Amazon-Web-Services
無法從目標子網 ping vpn 客戶端
我正在使用 AWS vpn 端點將 vpn 客戶端連接到子網:
當使用 vpn 端點連接時,我能夠 ping cidr 10.0.0.0/16 上的 ec2 實例。但是,該 ec2 實例無法使用 172.16.0.0/16 cidr 中的客戶端 ip ping 客戶端。
我是否必須更新 VPC 或子網上的路由規則才能訪問客戶端 cidr?VPC 目前位於 cidr 10.0.0.0/16 上,而 ec2 實例所在的子網位於 cidr 10.0.64.0/24 的子網上。
我在 AWS Support 中打開了一張票,他們確認它按設計工作:流量只會在一個方向上工作。這是因為客戶端的 IP 是經過 NAT 的。這是我的票證響應的 AWS Support 響應:
我了解到您設置了客戶端 VPN (CVPN),並且能夠成功連接(啟動 TCP 連接)到 EC2 實例,但 EC2 實例無法連接到分配給客戶端的客戶端 IP。
請注意,CVPN 將使用源 NAT (SNAT) 連接到關聯 VPC 中的資源。
因此,從客戶端 IP 發起的任何流量都將被 NAT(客戶端的源 IP 將更改)到 CVPN 端點的 IP 地址。因此,EC2 實例將看到流量似乎來自 CVPN 端點 IP,而不是來自客戶端的 IP。此外,VPC 路由表不會有到客戶端 IP 子網的路由(請參閱 VPC 路由表 rtb-0ef010cd7b387b8ff)。因此,只能從客戶端啟動到 EC2 實例的連接,並且對於在另一個方向啟動的連接不起作用。