我在 Amazon 中创建了一个 VPC,并创建了多个子网 - 包括公有子网和私有子网。其中一个子网是私有子网,其中有一个 Linux 服务器。我为私有子网创建了一个虚拟私有网关,为公有子网创建了一个互联网网关。
我创建了一个客户网关,该网关具有合作伙伴防火墙的正确设置,并使用该客户网关建立了 VPN 连接。另一方已建立到 AWS 的 VPN 隧道,AWS 报告隧道已启动。他们已对 AWS 中私有子网中的服务器执行 ping 操作,并可成功看到它。
但是,我无法从 AWS 中的同一台服务器 ping 其网络中的服务器。
Their server is x.x.x.x (private ip on their network).
My server ip is y.y.y.43 (private Ip in private subnet)
从 aws 服务器到其服务器的跟踪路由如下所示:
traceroute to x.x.x.x (private IP on their network), 30 hops max, 60 byte packets
1 * ec2-79-125-1-96.eu <http://ec2-79-125-1-96.eu> <http://ec2-79-125-1-96.eu> <http://ec2-79-125-1-96.eu>-west-1.compute.amazonaws.com <http://west-1.compute.amazonaws.com> <http://west-1.compute.amazonaws.com> (79.125.1.96) 2.494 ms ec2-79-125-1-102.eu <http://ec2-79-125-1-102.eu> <http://ec2-79-125-1-102.eu> <http://ec2-79-125-1-102.eu>-west-1.compute.amazonaws.com <http://west-1.compute.amazonaws.com> <http://west-1.compute.amazonaws.com> (79.125.1.102) 0.567 ms
2 178.236.0.138 (178.236.0.138) 1.390 ms 178.236.0.108 (178.236.0.108) 1.044 ms 176.32.106.132 (176.32.106.132) 0.625 ms
3 178.236.0.133 (178.236.0.133) 1.138 ms 178.236.0.117 (178.236.0.117) 7.105 ms 178.236.0.119 (178.236.0.119) 1.204 ms
4 213.242.106.85 (213.242.106.85) 1.319 ms !N ae3.dub40.ip4.gtt.net <http://dub40.ip4.gtt.net> <http://dub40.ip4.gtt.net> <http://dub40.ip4.gtt.net> (141.136.96.137) 1.321 ms !N 213.242.106.85 (213.242.106.85) 1.312 ms !N
VPC 路由表如下所示:
destination y.y.0.0/16 target=local
destination x.x.x.0/24 target=virtual gateway
destination my-public-ip-I'm-connecting-from target=internet gateway
服务器上的路由表如下所示:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 y.y.y.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 y.y.y.1 0.0.0.0 UG 10001 0 0 eth1
y.y.y.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
y.y.y.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.169.254 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
我有一个与该服务器关联的安全组,允许从我的公共 IP 传入的 ICMP 和 SSH,我从那里连接到 AWS,并将所有内容传出到任何地方。
我有一个与该服务器关联的网络 ACL,允许 ICMP 和 SSH 从我的公共 IP 传入,并将所有内容传出到任何地方。
我怎么无法 ping 通他们网络上的服务器?为什么 traceroute 似乎在寻找公共 IP?
答案1
因此,尽管反复要求验证其他网络是否允许使用 ICMP,但似乎不允许。一旦他们将其打开,一切就都正常了。