all- 所以,我在数据中心和 VPC 之间建立了 VPN 隧道。设备(终端)是 PAN200,PAN OS 4.xx
流量正常通过;SQL、RDP、AD、DNS 等以及从 AWS 端到 DC 端的 PING 均通过,但从 DC 端到 AWS 的 PING 失败。
DC 子网 (10.115.xx) AWS 子网 (10.116.xx)
那么,AWS 提供的配置文件中的哪一行给了我配置 PAN 的“下一跳”接口 IP,以便我可以通过隧道 ping 通?
答案1
确保您的 DC 防火墙中有适当的规则,以允许来自 10.16.xx 子网的所有流量进入您的网络。
答案2
下一跳通常意味着您需要将目标 IP 地址、网络掩码和网关添加到路由表中。路由表中有一个默认网关,所有流量都将通过默认网关,如果您需要某些流量使用其他网关,则需要使用“下一跳”。例如,在您的 DC 端:route add -net 10.116.0.0/16 gw 10.115.0.1(取决于您的配置。)
这意味着所有到 10.116.0.0/16 的流量都将经过 10.115.0.1。
答案3
好的,搞定了。PAN 配置上有一个复选框,上面写着“将本地 IP 范围附加到 ICMP 请求”。禁用该复选框后,ping 就可以正常工作了。显然,当 RETURN 消息进入 PAN 时,它们的 AWS 子网地址被剥离,替换为 LOCAL 子网地址,然后被黑洞化,因为规则不允许 ICMP 穿越安全边界然后返回在相同的界面。
真是奇怪的问题。
谢谢大家的建议。