我有一个如下所示的亚马逊虚拟私有云:
10.40.1.1 Internet Gateway
10.40.1.5 My OpenVPN Instance
10.40.1.100 My Windows Box
我想要的是来自 Windows 机器发往网络 10.200.1.0 的流量通过我的 OpenVPN 实例 (10.40.1.5) 进行路由,但我无论如何都无法让它实现。
Windows Box 可以 ping OpenVPN 实例。子网和实例具有适当的防火墙规则。
为了测试路由,我从 Windows 机器运行“ping 10.200.1.123”,并观察 OpenVPN 实例上的 tcpdump 输出。此技术适用于我的本地物理 LAN。
在 VPC 路由表中,我添加了一条 10.200.1.0/24 到 OpenVPN 实例的路由,但它们从未到达。
在 Windows 机器上,我尝试添加相同的路由。使用 wireshark,我验证了 ping 数据包的目的地是 OpenVPN 实例的 MAC 地址。但没有成功。
VPC 子网是否甚至允许这种路由?
答案1
终于明白了:禁用源/目标检查。默认为“启用”,如果目标地址与实例地址不匹配,则会丢弃任何传入数据包。这当然会阻止路由器工作。