我们有一个 FortiGate(FortiOS 6.0)连接到 AWS 上的 IPSec 站点到站点 VPN(动态 BGP)。当 VPN 启动时,我们只能使用私有 IP 访问 EC2,公有 IP 不再起作用。只有链接到 VPN 的 VPC 中的公有 IP 无法访问,其他 AWS 帐户的公有 IP 仍然可访问。
即使连接到 VPN,我们如何才能使两个 IP 都可访问?
为了测试目的,我创建了一个“允许来自任何 IP 的所有流量”安全组,以确保我不会被阻止。
答案1
这是 AWS VPN 的一个限制。它们仅允许来自/来往于 VPN 部署所在 VPC 的私有 IP 的流量。
答案2
您不应该通过 VPN 访问任何公共 IP 地址(也许它是公开路由?)。
这不是安全组的问题,而是路由的问题。如果我没记错的话,您没有通过 VPN 连接进行传递路由,这意味着与您的 VPN 关联的 VPC 中的路由表不会路由不在其自身和您在本地网络中定义的网络之间定向的流量。
或者您可以使用类似 EC2 实例的东西来执行附加两个(或更多) ENI 的路由。
如果记忆不错的话,您可以使用 Direct Connect 而不是 VPN 来克服传递路由的情况。