我们正在从内部机器迁移到新的跳转主机。我们还有 100 多个客户,我们仍然需要通过 SSH 与他们通信。他们的防火墙目前允许我们的主要办公室通过 SSH 进入,但不允许我们的 AWS 主机进入。迁移 100 多个客户的防火墙需要时间,因此在完成之前,我们希望通过已建立的 VPN 路由这些 IP 的所有流量,以便流量从我们的办公室而不是亚马逊上的互联网网关 (IGW) 退出。
我在路由方面的教育中缺少一些细节,所以如果有人能向我解释这一点,那就太好了……
VPC 具有以下路由表:
0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw
8.8.4.4是 Google 的辅助 DNS 服务器,对所有人开放且启用了 ICMP,非常适合测试。
traceroutes 显示没有跳数。连接似乎在无处可去后就断开了。我显然遗漏了一些东西,但我不知道是什么。我如何完成此设置,以便推送到虚拟网关 (vgw) 的所有流量都通过 VPN?
详细信息这里没什么用处。
VPN 状态仅配置了 1 条隧道。
VPN静态路由 这是路由表172.27.224.0/24从中提取地址的地方。
答案1
除非您想为每个客户创建一条路由,否则请更改默认路由以通过 VPN 发送所有流量并删除 IGW。然后您的企业路由器就可以管理流量了。
您的路线表将如下所示:
0.0.0.0/0 -> vgw
172.31.254.0/24 -> local
上面的第二个路由 CIDR 看起来很奇怪 - 它看起来像一个子网而不是 VPC 网络。您希望将其作为您的 VPC CIDR。
一旦您验证了这对于所有流量都正常工作,那么如果您需要访问 AWS 资源(例如更新、S3 存储等),则可以将 VPC 端点添加到您的 VPC。
答案2
上述设置是正确的。问题已确定是公司方的防火墙质量不佳,更换后,它作为 VPN 端点运行良好。顺便说一句,我强烈建议不要使用 WatchGuard 品牌的防火墙。多年来我一直在使用它们,它们似乎在大多数方面都很差,而且通常存在错误。