我有一个连接到 VPN 的 EC2 实例,以及同一 VPC 中的另一个向该 VPN 发送流量的实例
因此拓扑结构如下:
- 172.1.0.1 处的实例可以毫无问题地连接到远程 VPN(192.168.1.0/24)。
- VPC内的实例可以相互连接。
- 实例 i-aaaa 和 i-bbbb不能连接到 192.168.1.0/24 中的机器
当前配置如下:
- VPC 中的路由表包含一个通过 i-0000 指向 192.168.1.0/24 的条目
- sec 组允许安全组内的所有流量
- VPC 中的所有实例都属于同一安全组
我已经在 VPC 中配置了流日志,并注意到我可以看到流量从 i-bbbb 处的 ENI 流出,但 i-0000 处的 ENI 中没有流量
此外,i-0000 中的数据包捕获未显示任何来自任何其他实例且目标地址为 192.168.1.0/24 的数据包
因此,这引发了一些问题:
- AWS 是否会丢弃数据包,因为它们与 VPC 的其余部分不在同一个 CIDR 中?(我猜不会)
- 如何排查数据包丢失的位置?所有迹象都表明数据包在 VPC 内被 AWS 丢弃
- 我还能尝试什么来使其发挥作用?
谢谢!
答案1
你正在寻找的是来源/目的地检查- EC2 实例默认执行源和目标检查。实例必须是来源或者目的地它发送和接收的所有流量。对于像您这种情况的网关来说,这显然不是真的。因此您必须停止这来源/目的地检查
首先选择您的实例:
然后停止支票:
希望有帮助:)