Networking

AWS 將“失去”的數據包路由到 VPN 後面的網路

  • February 1, 2021

我有一個連接到 VPN 的 EC2 實例和同一 VPC 中的另一個實例,該實例向該 VPN 發送流量

所以拓撲是這樣的: 網路拓撲結構

  • 172.1.0.1 的實例可以毫無問題地連接到遠端 VPN (192.168.1.0/24)。
  • VPC 內的實例可以相互連接。
  • 實例 i-aaaa 和 i-bbbb無法連接到 192.168.1.0/24 中的機器

目前配置如下所示:

  • VPC 中的路由表有一個 192.168.1.0/24 via i-0000 的條目
  • sec 組允許安全組內的所有流量
  • VPC 中的所有實例都在同一個安全組中

我在 VPC 中配置了流日誌,並註意到我可以看到流量從 i-bbbb 的 ENI 流出,但在 i-0000 的 ENI 中沒有流量

此外,i-0000 中的數據包擷取不顯示任何來自 dst 到 192.168.1.0/24 的其他實例的任何數據包

所以這提出了一些問題:

  • AWS 會因為數據包與 VPC 的其餘部分不在同一個 CIDR 中而丟棄數據包嗎?(我的猜測不是)
  • 如何解決丟包的問題?一切都表明 AWS 在 VPC 中丟棄了數據包
  • 我還能嘗試什麼讓它發揮作用?

謝謝!

您正在尋找的是源/目標檢查- EC2 實例預設執行源和目標檢查。實例必須是它發送和接收的所有流量的來源目的地。對於像你這樣的網關,這顯然不是真的。因此,您必須停止源/目標檢查

首先選擇您的實例:

來源/目的地檢查

然後停止檢查:

停止檢查

希望有幫助:)

引用自:https://serverfault.com/questions/1052019