如何设置客户端 VPN 端点以使用 AWS DNS?

如何设置客户端 VPN 端点以使用 AWS DNS?

我正在尝试允许 VPN 用户使用私有 Route53 DNS 条目。例如:example.corp在本地网络上发布 DNS 记录的私有托管区域。

目前我甚至找不到正确的配置集来允许连接的客户端使用亚马逊的 DNS。

当前(简化)设置

客户端 VPN 端点分配有 CIDR 范围172.20.0.0/22。它已配置一个具有 CIDR 的目标网络关联172.20.254.0/24

目标网络为空;这意味着没有 EC2 实例驻留在其中等。但是它本身确实具有允许流量流向其他网络的转发路由规则。对这些转发路由的访问通过“授权规则”进行控制。路由表只有一个条目,表明172.20.0.0/16(整个 VPC)被转发到目标网络关联。

与 VPN 关联的安全组非常宽松,允许进行任何操作172.20.0.0/16

此配置在没有 DNS 的情况下已经运行了一年多。我现在要做的唯一更改是启用 DNS。

更改 - 尝试启用 DNS

这一页告诉我 DNS 应该在网络范围 +2 上可用。我尝试将 VPN DNS 服务器设置172.20.0.2172.20.254.0 (不是同时)。但对DNS请求和ICMP ping均不响应。

为了使这个工作正常,我尝试过:

  • 确保在 VPC 上设置了“DNS 解析”和“DNS 主机名”
  • 172.20.254.0/24为和添加授权规则172.20.0.2/22
  • 172.20.0.0/22添加路由表条目local

我应该如何设置客户端 VPN 端点以使用 AWS DNS?

答案1

VPN 自己的 CIDR 块不应该成为您 VPC 的 CIDR 块的一部分,并且存在于 VPC 之外。

如上所述,我的关联子网位于 上172.20.254.0/24,是 VPC CIDR 的一部分172.20.0.0/16。VPN 的 CIDR 块存在172.20.0.0/22问题,因为它与最重要的172.20.0.2VPC 上的 DNS IP 重叠。

这里真正容易令人困惑的一点是 DNS IP 根本不需要位于任何子网中。

解决方案

  • 我拆除了 VPN 并将其 CIDR 移至 ,172.16.0.0/22以便它不再与 VPC 的 CIDR 重叠172.20.0.0/16
  • 我确保有一个授权规则允许流量到 DNS IP 172.20.0.2:IE 172.20.0.2/32
  • 我没有需要与 DNS IP 重叠的任何子网
  • 当我将“空”子网移动到与 DNS IP 重叠后,它仍然有效。

相关内容