AWS 将“丢失”的数据包路由到 VPN 后面的网络

AWS 将“丢失”的数据包路由到 VPN 后面的网络

我有一个连接到 VPN 的 EC2 实例,以及同一 VPC 中的另一个向该 VPN 发送流量的实例

因此拓扑结构如下: 网络拓扑结构

  • 172.1.0.1 处的实例可以毫无问题地连接到远程 VPN(192.168.1.0/24)。
  • VPC内的实例可以相互连接。
  • 实例 i-aaaa 和 i-bbbb不能连接到 192.168.1.0/24 中的机器

当前配置如下:

  • VPC 中的路由表包含一个通过 i-0000 指向 192.168.1.0/24 的条目
  • sec 组允许安全组内的所有流量
  • VPC 中的所有实例都属于同一安全组

我已经在 VPC 中配置了流日志,并注意到我可以看到流量从 i-bbbb 处的 ENI 流出,但 i-0000 处的 ENI 中没有流量

此外,i-0000 中的数据包捕获未显示任何来自任何其他实例且目标地址为 192.168.1.0/24 的数据包

因此,这引发了一些问题:

  • AWS 是否会丢弃数据包,因为它们与 VPC 的其余部分不在同一个 CIDR 中?(我猜不会)
  • 如何排查数据包丢失的位置?所有迹象都表明数据包在 VPC 内被 AWS 丢弃
  • 我还能尝试什么来使其发挥作用?

谢谢!

答案1

你正在寻找的是来源/目的地检查- EC2 实例默认执行源和目标检查。实例必须是来源或者目的地它发送和接收的所有流量。对于像您这种情况的网关来说,这显然不是真的。因此您必须停止来源/目的地检查

首先选择您的实例:

来源/目的地检查

然后停止支票:

停止检查

希望有帮助:)

相关内容