AWS VPN 客户端拆分隧道不起作用

2024-6-1 • tag-icon

我最近设置了一个 AWS VPN 客户端。我可以成功连接到从我的办公室定义的 AWS VPC，并且通过设置拆分隧道选项，我可以看到默认互联网路径按照我的办公室配置保留，但是，我无法浏览互联网。我已经检查过，ping 到外部地址没有问题，问题出在 DNS 解析上。

我尝试设置公共 DNS，例如 8.8.8.8（根据我在 ipconfig 和路由中看到的内容正确推送到我的办公室配置），并且还尝试完全禁用 DNS 配置推送，但无论我尝试什么，当我连接 vpn 时，dns 解析就会完全停止工作。

有人遇到过这种情况吗？AWS VPN 客户端是 OpenVPN，但我无权访问后端，因此除了 AWS 界面提供的功能外，无法对服务器端配置进行太多操作。

我的 LAN 适配器具有以下配置：

   Link-local IPv6 Address . . . . . : fe80::61dd:e38c:8f56:6914%33(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.1.46(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.1.1
   DHCP Server . . . . . . . . . . . : 192.168.1.1
   DNS Servers . . . . . . . . . . . : 80.58.61.250
                                       80.58.61.254

我连接vpn之前的路由表是：

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.46     35
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.0    255.255.255.0         On-link      192.168.1.46    291
     192.168.1.46  255.255.255.255         On-link      192.168.1.46    291
    192.168.1.255  255.255.255.255         On-link      192.168.1.46    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      192.168.1.46    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      192.168.1.46    291
===========================================================================

连接 VPN 后，我的 VPN 网络配置是：

Ethernet adapter Ethernet 4:
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : TAP-Windows Adapter V9 for OpenVPN Connect
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : fe80::9525:f089:27af:591c%11(Preferred)
   IPv4 Address. . . . . . . . . . . : 10.10.1.194(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.224
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 8.8.8.8
                                       205.251.192.0
   NetBIOS over Tcpip. . . . . . . . : Enabled

我的路由表只是将路由添加到目标网络

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.46     35
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        10.10.0.0      255.255.0.0      10.10.1.193      10.10.1.194    257
      10.10.1.192  255.255.255.224         On-link       10.10.1.194    257
      10.10.1.194  255.255.255.255         On-link       10.10.1.194    257
      10.10.1.223  255.255.255.255         On-link       10.10.1.194    257
        10.20.0.0      255.255.0.0      10.20.1.193      10.10.1.194    257
      192.168.1.0    255.255.255.0         On-link      192.168.1.46    291
     192.168.1.46  255.255.255.255         On-link      192.168.1.46    291
    192.168.1.255  255.255.255.255         On-link      192.168.1.46    291
  192.168.228.224  255.255.255.240         On-link   192.168.228.225   5256
  192.168.228.225  255.255.255.255         On-link   192.168.228.225   5256
  192.168.228.239  255.255.255.255         On-link   192.168.228.225   5256
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      192.168.1.46    291
        224.0.0.0        240.0.0.0         On-link      172.17.1.194    257
        224.0.0.0        240.0.0.0         On-link   192.168.228.225   5256
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      192.168.1.46    291
  255.255.255.255  255.255.255.255         On-link       10.10.1.194    257
  255.255.255.255  255.255.255.255         On-link   192.168.228.225   5256
===========================================================================

此时，我可以成功连接到任何 10.10.x 或 10.20.x VM，但我无法访问互联网。如果我尝试 ping 8.8.8.8，则 ping 成功：

c:\Temp>ping 8.8.8.8
Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=13ms TTL=54

但如果我尝试解决，它不起作用：

c:\Temp>ping google.com
Ping request could not find host google.com. Please check the name and try again.

与 nslookup 相同：

c:\Temp>nslookup google.com
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  8.8.8.8
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

并且 tracert 到 8.8.8.8 正确显示它是到办公室网关：

C:\Users\Me>tracert 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

  1     3 ms     3 ms     3 ms  192.168.1.1
  2    73 ms     6 ms    34 ms  81.46.38.134
  3    11 ms    12 ms    11 ms  81.46.34.21
  4    41 ms    12 ms    11 ms  81.46.34.137
  5    11 ms    11 ms    13 ms  80.58.106.1
  6    11 ms    11 ms    12 ms  176.52.253.93
  7    54 ms    12 ms    12 ms  209.85.149.88
  8     *        *        *     Request timed out.
  9    29 ms    12 ms    11 ms  8.8.8.8

Trace complete.

任何帮助，将不胜感激..

谢谢！

尼西

答案1

在我看来，您似乎在所使用的 AWS VPN 中的 VPN 子网 NACls 中发出了问题。连接到 VPN 时，您的所有流量都会流向 AWS 子网。ICMP 流量似乎被允许，但特定应用程序协议（如 HTTP（80、443）和 DNS（53））似乎在 Ingress 或 Egress 上被阻止。

查看 AWS 中的 NACL（网络访问控制列表）以了解它们的设置方式。

另外，tracert对 8.8.8.8 执行 a，查看流量流动的方向。tracert还将使用 ICMP，因此它会为您提供一些额外的信息。

答案1

相关内容