通過 Amazon AWS VPN 路由的公共流量消失。希望它從我們的公司網路中流出
我們正在遷移到新的跳轉主機,從內部機器遷移。我們還有 100 多個客戶,我們仍然需要通過 SSH 與之通信。他們的防火牆目前允許我們的主要辦公室通過 SSH,但不允許我們的 AWS 主機。遷移 100 多個客戶的防火牆需要時間,因此在完成之前,我們希望通過已經建立的 VPN 路由這些 IP 的所有流量,以便流量從我們的辦公室而不是亞馬遜上的 Internet 網關 (IGW) 退出。
我在路由方面的教育中遺漏了一些細節,所以如果有人可以向我解釋這一點,那就太好了……
VPC 有這個路由表:
0.0.0.0/0 -> igw 172.31.254.0/24 -> local 172.27.0.0/16 -> vgw 8.8.4.4 -> vgw
8.8.4.4
是 Google 的二級 DNS 伺服器,對所有人開放並啟用了 ICMP,非常適合測試。traceroutes 顯示沒有躍點。連接似乎無處可去。我顯然錯過了一些東西,但我不知道是什麼。如何完成此設置,以便推送到虛擬網關 (vgw) 的所有流量都通過 VPN?
vgw details在這裡用處不大。
vpn status僅配置了 1 個隧道。
vpn 靜態路由 這是路由表從中提取
172.27.224.0/24
地址的位置。
上面的設置是正確的。該問題已被確定為企業方面的防火牆不佳,更換後,它作為 VPN 端點執行良好。作為記錄,我強烈推薦反對 WatchGuard 品牌的防火牆。多年來一直在搞砸它們,它們在大多數方面似乎都遜色,而且通常有缺陷。
除非您想為每個客戶創建路由,否則請更改預設路由以通過 VPN 發送所有流量並刪除 IGW。然後您的公司路由器可以管理流量。
您的路由表將如下所示:
0.0.0.0/0 -> vgw 172.31.254.0/24 -> local
上面的第二個路由 CIDR 看起來很奇怪 - 它看起來像一個子網而不是 VPC 網路。您希望這是您的 VPC CIDR。
一旦您確認這對所有流量都正常工作,那麼如果您需要訪問 AWS 資源(例如更新、S3 儲存等),則可以將 VPC 終端節點添加到您的 VPC。