我有一個包含兩個 EC2 執行個體的 VPC:
- 應用程式介面
- 私有IP
10.0.103.200(私有子網路)
- 私有IP
- VPN路由器
- 私有IP
10.0.103.100(私有子網路) - 私有IP
10.0.4.100(公有子網路)與公用IP - 內部設定IP
10.69.69.1
- 私有IP
VPN 的公共 IP 供外部設備使用 IPSEC/L2TP 進行連線。透過這種方式連接的用戶端從空間取得位址10.69.69.0/24,該位址僅在 VPN 機器本身內進行管理。 VPN機器有位址10.69.69.1
當然,AWS路由表不知道10.69.69.1,但是,由於API可以看到VPN並與VPN進行通信,我應該可以這樣做:
ip route add 10.69.69.0/24 via 10.0.103.100
不幸的是,這不起作用,並且10.69.69.1仍然無法從 API 存取。我已經驗證在這種情況下 VPN 根本不會收到任何流量。
AWS 是否正在做一些無法讓我實現這一目標的事情?
最終目標是使整個過程10.69.69.0/24可以透過 API 進行訪問,但第一步是訪問 VPN 在該空間中自己的地址。
我知道 AWS 也有自己的 VPN 服務,但這些服務對於我的用例來說太昂貴了。我需要連接一堆盒子(LTE 路由器、Raspbery Pi 和 IP 相機)。 AWS IoT 看起來很酷,但不幸的是可能無法解決我的目標。另外,我希望避免使用 IPSEC/L2TP 從 API 連接到 VPN,但目前這似乎是我所知道的唯一選擇。
答案1
您很可能會遇到 EC2 執行個體預設執行的來源/目標檢查:它們會阻止任何不直接傳送至其介面的流量。這與建立 NAT 實例時遇到的問題相同。
可以停用此功能在控制台中在您的實例的網路設定中。