Temos um FortiGate (FortiOS 6.0) conectado a uma VPN IPSec Site-to-Site (Dynamic BGP) na AWS. Quando a VPN está ativa, só podemos acessar o EC2 usando o IP privado, o IP público não funciona mais. Somente o IP público na VPC vinculada à VPN é inacessível, o IP público de outras contas da AWS permanece acessível.
Como tornamos ambos os IPs acessíveis, mesmo quando conectados à VPN?
Para fins de teste, criei um grupo de segurança "permitir todo o tráfego de qualquer IP" para garantir que não fui bloqueado por isso.
Responder1
Essa é uma limitação das VPNs da AWS. Eles permitem apenas tráfego de/para IPs privados pertencentes à VPC na qual a VPN está implantada.
Responder2
Você não deveria acessar nenhum dos endereços IP públicos por meio da VPN (talvez seja roteamento público?).
Não é um problema de grupos de segurança, mas de roteamento. IIRC, você não tem roteamento transitivo por meio de uma conexão VPN, o que significa que as tabelas de rotas na VPC associada à sua VPN não rotearão o tráfego não direcionado entre ele e as redes que você definiu no local rede.
Ou você poderia ter algo como uma instância EC2 fazendo o roteamento com duas (ou mais) ENIs anexadas a ela.
Se a memória não falhar, você poderá superar a situação de roteamento transitivo usando Direct Connect em vez de VPN.