【发布时间】:2015-06-23 16:14:49
【问题描述】:
按照本指南的内容,我在 AWS 中设置了跨区域 VPN:
http://fortycloud.com/interconnecting-two-aws-vpc-regions/
所以,我的工作在一定程度上可以正常工作,但我无法从一个实例 ping 到 VPN 主机。
所以网络看起来像这样:
实例A vpn A vpn B 实例B
我可以从 VPN ping 到 VPN。我可以从 VPN A ping 到实例 B。我可以从实例 A ping 到 VPN A。我可以从 VPN B ping 到实例 B。
但我无法从 VPN B ping 到实例 A,反之亦然。所有路由表和安全组似乎都是正确的。
还有什么我可能遗漏的吗?
这里是信息:
VPN A openswan 配置:
[root@ip-10-1-200-220 ipsec.d]# cat me-to-or.conf
conn me-to-or
type=tunnel
authby=secret
left=%defaultroute
leftid=52.8.x.x
leftnexthop=%defaultroute
leftsubnet=10.1.0.0/16
right=54.213.x.x
rightsubnet=10.0.0.0/16
pfs=yes
auto=start
VPN B 打开:
conn me-to-ca
type=tunnel
authby=secret
left=%defaultroute
leftid=54.213.x.x
leftnexthop=%defaultroute
leftsubnet=10.0.0.0/16
right=52.8.x.x
rightsubnet=10.1.0.0/16
pfs=yes
auto=start
实例 A 安全组:
All traffic FROM ANYWHERE
实例 B 秒组:
All traffic FROM ANYWHERE
VPN A Sec 组:
All traffic FROM ANYWHERE
VPN B Sec 组:
All traffic FROM ANYWHERE
Ping 结果:
在 VPN A 上(到实例 B):
[root@ip-10-1-200-220 ipsec.d]# ping 10.0.5.130
PING 10.0.5.130 (10.0.5.130) 56(84) bytes of data.
64 bytes from 10.0.5.130: icmp_seq=1 ttl=63 time=21.0 ms
在 VPN B 上(到实例 A):
[root@ip-10-0-200-251 ipsec.d]# ping 10.1.5.54
PING 10.1.5.54 (10.1.5.54) 56(84) bytes of data.
100% packet loss
如果我从 VPN B ping 到实例 A,我可以看到 ping 命中 VPN A(使用 TcpDump),但它永远不会到达实例 A。但是,如果我从 VPN A ping 到实例 A,那就可以了。
如果我从实例 A ping 到 VPN B,我看到 ping 转到 VPN A、VPN B,然后返回到 VPN A,但它永远不会到达实例 A。
这是链接文章中的图片,以帮助思考拓扑:
【问题讨论】:
-
请显示 Openswan 的配置和用于 VPN 隧道的任何其他软件,以及安全组和路由表。
-
@BenWhaley - 添加了更多信息,谢谢
-
有什么方法可以检查 VPNA OpenSwan 上的日志是否有被拒绝或被阻止的连接?
-
@Jordan - 我不知道 openswan 在哪里记录它的活动,但我开始用 tcpdump 观察 ping,并用其中的信息更新了问题。
-
当您说可以 ping VPN 到 VPN 时,您的意思是您可以从 OpenSwanB ping OpenSwanA 并从 OSA ping OSB?
标签: amazon-web-services ping vpn