我们有一个带有两条静态路由的VPN设置
10.254.18.0/24
10.254.19.0/24
我们遇到的问题是,我们只能通过AWS与上述其中一个块进行通信。在某些时候它是.18而在其他时候是.19 - 我无法弄清楚是什么触发器。
我从没有任何问题同时从我的本地子网通信到aws。
有点被困在这里。有什么建议吗?
我们尝试了什么?那么防火墙'伙计们说他们没有看到任何被封锁的东西。但我read another post here表示同样的事情,问题仍然最终成为防火墙。
在整个玩这个过程中,好的"子网已翻转3次。含义
它一直在翻转。
答案 0 :(得分:1)
我们已经解决了这个问题。我们更改了AWS中配置的静态路由:
改为使用:
这将包含我们需要的所有地址并解决了问题。这是亚马逊的回应:
您好,
感谢您与AWS支持小组联系。我能理解你有问题 到达你的两个子网:10.254.18.0/24和10.254.19.0/24 at 来自AWS的同一时间。
我很确定我知道为什么会这样。在AWS上,我们可以接受 只有一个SA(安全关联)对。在你的防火墙上, "防火墙"人们必须配置基于策略的VPN。在策略/ ACL中 基于VPN,如果您为例如:1)源创建以下政策 10.254.18.0/24和目的地" VPC CIDR" 2)来源10.254.19.0/24和目的地" VPC CIDR" 或1)来源" 10.254.18.0 / 24,10.254.19.0 / 24"和目的地" VPC CIDR"
在这两种情况下,您将形成2个SA对,因为我们有两个不同的 策略/ ACL中提到的源。你只需要使用source作为 " ANY"或" 10.254.0.0/16"或" 10.254.0.0/25"等我们更愿意 你可以使用来源作为" ANY"然后使用微管理流量 如果您使用的是Cisco ASA设备,请使用VPN过滤器。如何使用VPN过滤器 在CISCO ASA的配置文件中给出。如果你正在使用 其他一些设备则必须找到相应的解决方案。 如果您的设备支持基于路由的VPN,那么我建议您 配置基于路由的VPN。基于路由的VPN始终只创建一个SA 对
找到解决方案后,只需创建一个ACL /策略 防火墙,你将能够同时到达这两个网络 时间。我可以在你的VPN上看到多个SA形成。这就是原因 为什么你不能同时到达这两个子网。
如果您有任何其他问题,请随时更新案例和 我们会回复他们。