У нас есть FortiGate (FortiOS 6.0), подключенный к IPSec Site-to-Site VPN (Dynamic BGP) на AWS. Когда VPN работает, мы можем получить доступ к EC2 только с помощью частного IP, публичный IP больше не работает. Только публичный IP в VPC, связанном с VPN, недоступен, публичный IP других аккаунтов AWS остается доступным.
Как сделать оба IP-адреса доступными даже при подключении к VPN?
В целях тестирования я создал группу безопасности «разрешить весь трафик с любого IP», чтобы убедиться, что она меня не заблокирует.
решение1
Это ограничение AWS VPN. Они разрешают трафик только на/из частных IP-адресов, принадлежащих VPC, в котором развернут VPN.
решение2
Вы не должны получать доступ ни к одному из публичных IP-адресов через VPN (возможно, он осуществляет публичную маршрутизацию?).
Это проблема не групп безопасности, а маршрутизации. Если я правильно помню, у вас нет транзитивной маршрутизации через VPN-подключение, то есть таблицы маршрутизации в VPC, связанном с вашим VPN, не будут маршрутизировать трафик, не направленный между ним и сетями, которые вы определили в своей локальной сети.
Или вы можете использовать что-то вроде экземпляра EC2, который будет выполнять маршрутизацию с двумя (или более) ENI, подключенными к нему.
Если память мне не изменяет, проблему транзитивной маршрутизации можно решить, используя Direct Connect вместо VPN.