O tráfego público roteado por uma VPN da Amazon AWS morre. Deseja que ele saia da nossa rede corporativa

O tráfego público roteado por uma VPN da Amazon AWS morre. Deseja que ele saia da nossa rede corporativa

Estamos migrando para um novo host de salto, migrando de uma máquina interna. Também temos mais de 100 clientes com os quais ainda precisaremos nos comunicar via SSH. Atualmente, seus firewalls permitem a entrada de nosso escritório principal via SSH, mas não de nosso host AWS. Leva tempo para migrar os firewalls de mais de 100 clientes, então, até que isso seja concluído, queremos rotear todo o tráfego desses IPs por meio de uma VPN que já esteja estabelecida para que o tráfego saia do nosso escritório e não do Internet Gateway (IGW) na Amazon.

Estou faltando alguns detalhes na minha formação em relação ao roteamento, então se alguém pudesse me explicar isso, seria ótimo...

A VPC tem esta tabela de roteamento:

0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw

8.8.4.4é o servidor DNS secundário do Google aberto a todos e com ICMP habilitado, perfeito para testes.

traceroutes não mostram saltos. A conexão parece morrer depois de não chegar a lugar nenhum. Obviamente estou faltando alguma coisa, mas não sei o quê. Como posso concluir esta configuração para que todo o tráfego enviado ao Gateway Virtual (vgw) passe pela VPN?


galeria completa aqui, imagens individuais abaixo


traceroute

pings

cgw

detalhes da tabela de rotas

entradas da tabela de rotas

associações de sub-rede da tabela de rotas

propagação da tabela de rotas

detalhes vgwNão é muito útil aqui.

detalhes da vpc

detalhes da VPN

status da VPNApenas 1 túnel está configurado.

rotas estáticas VPN É daqui que a tabela de rotas extraiu o 172.27.224.0/24endereço.

Responder1

A menos que você queira criar uma rota para cada cliente, altere sua rota padrão para enviar todo o tráfego pela VPN e remova o IGW. Então seu roteador corporativo pode gerenciar o tráfego.

Sua tabela de rotas ficará assim:

0.0.0.0/0 -> vgw
172.31.254.0/24 -> local

A segunda rota CIDR acima parece estranha - parece uma sub-rede em vez de uma rede VPC. Você deseja que este seja seu CIDR da VPC.

Depois de verificar se isso está funcionando corretamente para todo o tráfego, você poderá adicionar um endpoint VPC ao seu VPC se precisar acessar recursos da AWS, como atualizações, armazenamento S3, etc.

Responder2

A configuração acima está correta. Foi determinado que o problema era um firewall ruim no lado corporativo que, quando substituído, funcionou perfeitamente como um endpoint VPN. Para que conste, recomendo fortemente CONTRA os firewalls da marca WatchGuard. Tenho mexido com eles há anos e eles parecem ser inferiores na maioria dos aspectos e geralmente cheios de erros.

informação relacionada