AWS Client VPN可以连接但不能访问VPC资源

时间:2019-04-23 14:29:47

标签: amazon-web-services vpn amazon-vpc openvpn

我已经配置了AWS Client VPN,以便可以使用相互身份验证(证书)成功连接并且可以访问Internet。尽管如此,尽管遵循了手册,但我无法访问同一VPC中其他子网中的资源。对于可能缺少的任何提示,我将不胜感激。

Client VPN configuration:

Association:
Subnet: subnet-0a51a9e6891ccee4f
Security Group:  sg-08649152e7b46e74a

Authorization:
CIDR (1): 0.0.0.0/0
CIDR (2): 172.30.0.0/16 (VPC private IP)

Route Table:
CIDR: 172.30.0.0/16, Target Subnet: subnet-0a51a9e6891ccee4f
CIDR: 0.0.0.0/0, Target Subnet: subnet-0a51a9e6891ccee4f

VPN Subnet configuration (subnet-0a51a9e6891ccee4f):

Route Table:
Destination: 172.30.0.0/16, Target: local
Destination: 0.0.0.0/0, Target: igw-55d21930

Network ACL:
Inbound:
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW
1000 ALL Traffic ALL ALL 172.30.0.0/16 ALLOW

Outbound:
100 ALL Traffic ALL ALL 0.0.0.0/0 ALLOW
1000 ALL Traffic ALL ALL 172.30.0.0/16 ALLOW

VPN Security Group: (sg-08649152e7b46e74a)
Inbound:
All traffic All All 0.0.0.0/0 
All traffic All All 172.30.0.0/16
All traffic All All sg-08649152e7b46e74a

Outbound:
All traffic All All 172.30.0.0/16
All traffic All All 0.0.0.0/0
All traffic All All sg-08649152e7b46e74a

客户端能够连接并获得分配的IP,例如172.30.8.98。

即使我允许来自上述VPN安全组(sg-08649152e7b46e74a)的流量,我仍然无法访问受安全组保护的EC2实例(在这种情况下,端口27017上的mongodb)。

2 个答案:

答案 0 :(得分:0)

也许其中一项会有所帮助:

    与子网关联的

  1. SG仅可用于Internet访问-添加0.0.0.0/0并忽略它(除非有人想在以后启发我)。现在,您要连接到mongo EC2,请将规则添加到其SG,以允许sg-08649152e7b46e74a中的27017

  2. 您正在尝试连接到EC2公共IP而非私有IP

答案 1 :(得分:0)

在存在完全相同的问题时,我不得不使用以下路由来修改OpenVPN配置文件。

VPC CIDR : 192.168.0.0/16
Routes for OpenVPN Configuration File :
route-nopull
route 192.16.0.0 255.255.0.0
dhcp-option DNS 192.168.0.2
相关问题
最新问题