我們遇到了一個奇怪的問題,似乎與路由或 DNS 有關。
我們有一個使用 Unifi 設備 (UDMP) 的「中心輻射」拓撲。每個站點都透過 IPSEC 隧道連接到執行 VyOS 的 AWS EC2 實例,以處理站點與 AWS 中其他基礎設施之間的核心路由。
過去,當我們採用一些本地伺服器的混合拓撲時,每個網站都有另一個連接到主辦公室的 IPSEC 隧道,這是舊 VoIP 伺服器所需的,我們有一些本地 DNS 伺服器。
此後,我們已將所有基礎設施遷移到 AWS,不再需要通往主辦公室的第二條 IPSEC 隧道。我已經關閉了該站點連接到主辦公室的大部分隧道,對於其他站點來說一切正常。我還剩下一個站點(site3),每當我拆除他們的隧道時,它都會給我帶來問題。
問題:每當我關閉「站點 3」和主辦公室之間的 IPSEC 隧道時,事情可能會持續 10 分鐘,然後人們開始抱怨他們「沒有網路」。我確定他們可能仍在使用舊的本機 DNS 伺服器,因此我將他們的主 DNS 伺服器切換到 AWS 中的 DNS 伺服器,並使用 google dns 作為備份。很好,沒問題,一切正常。我再次沿著隧道下行,開始接到電話。這次用戶說他們丟失了映射磁碟機(AWS 中的檔案伺服器)。
奇怪的是,當到主辦公室的 IPSEC 隧道啟動時,一切都工作正常(站點 3 與 aws 的連接)。當我把它取下來時,它可以工作大約 10 分鐘左右,然後就停止工作了。您可能會認為他們的站點通過隧道路由到總部,然後路由到 AWS,但事實並非如此。來自站點 3 的客戶端電腦的追蹤路由顯示連接到 EC2 執行個體的 3 個躍點:從其 WAN 出去,到 VyOS IP,再到伺服器 IP。檢視 site3 用戶端電腦上的路由表顯示沒有 AWS 網路的項目,因此流量會傳送到 0.0.0.0(其 UDMP 閘道)。查看 site3 UDMP 上的路由表可以看到 aws VPC 網路 172.30.0.0/16 的 1 個條目,下一跳是 VyOS 路由器。
1 個有趣的細節是,即使所有內容都設定為允許 ICMP/回應 ping,UDMP 和 vyos 路由器都無法相互 ping 或 ec2 實例...但是 site3 網路上的用戶端可以 ping 所有內容。
我檢查了 EC2 執行個體的安全性規則,所有必需的網路和 WAN IP 都包含在內。
當我注意到 site3 udmp 配置了靜態 WAN IP,而且還設定了「路由器」的設定和其他 IP 位址時,我的想法很新鮮。這些是詳細資訊:
WAN IP=108.x.69.250
subnet mask: 255.255.255.248
Router: 108.x.69.249
Additional IP addresses: 108.x.69.251/32, 108.x.69.252/32, 108.x.69.253/32, 108.x.69.254/32, 108.x.69.255/32
查看 AWS/EC2 的安全規則表明,雖然允許 108.x.69.250/32,但子網路中不包含任何其他 IP(下一跳 ISP 路由器或其他 IPS)。我將 AWS 安全性允許存取更改為 108.x.69.248/29,但這是一個萬歲瑪麗。我不太有信心這會解決問題。
有人有什麼想法或想法嗎?直到下班後我才能再次測試,但我想我可能會得到其他人對這種情況的看法。任何人都有使用靜態 WAN 的 UDMP 以及為路由器和其他 IP 配置這些附加欄位的經驗嗎?
我附上了一張漂亮的拓樸圖,供您閱讀!
答案1
我相信將 WAN /29 網路上的其他 IP 新增至 AWS 存取群組可以解決這個問題。