Ich habe eine VPC mit zwei EC2-Instanzen:
- API
- Private IP
10.0.103.200(privates Subnetz)
- Private IP
- VPN-Router
- Private IP
10.0.103.100(privates Subnetz) - Private IP
10.0.4.100(öffentliches Subnetz) und öffentliche IP - Intern eingestellte IP
10.69.69.1
- Private IP
Die öffentliche IP des VPN wird von externen Geräten für die Verbindung über IPSEC/L2TP verwendet. Die Clients, die sich auf diese Weise verbinden, erhalten Adressen aus 10.69.69.0/24dem Speicherplatz, der nur innerhalb der VPN-Maschine selbst verwaltet wird. Die VPN-Maschine hat die Adresse10.69.69.1
Natürlich weiß die AWS-Routingtabelle nichts davon 10.69.69.1, aber da die API VPN sehen und damit kommunizieren kann, sollte ich einfach Folgendes tun können:
ip route add 10.69.69.0/24 via 10.0.103.100
Leider funktioniert dies nicht und 10.69.69.1ist weiterhin nicht über die API zugänglich. Ich habe überprüft, dass VPN in diesem Fall überhaupt keinen Datenverkehr empfängt.
Tut AWS etwas, das mir dies nicht ermöglichen würde?
Das Endziel besteht darin, das Ganze 10.69.69.0/24über die API zugänglich zu machen. Der erste Schritt besteht jedoch darin, in diesem Bereich Zugriff auf die eigene VPN-Adresse zu haben.
Ich weiß, dass AWS auch eigene VPN-Dienste hat, aber die sind für meinen Anwendungsfall viel zu teuer. Ich brauche eine Reihe von Boxen (LTE-Router, Raspberry Pi und IP-Kamera), die verbunden werden müssen. AWS IoT scheint cool zu sein, löst mein Ziel aber leider wahrscheinlich nicht. Außerdem würde ich gerne vermeiden, eine Verbindung von der API zum VPN über IPSEC/L2TP herstellen zu müssen, aber derzeit scheint dies die einzige Option zu sein, die ich kenne.
Antwort1
Höchstwahrscheinlich stoßen Sie auf die Quell-/Zielprüfung, die EC2-Instanzen standardmäßig durchführen: Sie blockieren jeglichen Datenverkehr, der nicht direkt für ihre Schnittstellen bestimmt ist. Dies ist dasselbe Problem, das Sie beim Erstellen einer NAT-Instanz haben.
Dies kann deaktiviert werdenin der Konsolein den Netzwerkeinstellungen für Ihre Instanz.