Imansible ping o traceroute tramite AWS IPSec VPN

Il mio VPC è connesso ai miei locali tramite IPSec VPN, il tunnel è indicato di essere UP nella console AWS.

Le cose che funzionano:

  • Come posso separare l'account Amazon personale dal mio account AWS?
  • La crittografia IPsec di Windows 2008 R2 in modalità tunnel, ospita nella stessa substring
  • VPN e NetBIOS
  • Nessuna intestazione di controllo di cache per i file di AWS CloudFront con S3 Origin
  • Istanza elastica di bambù Windows - L'agente si blocca e l'istanza si arresta
  • Database MySQL più grande di 1 TB su Amazon
    • Posso vedere il traffico dai miei locali (subnet 192.168.0.0/16) a AWS VPC (10.0.0.0/16) sui flussi VPC, contrassegnati come accettati.

    • Quando faccio un dump di tcp del traffico ICMP sul terminal usando sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo , vedo il ping:

    06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 .

    • Posso get ping repliche quando ping l'istanza AWS utilizzando il suo IP pubblico, da ovunque.
    • Posso get ping repliche quando ping l'istanza AWS utilizzando il suo IP privato da un'altra istanza AWS nello stesso VPC.

    Le cose che non funzionano:

    • Non riesco a ricevere una risposta ping quando pinga dai miei locali a qualsiasi istanza AWS, incluso quello che riceve il mio ping di icmp.
    • Non riesco a get una risposta ping quando pinga dalla mia istanza AWS al mio locale.
    • Non posso fare un traceroute dalla mia istanza AWS a 192.168.234.254 o ad uno qualsiasi degli altri IP privati ​​nei miei locali. Questi tracciati finiscono con timeout, solo asterisco tutto il path.
    • Non posso fare un traceroute dai miei locali a nessuna delle istanze di AWS. Questi tracciati finiscono con timeout, solo asterisco tutto il path.

    configurazioni:

    Tabella path per la substring:

     Destination target status propagated 10.0.0.0/16 local Active No 0.0.0.0/16 igw-f06e2d95 Active No 192.168.0.0/16 vgw-d1084e83 Active No 

    Gruppo di protezione di istanze AWS: In arrivo:

     Type Protocol Port Range Source All ICMP All N/A 0.0.0.0/0 

    In output:

     Type Protocol Port Range Source All Traffic All N/A 0.0.0.0/0 All Traffic All N/A 192.168.0.0/16 

    Rete ACL in ingresso:

     Rule# Type Protocol Port Range Source Allow/Deny 100 All Traffic ALL ALL 0.0.0.0/0 ALLOW 200 All Traffic ALL ALL 192.168.0.0/16 ALLOW * All Traffic ALL ALL 0.0.0.0/0 DENY 

    Rete ACL in output

     Rule# Type Protocol Port Range Source Allow/Deny 100 All Traffic ALL ALL 0.0.0.0/0 ALLOW 200 All Traffic ALL ALL 192.168.0.0/16 ALLOW \* All Traffic ALL ALL 0.0.0.0/0 DENY 

    Il path traccia dalla mia istanza AWS all'IP nel mio spazio mostra:

     tracepath ip-192-168-234-254.ap-southeast-1.compute.internal 1?: \[LOCALHOST\] pmtu 9001 1: ip-10-0-2-1.ap-southeast-1.compute.internal 0.082ms pmtu 1500 1: no reply 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 

    Altre informazioni: L'istanza My AWS esegue Ubuntu 14.04

    In breve: il traffico dai miei locali raggiunge l'istanza VPC, ma non riesco a ricevere una risposta ping o tracerout in entrambe le direzioni, anche se i gruppi di protezione e ACL di networking sono impostati correttamente e anche se posso get le risposte ping dall'interno il mio VPC.

    One Solution collect form web for “Imansible ping o traceroute tramite AWS IPSec VPN”

    In realtà era la Route statica alla pagina Collegamenti VPN – avevo perso il passo per aggiungere una rotta statica per indirizzare il traffico di determinati IP attraverso la VPN.

    Ad esempio, se la substring del tuo locale utilizza IP 173.112.0.0/16:

    Aggiungere 173.112.0.0/16 sotto 'Prefissi IP'.

    Notare che la colonna Prefissi IP accetta solo i blocchi CIDR. È ansible aggiungere singoli IP utilizzando un block CIDR / 32 se si desidera essere più restrittivo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.