AWS 上の IPSec サイト間 VPN (Dynamic BGP) に接続された FortiGate (FortiOS 6.0) があります。VPN が稼働している場合、プライベート IP を使用してのみ EC2 にアクセスでき、パブリック IP は機能しなくなります。VPN にリンクされた VPC 内のパブリック IP のみがアクセス不能で、他の AWS アカウントのパブリック IP はアクセス可能なままです。
VPN に接続している場合でも、両方の IP にアクセスできるようにするにはどうすればよいでしょうか?
テストの目的で、「すべての IP からのすべてのトラフィックを許可する」セキュリティ グループを作成し、それによってブロックされないことを確認しました。
答え1
これは AWS VPN の制限です。VPN がデプロイされている VPC に属するプライベート IP との間のトラフィックのみが許可されます。
答え2
VPN 経由でパブリック IP アドレスにアクセスすることはできません (パブリックにルーティングしている可能性があります)。
これはセキュリティ グループの問題ではなく、ルーティングの問題です。私の記憶が正しければ、VPN 接続を介した推移的なルーティングはありません。つまり、VPN に関連付けられている VPC 内のルート テーブルは、オンプレミス ネットワークで定義したネットワークとの間を経由しないトラフィックをルーティングしません。
または、EC2 インスタンスのようなものに 2 つ (またはそれ以上) の ENI を接続してルーティングを実行することもできます。
記憶が正しければ、VPN の代わりに Direct Connect を使用することで、推移的なルーティング状況を克服できます。