AWS:无法从VPN ping其他区域的实例
我在AWS中有一个区域间VPN设置,按照本指南的思路:
http://fortycloud.com/interconnecting-two-aws-vpc-regions/
因此,我已经在某种程度上让事情正常了,但我不能从一个实例ping VPN主机。
所以网络看起来是这样的:
实例A<-> vpn A<-(跨地域)-> vpn B<->实例B
我可以从VPN ping VPN。我可以从VPN A ping实例B。我可以从实例A ping VPN A。我可以从VPN B ping实例B。
但我无法从VPN B ping实例A,反之亦然。所有路由表和安全组似乎都是正确的。
我可能还遗漏了什么?
以下是信息:
VPN A openswan配置:
[root@ip-10-1-200-220 ipsec.d]# cat me-to-or.conf
conn me-to-or
type=tunnel
authby=secret
left=%defaultroute
leftid=52.8.x.x
leftnexthop=%defaultroute
leftsubnet=10.1.0.0/16
right=54.213.x.x
rightsubnet=10.0.0.0/16
pfs=yes
auto=startVPN B开放VPN:
conn me-to-ca
type=tunnel
authby=secret
left=%defaultroute
leftid=54.213.x.x
leftnexthop=%defaultroute
leftsubnet=10.0.0.0/16
right=52.8.x.x
rightsubnet=10.1.0.0/16
pfs=yes
auto=start实例A安全组:
All traffic FROM ANYWHERE实例B秒组:
All traffic FROM ANYWHEREVPN A安全组:
All traffic FROM ANYWHEREVPN B安全组:
All traffic FROM ANYWHEREPing结果:
在VPN A(到实例B)上:
[root@ip-10-1-200-220 ipsec.d]# ping 10.0.5.130
PING 10.0.5.130 (10.0.5.130) 56(84) bytes of data.
64 bytes from 10.0.5.130: icmp_seq=1 ttl=63 time=21.0 ms在VPN B上(到实例A):
[root@ip-10-0-200-251 ipsec.d]# ping 10.1.5.54
PING 10.1.5.54 (10.1.5.54) 56(84) bytes of data.
100% packet loss如果我从VPN ping实例A,我可以看到ping命中VPN (使用TcpDump),但它永远不会到达实例A。然而,如果我从VPN ping实例A,就可以工作。
如果我从实例A ping VPN B,我看到ping转到VPN A、VPN B,再回到VPN A,但它从未到达实例A。
以下是链接文章中的图片,以帮助思考拓扑结构:
回答 2
Stack Overflow用户
发布于 2015-04-17 20:19:36
终于找到了。
我错过了VPN A上的这一步:
在实例列表中选择实例,然后单击“操作”按钮。选择“Change Source/Dest.勾选“。单击“Yes disable”按钮(这是一个关键步骤,如果没有它,虚拟路由器将不会接受或转发不是发往路由器本身的流量,因此它们不会作为虚拟路由器运行)。
谢谢你们帮我理清思路。
Stack Overflow用户
发布于 2016-09-03 01:46:00
我也遇到过这种情况,我可以ping到openswan实例,但不能ping到它后面的任何东西。一旦我禁用了源/目标检查,流量就很好地通过了。
https://stackoverflow.com/questions/29688565
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号