AWS VPC 路由问题

tag-icon tag-icon amazon-ec2 amazon-web-services routing openvpn amazon-vpc
AWS VPC 路由问题

主要问题是一旦连接了 vpn,我就无法连接到内部 ec2 实例或网络。

首先,我不擅长网络和设置,并且已经阅读了文档以解决尽可能多的问题。我正在寻找更多帮助,因为我花了几天时间进行设置,但无法弄清楚 AWS VPC 的路由配置。

VPC1: IPv4 CIDR 172.44.0.0/16

子网(全部为公共):

  • 172.44.1.0/24 [主子网](以下有路线表)

  • 172.44.2.0/24

  • 172.44.0.0/24

路由表:

  • 172.44.0.0/16[已修复拼写错误,第 30 行改为第 44 行] 本地 活跃 否

  • 0.0.0.0/0 igw-60f33005 活动否

    • 虚拟专用网关 - 路由传播 = 是

互联网网关设置VPC1

NAT 网关:

  • 34.110.17.48(这不是实际 IP) 172.44.1.117 VPC1 [主子网]subnet-7xxxxx

EC2 信息:

实例:

  • 弹性 IP:28.14.134.60(这不是实际 IP)

SG->

  • 自定义 UDP 规则 UDP 1194 0.0.0.0/0
  • SSH TCP 22 0.0.0.0/0
  • 所有 ICMP - IPv4 所有 N/A 0.0.0.0/0

服务器配置文件

port 1194
proto udp
dev tun
server 172.44.0.0 255.255.0.0
push "route 28.14.134.60 255.255.0.0"
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
tls-auth /etc/openvpn/keys/ta.key 0
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256
cipher AES-256-CBC
auth SHA512
ifconfig-pool-persist ipp.txt
keepalive 15 60
comp-lzo adaptive
persist-key
persist-tun
status openvpn-status.log
log-append  /var/log/openvpn.log
verb 3
max-clients 100
user nobody
group nogroup
key-direction 0

# Add route to Client routing table for the OpenVPN Server
push "route 172.44.0.0 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
# This is probably wrong
push "route 10.8.0.0 255.255.0.0"

ufw:

  • ufw 允许 1194/udp
  • ufw 允许 OpenSSH

vim /etc/ufw/before.rules

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#


# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to wlp11s0 (change to the interface you discovered!)
-A POSTROUTING -s 172.44.0.0/16 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

...

我需要帮助的是确认网关和路由的设置。欢迎提供任何提示或完整更正!!

答案1

在您的问题中,您提到了 VPN 连接,但您的路由表通过 Internet 网关发送流量 0.0.0.0/0,对吗?

您描述的路由表正确吗?如果您使用的是 VPC1:ipv4 CIDR 172.44.0.0/16,则路由表中的第一个条目应该是:

172.44.0.0/16 本地,而非 172.30.0.0/16 本地

确保您正在查看正确的路由表,并确保它具有本地路由和 0.0.0.0/0 IGW 路由。

另请检查:

  1. 链接到 VPC 的 NACL 未阻止您的流量(入站和出站)
  2. 没有操作系统防火墙规则阻止连接
  3. 您的安全组允许正确的流量(入站)

相关内容