Amazon-Web-Services

無法從目標子網 ping vpn 客戶端

  • April 30, 2019

我正在使用 AWS vpn 端點將 vpn 客戶端連接到子網:

當使用 vpn 端點連接時,我能夠 ping cidr 10.0.0.0/16 上的 ec2 實例。但是,該 ec2 實例無法使用 172.16.0.0/16 cidr 中的客戶端 ip ping 客戶端。VPN資訊 VPN路由

我是否必須更新 VPC 或子網上的路由規則才能訪問客戶端 cidr?VPC 目前位於 cidr 10.0.0.0/16 上,而 ec2 實例所在的子網位於 cidr 10.0.64.0/24 的子網上。

我在 AWS Support 中打開了一張票,他們確認它按設計工作:流量只會在一個方向上工作。這是因為客戶端的 IP 是經過 NAT 的。這是我的票證響應的 AWS Support 響應:

我了解到您設置了客戶端 VPN (CVPN),並且能夠成功連接(啟動 TCP 連接)到 EC2 實例,但 EC2 實例無法連接到分配給客戶端的客戶端 IP。

如以下連結所述: https ://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-client-vpn-to-securely-access-aws-and-on-premises-resources /

請注意,CVPN 將使用源 NAT (SNAT) 連接到關聯 VPC 中的資源。

因此,從客戶端 IP 發起的任何流量都將被 NAT(客戶端的源 IP 將更改)到 CVPN 端點的 IP 地址。因此,EC2 實例將看到流量似乎來自 CVPN 端點 IP,而不是來自客戶端的 IP。此外,VPC 路由表不會有到客戶端 IP 子網的路由(請參閱 VPC 路由表 rtb-0ef010cd7b387b8ff)。因此,只能從客戶端啟動到 EC2 實例的連接,並且對於在另一個方向啟動的連接不起作用。

引用自:https://serverfault.com/questions/964767