次のような Amazon Virtual Private Cloud があります。
10.40.1.1 Internet Gateway
10.40.1.5 My OpenVPN Instance
10.40.1.100 My Windows Box
私が望んでいるのは、Windows ボックスからのネットワーク 10.200.1.0 宛てのトラフィックを OpenVPN インスタンス (10.40.1.5) 経由でルーティングすることですが、どうやってもそれができません。
Windows ボックスは OpenVPN インスタンスに ping を実行できます。サブネットとインスタンスには適切なファイアウォール ルールがあります。
ルーティングをテストするには、Windows ボックスから「ping 10.200.1.123」を実行し、OpenVPN インスタンスの tcpdump の出力を確認します。この手法は、ローカルの物理 LAN で機能します。
VPC ルート テーブルに、OpenVPN インスタンスへの 10.200.1.0/24 のルートを追加しましたが、ルートは到着しません。
Windows ボックスで同じルートを追加してみました。Wireshark を使用して、ping パケットが OpenVPN インスタンスの MAC アドレス宛てであることを確認しました。しかし、だめでした。
VPC サブネットではこのようなルーティングが許可されるのでしょうか?
答え1
ようやく解決しました: 送信元/宛先チェックを無効にします。デフォルトでは「有効」になっており、宛先アドレスがインスタンス アドレスと一致しない場合は、着信パケットがすべて破棄されます。もちろん、これによりルータが動作しなくなります。