Amazon-Web-Services

通過 Amazon AWS VPN 路由的公共流量消失。希望它從我們的公司網路中流出

  • September 16, 2018

我們正在遷移到新的跳轉主機,從內部機器遷移。我們還有 100 多個客戶,我們仍然需要通過 SSH 與之通信。他們的防火牆目前允許我們的主要辦公室通過 SSH,但不允許我們的 AWS 主機。遷移 100 多個客戶的防火牆需要時間,因此在完成之前,我們希望通過已經建立的 VPN 路由這些 IP 的所有流量,以便流量從我們的辦公室而不是亞馬遜上的 Internet 網關 (IGW) 退出。

我在路由方面的教育中遺漏了一些細節,所以如果有人可以向我解釋這一點,那就太好了……

VPC 有這個路由表:

0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw

8.8.4.4是 Google 的二級 DNS 伺服器,對所有人開放並啟用了 ICMP,非常適合測試。

traceroutes 顯示沒有躍點。連接似乎無處可去。我顯然錯過了一些東西,但我不知道是什麼。如何完成此設置,以便推送到虛擬網關 (vgw) 的所有流量都通過 VPN?


完整的畫廊在這裡,下面的個別圖片


跟踪路由

ping

或者

路由表詳細資訊

路由表條目

路由表子網關聯

路由表傳播

vgw details在這裡用處不大。

vpc 詳細資訊

VPN詳細資訊

vpn status僅配置了 1 個隧道。

vpn 靜態路由 這是路由表從中提取172.27.224.0/24地址的位置。

上面的設置是正確的。該問題已被確定為企業方面的防火牆不佳,更換後,它作為 VPN 端點執行良好。作為記錄,我強烈推薦反對 WatchGuard 品牌的防火牆。多年來一直在搞砸它們,它們在大多數方面似乎都遜色,而且通常有缺陷。

除非您想為每個客戶創建路由,否則請更改預設路由以通過 VPN 發送所有流量並刪除 IGW。然後您的公司路由器可以管理流量。

您的路由表將如下所示:

0.0.0.0/0 -> vgw
172.31.254.0/24 -> local

上面的第二個路由 CIDR 看起來很奇怪 - 它看起來像一個子網而不是 VPC 網路。您希望這是您的 VPC CIDR。

一旦您確認這對所有流量都正常工作,那麼如果您需要訪問 AWS 資源(例如更新、S3 儲存等),則可以將 VPC 終端節點添加到您的 VPC。

引用自:https://serverfault.com/questions/929796