2 つの EC2 インスタンスを持つ VPC があります。
- API
- プライベート IP
10.0.103.200(プライベートサブネット)
- プライベート IP
- VPNルーター
- プライベート IP
10.0.103.100(プライベートサブネット) - プライベートIP
10.0.4.100(パブリックサブネット)とパブリックIP - 内部設定IP
10.69.69.1
- プライベート IP
VPNのパブリックIPは、外部デバイスがIPSEC/L2TPを使用して接続するために使用されます。この方法で接続するクライアントは10.69.69.0/24、VPNマシン自体内でのみ管理される空間からアドレスを取得します。VPNマシンにはアドレスがあります10.69.69.1
もちろん、AWS ルーティング テーブルは を認識しません10.69.69.1が、API は VPN を認識して通信できるため、次の操作を実行できるはずです。
ip route add 10.69.69.0/24 via 10.0.103.100
残念ながら、これは機能せず、10.69.69.1API からアクセスできません。この場合、VPN にトラフィックがまったく送信されないことを確認しました。
AWS はこれを実現できないような何かを行っているのでしょうか?
最終目標は API から全体に10.69.69.0/24アクセスできるようにすることですが、最初のステップはその空間で VPN 独自のアドレスにアクセスできるようにすることです。
AWS には独自の VPN サービスもあることは知っていますが、私のユースケースには高価すぎます。接続するには、多数のボックス (LTE ルーター、Raspbery Pi、IP カメラ) が必要です。AWS IoT はすばらしいようですが、残念ながら私の目的は達成できないでしょう。また、IPSEC/L2TP を使用して API から VPN に接続する必要を回避したいのですが、現時点ではそれが私の知る唯一のオプションのようです。
答え1
おそらく、EC2 インスタンスがデフォルトで実行する送信元/宛先チェックにぶつかっているのでしょう。EC2 インスタンスは、そのインターフェースに直接向けられていないトラフィックをすべてブロックします。これは、NAT インスタンスを作成するときに発生する問題と同じです。
これは無効にすることができますコンソールでインスタンスのネットワーク設定で。