Wir migrieren von einem internen Rechner zu einem neuen Jump-Host. Außerdem haben wir über 100 Kunden, mit denen wir weiterhin über SSH kommunizieren müssen. Ihre Firewalls erlauben derzeit den Zugriff unseres Hauptbüros über SSH, aber nicht unseres AWS-Hosts. Die Migration der Firewalls von über 100 Kunden braucht Zeit. Bis dies abgeschlossen ist, möchten wir den gesamten Datenverkehr für diese IPs über ein bereits eingerichtetes VPN leiten, damit der Datenverkehr aus unserem Büro und nicht über das Internet Gateway (IGW) auf Amazon herauskommt.
In meiner Ausbildung fehlen mir ein paar Details zum Thema Routing, also wäre es super, wenn mir das jemand erklären könnte...
Die VPC hat diese Routing-Tabelle:
0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw
8.8.4.4ist der sekundäre DNS-Server von Google, der für alle offen ist und ICMP aktiviert hat – perfekt zum Testen.
Traceroutes zeigen keine Hops. Die Verbindung scheint abzubrechen, nachdem sie nirgendwohin geführt hat. Ich übersehe offensichtlich etwas, aber ich weiß nicht, was. Wie kann ich dieses Setup abschließen, sodass der gesamte an das virtuelle Gateway (vgw) weitergeleitete Datenverkehr über das VPN läuft?
vollständige Galerie hier, einzelne Bilder unten
Routentabellen-Subnetzzuordnungen
VGW-DetailsHier ist es nicht sehr hilfreich.
VPN-StatusEs ist nur 1 Tunnel konfiguriert.
VPN statische Routen Von hier hat die Routentabelle die 172.27.224.0/24Adresse bezogen.
Antwort1
Sofern Sie nicht für jeden Kunden eine Route erstellen möchten, ändern Sie Ihre Standardroute so, dass der gesamte Datenverkehr über das VPN gesendet wird, und entfernen Sie das IGW. Dann kann Ihr Unternehmensrouter den Datenverkehr verwalten.
Ihre Routentabelle sieht dann folgendermaßen aus:
0.0.0.0/0 -> vgw
172.31.254.0/24 -> local
Die zweite Route CIDR oben sieht seltsam aus – sie sieht aus wie ein Subnetz statt wie ein VPC-Netzwerk. Sie möchten, dass dies Ihre VPC CIDR ist.
Nachdem Sie überprüft haben, dass dies für den gesamten Datenverkehr ordnungsgemäß funktioniert, können Sie Ihrem VPC einen VPC-Endpunkt hinzufügen, wenn Sie auf AWS-Ressourcen wie Updates, S3-Speicher usw. zugreifen müssen.
Antwort2
Die obige Konfiguration ist korrekt. Das Problem wurde als eine schlechte Firewall auf Unternehmensseite identifiziert, die nach dem Austausch einwandfrei als VPN-Endpunkt funktionierte. Der Vollständigkeit halber möchte ich sagen, dass ich dringend von Firewalls der Marke WatchGuard abrate. Ich spiele seit Jahren mit ihnen herum und sie scheinen in den meisten Aspekten minderwertig und allgemein fehlerhaft zu sein.