Amazon AWS VPN経由でルーティングされたパブリックトラフィックが停止します。企業ネットワークから出るようにしたい

Amazon AWS VPN経由でルーティングされたパブリックトラフィックが停止します。企業ネットワークから出るようにしたい

社内のマシンから新しいジャンプ ホストに移行しています。また、SSH 経由で通信する必要がある顧客が 100 社以上あります。現在、顧客のファイアウォールは、SSH 経由でのプライマリ オフィスへのアクセスを許可していますが、AWS ホストへのアクセスは許可していません。100 社以上の顧客のファイアウォールを移行するには時間がかかるため、それが完了するまで、これらの IP のすべてのトラフィックを、すでに確立されている VPN 経由でルーティングして、トラフィックが Amazon のインターネット ゲートウェイ (IGW) ではなく、オフィスから出るようにしたいと考えています。

ルーティングに関して、私の教育ではいくつかの詳細が欠けているので、誰かが私にこれを説明してくれるとありがたいです...

VPC には次のルーティング テーブルがあります。

0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw

8.8.4.4は、誰でもアクセスでき、ICMP が有効になっている Google のセカンダリ DNS サーバーで、テストに最適です。

トレースルートにはホップが表示されません。接続はどこにも行かずに切断されたようです。明らかに何かが足りないのですが、それが何なのかわかりません。仮想ゲートウェイ (vgw) に押し込まれたすべてのトラフィックが VPN を経由するようにこの設定を完了するにはどうすればよいでしょうか?


完全なギャラリーはこちら、個々の画像は下にあります


トレースルート

ピン

CGW

ルートテーブルの詳細

ルートテーブルエントリ

ルートテーブルサブネットの関連付け

ルートテーブルの伝播

vgwの詳細ここではあまり役に立ちません。

VPCの詳細

VPNの詳細

VPN ステータス設定されているトンネルは 1 つだけです。

VPN 静的ルート ルート テーブルが172.27.224.0/24アドレスを取得する場所です。

答え1

すべての顧客に対してルートを作成する場合を除き、すべてのトラフィックを VPN 経由で送信するようにデフォルト ルートを変更し、IGW を削除します。その後、企業のルーターでトラフィックを管理できます。

ルート テーブルは次のようになります。

0.0.0.0/0 -> vgw
172.31.254.0/24 -> local

上記の 2 番目のルート CIDR は奇妙に見えます。VPC ネットワークではなくサブネットのように見えます。これを VPC CIDR にする必要があります。

すべてのトラフィックに対してこれが正しく機能していることを確認したら、更新、S3 ストレージなどの AWS リソースにアクセスする必要がある場合は、VPC に VPC エンドポイントを追加できます。

答え2

上記の設定は正しいです。問題は企業側のファイアウォールの性能が悪かったためであることが判明しましたが、これを交換したところ、VPN エンドポイントとして問題なく機能しました。記録によると、WatchGuard ブランドのファイアウォールは絶対にお勧めしません。何年も使ってきましたが、ほとんどの面で劣っており、一般的にバグが多いようです。

関連情報