web-dev-qa-db-ja.com

AWS IPSec VPNを介してpingまたはtracerouteできない

VPCがIPSec VPNを介して施設に接続されており、AWSコンソールでトンネルが稼働していることが示されています。

効果のあるもの:

  • 私の施設(サブネット192.168.0.0/16)からAWS VPC(10.0.0.0/16)へのトラフィックを、VPCフローログで承認済みとしてマークして確認できます。

  • Sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echoを使用して、ターミナルでICMPトラフィックのtcpダンプを実行すると、pingが表示されます。

06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44

  • どこからでも、パブリックIPを使用してAWSインスタンスにpingすると、ping応答を取得できます。
  • 同じVPC内の別のAWSインスタンスからプライベートIPを使用してAWSインスタンスにpingすると、ping応答を取得できます。

機能しないもの:

  • 自分のプレミスから、icmp pingを受信したインスタンスを含むAWSインスタンスのいずれかにpingを実行しても、ping応答を取得できません。
  • AWSインスタンスから施設にpingを実行しても、pingの応答が得られません。
  • AWSインスタンスから192.168.234.254、または私の敷地内の他のプライベートIPへのtracerouteを実行できません。これらのtracerouteはタイムアウトになり、アスタリスクが最後まで付きます。
  • 私の施設からAWSインスタンスのいずれにもtracerouteを実行できません。これらのtracerouteはタイムアウトになり、アスタリスクが最後まで付きます。

構成:

サブネットのルートテーブル:

Destination        target        status    propagated
10.0.0.0/16        local         Active    No
0.0.0.0/16       igw-f06e2d95    Active    No
192.168.0.0/16   vgw-d1084e83    Active    No

AWSインスタンスのセキュリティグループ:インバウンド:

Type          Protocol    Port Range    Source
All ICMP      All          N/A      0.0.0.0/0

アウトバウンド:

Type          Protocol    Port Range    Source
All Traffic      All          N/A      0.0.0.0/0
All Traffic      All          N/A      192.168.0.0/16

インバウンドネットワークACL:

Rule#    Type            Protocol     Port Range        Source        Allow/Deny
100      All Traffic      ALL          ALL          0.0.0.0/0          ALLOW
200      All Traffic      ALL          ALL          192.168.0.0/16     ALLOW
*        All Traffic      ALL          ALL          0.0.0.0/0          DENY

ネットワークACLアウトバウンド

Rule#    Type            Protocol     Port Range        Source        Allow/Deny
100      All Traffic      ALL          ALL          0.0.0.0/0          ALLOW
200      All Traffic      ALL          ALL          192.168.0.0/16     ALLOW
\*        All Traffic      ALL          ALL          0.0.0.0/0          DENY

AWSインスタンスからオンプレミスのIPへのトレースパスは次を示します。

tracepath ip-192-168-234-254.ap-southeast-1.compute.internal
 1?: \[LOCALHOST\]                                         pmtu 9001
 1:  ip-10-0-2-1.ap-southeast-1.compute.internal           0.082ms pmtu 1500
 1:  no reply
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply

その他の情報:AWSインスタンスでUbuntu 14.04が実行されています

簡単に言うと、施設からのトラフィックはVPCインスタンスに到達しますが、セキュリティグループとネットワークACLが適切に設定されていて、内部からping応答を取得できても、双方向のping応答またはtracerouteを取得できません。私のVPC。

amazon-web-servicesipsecamazon-vpcsite-to-site-vpn
3
Yoga

これは実際には、VPN接続ページの静的ルートでした。VPNを介して特定のIPのトラフィックをルーティングするための静的ルートを追加する手順を忘れていました。

たとえば、オンプレミスのサブネットがIP 173.112.0.0/16を使用している場合:

「IPプレフィックス」の下に173.112.0.0/16を追加します。

[IPプレフィックス]列はCIDRブロックのみを受け入れることに注意してください。さらに制限したい場合は、/ 32 CIDRブロックを使用して個々のIPを追加できます。

1
Yoga