AWS 上の OpenVPN (NAT モードでは動作しますが、ルーティング モードでは動作しません)

3 つのパブリック サブネット (IGW を指す) と 3 つのプライベート サブネット (それぞれに NAT GW がある) を持つ新しい VPC (10.0.0.0/16) があります。パブリック サブネットに OpenVPN アプライアンスをデプロイし、NAT モードを使用するように構成しました (Yes, using NATルーティング構成で)。また、プライベート サブネットの 1 つにテスト インスタンスがあります。OpenVPN インスタンスとテスト インスタンスの両方に、"寛大な" 柔軟性 (つまり、テスト目的ですべての入出力が許可される) を備えた SG グループがあります。OpenVPN では、10.0.0.0/16現場で構成しましたSpecify the private subnets to which all clients should be given access (one per line):。

私の Mac (ホーム ネットワーク 192.168.178.0/24 上) からトンネルを確立して、テスト インスタンスに簡単にアクセスできます。すべて順調です。

ここでルートモードに切り替えたいと思います。

• ルーティング モードを に変更しましたYes, using Routing。OpenVPN インスタンスの送信元/宛先チェックを無効にしました。
• 私は、VPC 内の 4 つのルーティング テーブルすべて (プライベート サブネット x 3 つとパブリック サブネット x 1 つ) に静的ルートを追加して、192.168.178.0/24(ホーム ネットワーク) 宛のトラフィックが OpenVPN インスタンスに送信されるよう指定しました (おそらく、パブリック サブネットではこれは不要でした)。
• に加えて、フィールド192.168.178.0/24に を追加しました(必須かどうかはわかりません) 。Specify the private subnets to which all clients should be given access (one per line):10.0.0.0/16
• ログインに使用しているユーザーのユーザー権限を再構成しUse Routing、上記の両方のサブネット (10. と 192.) を再度指定しました。

トンネルを確立することはできます。OpenVPN インスタンスの内部 IP にアクセスできます。

$ traceroute 10.0.4.223          
traceroute to 10.0.4.223 (10.0.4.223), 64 hops max, 52 byte packets
 1  10.0.4.223 (10.0.4.223)  178.345 ms  174.470 ms  173.680 ms
$

しかし、プライベートサブネット内のテストインスタンスにアクセスできません。

$ traceroute 10.0.165.139
traceroute to 10.0.165.139 (10.0.165.139), 64 hops max, 52 byte packets
 1  172.27.232.1 (172.27.232.1)  194.976 ms  177.014 ms  174.402 ms
 2  * * *
 3  * * *
 4  * * *
^C
$

興味深いことに、OpenVPN サーバーに ssh で接続し、トンネルを開始したローカル ワークステーションで NGINX を curl しようとしても、アクセスできません。ワークステーションは OpenVPN サーバーにアクセスできるようですが (上記のトレースを参照10.0.4.223)、OpenVPN サーバーはワークステーションにアクセスできません (何らかの理由により)。

ワークステーションから開始されたフローは、OpenVPN インスタンスへの (およびそこからの) ルートを見つけることができるようです。ただし、ワークステーションからテスト インスタンスへの (およびそこからの) ルートはどこかで途切れ、OpenVPN インスタンスからワークステーションへの開始時にも途切れているようです (curl を参照)。