Dies ist eine bestehende Umgebung, in die ich gerade eingestiegen bin. VyOS wird als AWS EC2-Instanz ausgeführt, die das gesamte Site-to-Site-Routing für unser Unternehmen übernimmt. Alles ist bereits eingerichtet und funktioniert. Wir haben gerade ein neues Unternehmen übernommen, für das ich die Ausrüstung ersetzt und ihrer Site etwas Adressraum in unserem Netzwerk zugewiesen habe. Ich habe das VPN an beiden Enden konfiguriert und in VyOS ein neues VTI mit einer Route erstellt, die das neue Subnetz berücksichtigt.
Ich bin überzeugt, dass die VPN-Einstellungen korrekt sind (eine Seite ist ein UDM-Pro, die andere Seite VyOS), der Tunnel wird auf beiden Seiten als aktiv angezeigt, ich kann von beiden Enden aus WAN-Schnittstellen anpingen, aber der Verkehr wird an beiden Enden nicht zu/von internen Netzwerken weitergeleitet/durchgelassen. Ich bin ziemlich sicher, dass der Verkehr beim Ausgang von VyOS in AWS hängen bleibt – und ich bin ziemlich sicher, dass ich einfach etwas übersehen habe, das in AWS konfiguriert werden muss – da ich dort keine Modifikationen oder Änderungen vorgenommen habe.
Ich habe mir die EC2-VPC-Subnetze, Routentabellen und ACL-Ein-/Ausgangsregeln angesehen, die mit der auf die Instanz angewendeten Sicherheitsgruppe verknüpft sind. Für mich sieht es so aus, als ob das neue Netzwerk an jeder dieser Stellen berücksichtigt wird. Ich bin jedoch noch ganz neu bei EC2 und habe keine Ahnung, wo ich mit der Fehlerbehebung beginnen soll.
Kann mir jemand sagen, was ich in AWS überprüfen sollte, um das Problem zu beheben?
Antwort1
Habe es geklärt, musste die WAN-IP der neuen Site zur AWS-Sicherheitsgruppe hinzufügen, die eingehenden Datenverkehr zur VyOS-Instanz zulässt.