Tenemos un FortiGate (FortiOS 6.0) conectado a una VPN de sitio a sitio IPSec (Dynamic BGP) en AWS. Cuando la VPN está activa, solo podemos acceder a EC2 usando la IP privada, la IP pública ya no funciona. Solo la IP pública en la VPC vinculada a la VPN es inalcanzable, la IP pública de otras cuentas de AWS sigue siendo accesible.
¿Cómo hacemos para que ambas IP sean accesibles, incluso cuando estamos conectados a la VPN?
Para fines de prueba, creé un grupo de seguridad "permitir todo el tráfico desde cualquier IP" para asegurarme de que eso no me bloqueara.
Respuesta1
Esa es una limitación de las VPN de AWS. Solo permiten el tráfico hacia/desde IP privadas que pertenecen a la VPC en la que está implementada la VPN.
Respuesta2
No debería llegar a ninguna de las direcciones IP públicas a través de la VPN (¿tal vez se esté enrutando públicamente?).
No es un problema de grupos de seguridad, sino de enrutamiento. IIRC no tiene enrutamiento transitivo a través de una conexión VPN, lo que significa que las tablas de enrutamiento en la VPC asociada con su VPN no enrutarán el tráfico que no esté dirigido entre sí y las redes que haya definido en sus instalaciones. redes.
O podría hacer que algo como una instancia EC2 haga el enrutamiento con dos (o más) ENI adjuntos.
Si la memoria no me falla, podría superar la situación del enrutamiento transitivo utilizando Direct Connect en lugar de VPN.