Tenho uma VPC com duas instâncias EC2:
- API
- IP privado
10.0.103.200(sub-rede privada)
- IP privado
- Roteador VPN
- IP privado
10.0.103.100(sub-rede privada) - IP privado
10.0.4.100(sub-rede pública) e IP público - IP definido internamente
10.69.69.1
- IP privado
O IP público da VPN é usado por dispositivos externos para conexão usando IPSEC/L2TP. Os clientes que se conectam dessa forma obtêm endereços do 10.69.69.0/24espaço, que é gerenciado apenas dentro da própria máquina VPN. Máquina VPN tem endereço10.69.69.1
É claro que a tabela de roteamento da AWS não conhece 10.69.69.1, no entanto, como a API pode ver e se comunicar com a VPN, devo ser capaz de fazer apenas:
ip route add 10.69.69.0/24 via 10.0.103.100
Infelizmente, isso não funciona e 10.69.69.1ainda não pode ser acessado pela API. Verifiquei que a VPN não recebe nenhum tráfego neste caso.
A AWS está fazendo algo que não me permitiria conseguir isso?
O objetivo final é tornar tudo 10.69.69.0/24acessível a partir da API, mas o primeiro passo é ter acesso ao próprio endereço da VPN nesse espaço.
Eu sei que a AWS também tem seus próprios serviços VPN, mas eles são muito caros para o meu caso de uso. Preciso de um monte de caixas (roteador LTE, Raspbery Pi e câmera IP) conectadas. AWS IoT parece legal, mas infelizmente provavelmente não resolve meu objetivo. Além disso, gostaria de evitar a conexão da API à VPN usando IPSEC/L2TP, mas atualmente parece ser a única opção que conheço.
Responder1
Provavelmente você está se deparando com a verificação de origem/destino que as instâncias do EC2 executam por padrão: elas bloqueiam qualquer tráfego que não seja direcionado diretamente para suas interfaces. Este é o mesmo problema que você enfrenta ao criar uma instância NAT.
Isso pode ser desativadona consolanas configurações de rede da sua instância.