Question

我在AWS中有一个区域间VPN设置，与本指南一致：

http://fortycloud.com/interconnecting-two-aws-vpc-regions/

所以，我已经在某种程度上工作了，但我不能从一个实例ping到VPN主机。

所以网络看起来像这样：

实例A＆lt; ---＆gt; vpn A＆lt; ---（交叉区域）---＆gt; vpn B＆lt; ---＆gt;实例B

我可以从VPN ping到VPN。我可以从VPN A ping到实例B.我可以从实例A ping到VPN A.我可以从VPN B ping到实例B.

但我无法从VPN B ping到实例A，反之亦然。所有路由表和安全组似乎都是正确的。

我还有什么遗漏？

以下是信息：

VPN A openswan配置：

[root@ip-10-1-200-220 ipsec.d]# cat me-to-or.conf
conn me-to-or
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=52.8.x.x
        leftnexthop=%defaultroute
        leftsubnet=10.1.0.0/16
        right=54.213.x.x
        rightsubnet=10.0.0.0/16
        pfs=yes
        auto=start

VPN B openswan：

conn me-to-ca
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=54.213.x.x
        leftnexthop=%defaultroute
        leftsubnet=10.0.0.0/16
        right=52.8.x.x
        rightsubnet=10.1.0.0/16
        pfs=yes
        auto=start

实例A安全组：

 All traffic FROM ANYWHERE

实例B sec组：

 All traffic FROM ANYWHERE

VPN A Sec Group：

 All traffic FROM ANYWHERE

VPN B Sec组：

All traffic FROM ANYWHERE

Ping结果：

在VPN A（到实例B）：

[root@ip-10-1-200-220 ipsec.d]# ping 10.0.5.130
PING 10.0.5.130 (10.0.5.130) 56(84) bytes of data.
64 bytes from 10.0.5.130: icmp_seq=1 ttl=63 time=21.0 ms

在VPN B上（到实例A）：

[root@ip-10-0-200-251 ipsec.d]# ping 10.1.5.54
PING 10.1.5.54 (10.1.5.54) 56(84) bytes of data.
100% packet loss

如果我从VPN B ping到实例A，我可以看到ping命中VPN A（使用TcpDump），但它永远不会到达实例A.但是，如果我从VPN A ping到实例A，那就可以了。 / p>

如果我从实例A ping到VPN B，我看到ping转到VPN A，VPN B，返回到VPN A，但它永远不会到达实例A.

以下是链接文章中的图片，以帮助考虑拓扑：

AWS VPN Network

Answer 1

终于找到了它。

我在VPN A上错过了这一步：

在“实例列表”中选择“实例”，然后单击“操作” 按钮”。选择“更改来源/目的地”。校验”。点击“是的禁用“按钮（这是一个关键步骤，没有虚拟路由器不接受或转发非意图的流量路由器本身，因此它们不能用作虚拟路由器。）

谢谢你们帮助我澄清我的想法。

Answer 2

也发生在我身上，我能够ping到openswan实例，但无法ping掉它背后的任何内容。一旦我禁用Source / Dest检查流量就很好了。

AWS：无法从VPN ping到其他区域的实例

如果我从实例A ping到VPN B，我看到ping转到VPN A，VPN B，返回到VPN A，但它永远不会到达实例A.

2 个答案: