我正在尝试允许 VPN 用户使用私有 Route53 DNS 条目。例如:example.corp
在本地网络上发布 DNS 记录的私有托管区域。
目前我甚至找不到正确的配置集来允许连接的客户端使用亚马逊的 DNS。
当前(简化)设置
客户端 VPN 端点分配有 CIDR 范围172.20.0.0/22
。它已配置一个具有 CIDR 的目标网络关联172.20.254.0/24
。
目标网络为空;这意味着没有 EC2 实例驻留在其中等。但是它本身确实具有允许流量流向其他网络的转发路由规则。对这些转发路由的访问通过“授权规则”进行控制。路由表只有一个条目,表明172.20.0.0/16
(整个 VPC)被转发到目标网络关联。
与 VPN 关联的安全组非常宽松,允许进行任何操作172.20.0.0/16
。
此配置在没有 DNS 的情况下已经运行了一年多。我现在要做的唯一更改是启用 DNS。
更改 - 尝试启用 DNS
这一页告诉我 DNS 应该在网络范围 +2 上可用。我尝试将 VPN DNS 服务器设置172.20.0.2
为172.20.254.0
(不是同时)。但对DNS请求和ICMP ping均不响应。
为了使这个工作正常,我尝试过:
- 确保在 VPC 上设置了“DNS 解析”和“DNS 主机名”
172.20.254.0/24
为和添加授权规则172.20.0.2/22
。172.20.0.0/22
添加路由表条目local
我应该如何设置客户端 VPN 端点以使用 AWS DNS?
答案1
VPN 自己的 CIDR 块不应该成为您 VPC 的 CIDR 块的一部分,并且存在于 VPC 之外。
如上所述,我的关联子网位于 上172.20.254.0/24
,是 VPC CIDR 的一部分172.20.0.0/16
。VPN 的 CIDR 块存在172.20.0.0/22
问题,因为它与最重要的172.20.0.2
VPC 上的 DNS IP 重叠。
这里真正容易令人困惑的一点是 DNS IP 根本不需要位于任何子网中。
解决方案
- 我拆除了 VPN 并将其 CIDR 移至 ,
172.16.0.0/22
以便它不再与 VPC 的 CIDR 重叠172.20.0.0/16
。 - 我确保有一个授权规则允许流量到 DNS IP
172.20.0.2
:IE172.20.0.2/32
。 - 我没有需要与 DNS IP 重叠的任何子网
- 当我将“空”子网移动到与 DNS IP 重叠后,它仍然有效。