Wir haben ein FortiGate (FortiOS 6.0), das mit einem IPSec Site-to-Site VPN (Dynamic BGP) auf AWS verbunden ist. Wenn das VPN aktiv ist, können wir nur über die private IP auf EC2 zugreifen, die öffentliche IP funktioniert nicht mehr. Nur die öffentliche IP im mit dem VPN verknüpften VPC ist nicht erreichbar, die öffentliche IP anderer AWS-Konten bleibt erreichbar.
Wie machen wir beide IPs erreichbar, auch wenn eine Verbindung zum VPN besteht?
Zu Testzwecken habe ich eine Sicherheitsgruppe „Alle Daten von allen IP-Adressen zulassen“ erstellt, um sicherzustellen, dass ich dadurch nicht blockiert werde.
Antwort1
Dies ist eine Einschränkung von AWS-VPNs. Sie erlauben nur Datenverkehr zu/von privaten IPs, die zu der VPC gehören, in der das VPN bereitgestellt wird.
Antwort2
Sie sollten über das VPN keine der öffentlichen IP-Adressen erreichen (vielleicht erfolgt das Routing öffentlich?).
Es handelt sich nicht um ein Problem der Sicherheitsgruppen, sondern des Routings. Soweit ich mich erinnere, haben Sie kein transitives Routing über eine VPN-Verbindung, was bedeutet, dass die Routing-Tabellen in der VPC, die mit Ihrem VPN verknüpft ist, keinen Datenverkehr weiterleiten, der nicht zwischen ihr und den Netzwerken, die Sie in Ihrem lokalen Netzwerk definiert haben, geleitet wird.
Oder Sie lassen das Routing beispielsweise von einer EC2-Instanz durchführen, an die zwei (oder mehr) ENIs angeschlossen sind.
Wenn ich mich recht erinnere, können Sie die Situation des transitiven Routings überwinden, indem Sie Direct Connect statt VPN verwenden.