这就是我所做的
- 创建 VPC 192.168.0.0/16
- 创建子网 192.168.5.0/24
- 创建互联网网关
- 将互联网网关连接至 VPC
- 创建路由表
- 设置目标路由 0.0.0.0/0 以定位互联网网关
- 将路由表关联到子网
- 使用自动分配 IP 的子网在 EC2 上启动 vyOS(允许 ICMP)
- 创建分配给 vyOS 的弹性 IP
- 添加了第二个网络接口 eth1 自动 IP 192.168.5.40(默认 vpc secgroup)
- 重启机器
- 设置 ipsec ike 和 esp 以及带有 2 个隧道的预共享密钥。两个隧道均已启动
- 从 vyOS 另一端 ping 10.2.0.20 得到回复
- 在同一子网上启动另一个具有自动分配 IP 的盒子(默认 vpc secgroup 为 22 和 80,允许从 0.0.0.0/0 访问)
我无法从 192.168.5.40 ping 10.2.0.20,但可以从 vyOS 盒子本身(ip 为 192.168.5.17)ping 10.2.0.20。我在 192.168.5.40 上添加了一条新路由
sudo route add -net 10.2.0.0/24 gw 192.168.5.17
ubuntu@ip-192-168-5-40:~$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.0.20 192.168.5.17 0.0.0.0 UG 0 0 0 eth0
default 192.168.5.1 0.0.0.0 UG 0 0 0 eth0
192.168.5.0 * 255.255.255.0 U 0 0 0 eth0
我知道我漏掉了一点。NAT 翻译?问题出在哪里?有人能指点我吗?提前谢谢
答案1
常见问题,请确保在实例上禁用源/目标检查(右键单击 -> 网络 -> 更改源目标检查)
您只需要在 Vyos 盒子上执行此操作。
您实际上也不需要第二个接口。您可以创建第二个子网,并在该子网的路由表上将 0/0 路由指向 Vyos 实例(如果您愿意)。