Networking
AWS 將“失去”的數據包路由到 VPN 後面的網路
我有一個連接到 VPN 的 EC2 實例和同一 VPC 中的另一個實例,該實例向該 VPN 發送流量
所以拓撲是這樣的:
- 172.1.0.1 的實例可以毫無問題地連接到遠端 VPN (192.168.1.0/24)。
- VPC 內的實例可以相互連接。
- 實例 i-aaaa 和 i-bbbb無法連接到 192.168.1.0/24 中的機器
目前配置如下所示:
- VPC 中的路由表有一個 192.168.1.0/24 via i-0000 的條目
- sec 組允許安全組內的所有流量
- VPC 中的所有實例都在同一個安全組中
我在 VPC 中配置了流日誌,並註意到我可以看到流量從 i-bbbb 的 ENI 流出,但在 i-0000 的 ENI 中沒有流量
此外,i-0000 中的數據包擷取不顯示任何來自 dst 到 192.168.1.0/24 的其他實例的任何數據包
所以這提出了一些問題:
- AWS 會因為數據包與 VPC 的其餘部分不在同一個 CIDR 中而丟棄數據包嗎?(我的猜測不是)
- 如何解決丟包的問題?一切都表明 AWS 在 VPC 中丟棄了數據包
- 我還能嘗試什麼讓它發揮作用?
謝謝!
您正在尋找的是源/目標檢查- EC2 實例預設執行源和目標檢查。實例必須是它發送和接收的所有流量的來源或目的地。對於像你這樣的網關,這顯然不是真的。因此,您必須停止源/目標檢查
首先選擇您的實例:
然後停止檢查:
希望有幫助:)
