我們有一個 FortiGate (FortiOS 6.0) 連接到 AWS 上的 IPSec 站點到站點 VPN(動態 BGP)。當VPN啟動後,我們只能使用私有IP存取EC2,公有IP不再運作。只有VPN所連結的VPC內的公網IP不可達,其他AWS帳戶的公網IP仍可達。
即使連接到 VPN,我們如何才能使兩個 IP 均可存取?
出於測試目的,我創建了一個「允許來自任何 ip 的所有流量」安全群組,以確保我不會被阻止。
答案1
這是 AWS VPN 的限制。它們僅允許進出屬於部署 VPN 的 VPC 的私有 IP 的流量。
答案2
您不應該透過 VPN 存取任何公共 IP 位址(也許它是公共路由?)。
這不是安全群組的問題,而是路由的問題。 IIRC 您沒有透過 VPN 連線的傳遞路由,這表示與您的 VPN 關聯的 VPC 中的路由表不會路由未在其本身與您在本地定義的網路之間定向的流量聯網。
或者,您可以使用 EC2 執行個體之類的東西來執行路由,並附加兩個(或更多)ENI。
如果沒記錯的話,您可以使用 Direct Connect 而不是 VPN 來克服傳遞路由的情況。