我們正在從內部機器遷移到新的跳轉主機。我們還有 100 多個客戶,我們仍然需要透過 SSH 與他們進行通訊。他們的防火牆目前允許我們的主要辦公室透過 SSH 進入,但不允許我們的 AWS 主機。遷移 100 多個客戶的防火牆需要時間,因此在完成之前,我們希望透過已建立的 VPN 來路由這些 IP 的所有流量,以便流量從我們的辦公室流出,而不是從 Amazon 上的網際網路閘道 (IGW) 流出。
我在我的教育中遺漏了一些有關路由的細節,所以如果有人可以向我解釋這一點,那就太好了...
VPC有這樣的路由表:
0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw
8.8.4.4是 Google 的輔助 DNS 伺服器,向所有人開放並啟用了 ICMP,非常適合測試。
追蹤路由顯示沒有躍點。聯繫似乎在無處可去之後就消失了。我顯然錯過了一些東西,但我不知道是什麼。如何完成此設置,以便推送到虛擬網關 (vgw) 的所有流量都通過 VPN?
大眾汽車詳細信息這裡沒有多大用處。
VPN 狀態僅配置 1 個隧道。
VPN靜態路由 這是路由表172.27.224.0/24從中提取位址的地方。
答案1
除非您想為每個客戶建立一條路由,否則請變更預設路由以透過 VPN 發送所有流量並刪除 IGW。然後您的公司路由器就可以管理流量。
您的路由表將如下所示:
0.0.0.0/0 -> vgw
172.31.254.0/24 -> local
上面的第二條路由 CIDR 看起來很奇怪 - 它看起來像子網路而不是 VPC 網路。您希望這是您的 VPC CIDR。
一旦您驗證了這一點,這對於所有流量都可以正常運作,那麼如果您需要存取 AWS 資源(例如更新、S3 儲存等),則可以將 VPC 終端節點新增至您的 VPC。
答案2
上面的設定是正確的。該問題已被確定為企業端的防火牆效能較差,更換後,其作為 VPN 端點的功能正常。根據記錄,我強烈建議不要使用 WatchGuard 品牌的防火牆。已經和他們搞砸了很多年了,他們似乎在大多數方面都很差勁,而且通常都有缺陷。