Estamos migrando a un nuevo host de salto, migrando desde una máquina interna. También tenemos más de 100 clientes con los que aún necesitaremos comunicarnos a través de SSH. Actualmente, sus firewalls permiten el acceso de nuestra oficina principal a través de SSH, pero no de nuestro host de AWS. Se necesita tiempo para migrar los firewalls de más de 100 clientes, por lo que hasta que finalice, queremos enrutar todo el tráfico para estas IP a través de una VPN que ya esté establecida para que el tráfico salga de nuestra oficina y no de la puerta de enlace de Internet (IGW) en Amazon.
Me faltan algunos detalles en mi educación con respecto al enrutamiento, así que si alguien pudiera explicarme esto, sería genial...
La VPC tiene esta tabla de enrutamiento:
0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw
8.8.4.4es el servidor DNS secundario de Google que está abierto a todos y tiene ICMP habilitado, perfecto para realizar pruebas.
Las traceroutes no muestran saltos. La conexión parece morir después de no llegar a ninguna parte. Obviamente me falta algo, pero no sé qué. ¿Cómo puedo completar esta configuración para que todo el tráfico enviado a la puerta de enlace virtual (vgw) pase por la VPN?
galería completa aquí, imágenes individuales a continuación
asociaciones de subred de tabla de rutas
propagación de la tabla de rutas
detalles vgwNo es de mucha utilidad aquí.
estado de VPNSolo se configura 1 túnel.
rutas estáticas vpn De aquí es de donde la tabla de rutas extrajo la 172.27.224.0/24dirección.
Respuesta1
A menos que desee crear una ruta para cada cliente, cambie su ruta predeterminada para enviar todo el tráfico a través de la VPN y elimine el IGW. Entonces su enrutador corporativo podrá administrar el tráfico.
Su tabla de rutas se verá así:
0.0.0.0/0 -> vgw
172.31.254.0/24 -> local
La segunda ruta CIDR anterior parece extraña: parece una subred en lugar de una red VPC. Quiere que este sea su CIDR de VPC.
Una vez que haya verificado que esto funciona correctamente para todo el tráfico, podrá agregar un punto final de VPC a su VPC si necesita acceder a recursos de AWS, como actualizaciones, almacenamiento S3, etc.
Respuesta2
La configuración anterior es correcta. Se ha determinado que el problema es un firewall deficiente en el lado corporativo que, cuando se reemplazó, funcionó bien como punto final de VPN. Para que conste, recomiendo encarecidamente CONTRA los firewalls de la marca WatchGuard. He estado jugando con ellos durante años y parecen ser inferiores en la mayoría de los aspectos y, en general, tienen errores.