.5.0 / 24) через 192.168.5.4 до 172.31.10.0/20

ROUTE: ANY Source to Dest 172.31.10.0/20 via 192.168.5.4 

что не работает: Я не могу направить весь трафик от AWS (172.31.10.0 / 20) через 172.31.10.5 до 192.168.5.0/24

пример я не могу пинговать от 172.31.10.15 (Win Server AWS) до 192.168.5.4( RasPi OpenVPN Client). Когда я делаю tcpdump от 172.31.10.5 (сервер OpenVPN) для ping-пакетов, я ничего не получаю.

ROUTE: Dest 192.168.5.0/24 via 172.31.10.5

что я сделал, чтобы устранить

- проверка Dest сервера OpenVPN отключена

- VPC, таблицы маршрутизации, я создал маршрут к 192.168.5.0 / 24 через экземпляр сервера dest OpenVPn 172.31.10.5. смотрите скриншот

enter image description here


таблица маршрутов из AWS OpenVPN сервер 172.31.10.5 (не может достичь 192.168.5.4):

по умолчанию через 172.31.10.1 dev eth0 :
172.27.224.0/21 Дэв as0t0 прото ядра сферы ссылке СРЦ 172.27.224.1

172.27.232.0/21 Дэв as0t1 прото ядра сферы ссылке СРЦ 172.27.232.1

172.31.10.0/20 в dev eth0 в прото ядра сферы ссылке СРЦ 172.31.10.5

192.168.5.0 / 24 dev as0t1 proto static

таблица маршрутов из домашнего клиента OpenVPN 192.168.5.4(который может reach 172.31.10.0 / 20):

по умолчанию через 192.168.5.254 dev eth0 onlink

13.59.64.181 via 192.168.5.254 dev eth0

172.27.224.0 / 20 через 172.27.232.1 dev tun0 метрика 101

172.27.232.0/21 в dev tun0 прото ядра сферы ссылке СРЦ 172.27.232.5

172.31.0.0 / 16 через 172.27.232.1 dev tun0 metric 101

192.168.5.0/24 в dev eth0 в прото ядра сферы ссылке 192.168.5.4 СРЦ

25
задан Benjamin Jones
28.12.2022 9:38 Количество просмотров материала 2705
Распечатать страницу

1 ответ

на первый взгляд кажется, что вы забыли обновите группу безопасности VPN-сервера, чтобы принимать трафик от других экземпляров в VPC. Чтобы проверить, не могли бы вы отредактировать группу безопасности, в которой находится экземпляр AWS VPN, и добавить правило, разрешающее весь трафик от 172.31.10.0 / 20.

Я думаю, что это проблема, потому что выступать группы безопасности, как брандмауэр с отслеживанием состояния. Это означает, что когда экземпляр AWS VPN отправляет трафик из дома в другие AWS экземпляры, группа безопасности автоматически разрешит обратный трафик. Но когда трафик инициируется другим экземпляром в AWS с назначением вашей домашней сети, в группе безопасности экземпляра AWS VPN не будет Правила, разрешающего трафик. Вот почему трафик из дома может достигать AWS, но обратный не работает.

Если бы группы безопасности не были проблемой, вы могли бы...

пожалуйста, включите VPC flowlogs в вашей конфигурации VPC. Это будет регистрировать netflow как информацию в журналы CloudWatch. Мы можем использовать это для устранения неполадок на стороне AWS трафика.

не могли бы вы детализируйте, какая из этих ситуаций работает / не работает:

  • можно ли пропинговать домашний конец туннеля из экземпляра AWS VPN?

  • можно ли пропинговать домашний конец туннеля из другого экземпляра AWS?

  • вы можете пропинговать другую домашнюю машину из экземпляра AWS VPN?

  • можно ли пропинговать другую домашнюю машину с другого экземпляра AWS?

включить трассировку с другого экземпляра AWS на другой домашний компьютер.

0
отвечен Alex Hague 2022-12-29 17:26

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

linux
networking
openvpn
routing
vpn
Вверх