Não é possível executar ping ou traceroute por meio do AWS IPSec VPN

4

Meu VPC está conectado às minhas instalações via VPN IPSec, o túnel é mostrado como UP no console da AWS.

Coisas que funcionam:

  • Eu posso ver o tráfego das minhas instalações (sub-rede 192.168.0.0/16) para o AWS VPC (10.0.0.0/16) nos flowlogs do VPC, marcados como aceitos.

  • Quando eu faço um dump tcp do tráfego ICMP no terminal usando sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo , vejo o ping:

06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 .

  • Eu consigo respostas de ping quando executo ping na instância do AWS usando seu IP público, de qualquer lugar.
  • Eu posso obter respostas de ping quando faço ping na instância do AWS usando seu IP privado de outra instância do AWS no mesmo VPC.

Coisas que não funcionam:

  • Não consigo receber uma resposta de ping ao fazer ping de minhas instalações para qualquer um dos Instâncias da AWS, incluindo aquela que recebe meu icmp ping.
  • Não consigo receber uma resposta de ping ao fazer ping da minha instância do AWS para minhas instalações.
  • Não consigo fazer um traceroute da minha instância do AWS para 192.168.234.254 ou qualquer um dos outros IPs privados nas minhas instalações. Estes traceroutes acabam com tempos limite, apenas asterisco todo o caminho.
  • Eu não posso fazer um traceroute das minhas instalações para qualquer uma das instâncias da AWS. Estes traceroutes terminam com tempos limite, apenas asterisco todo o caminho.

Configurações:

Tabela de rotas para a sub-rede:

Destination        target        status    propagated
10.0.0.0/16        local         Active    No
0.0.0.0/16       igw-f06e2d95    Active    No
192.168.0.0/16   vgw-d1084e83    Active    No

Grupo de segurança de instâncias da AWS: Entrada:

Type          Protocol    Port Range    Source
All ICMP      All          N/A      0.0.0.0/0

Saída:

Type          Protocol    Port Range    Source
All Traffic      All          N/A      0.0.0.0/0
All Traffic      All          N/A      192.168.0.0/16

Entrada da ACL na rede:

Rule#    Type            Protocol     Port Range        Source        Allow/Deny
100      All Traffic      ALL          ALL          0.0.0.0/0          ALLOW
200      All Traffic      ALL          ALL          192.168.0.0/16     ALLOW
*        All Traffic      ALL          ALL          0.0.0.0/0          DENY

Saída da ACL em rede

Rule#    Type            Protocol     Port Range        Source        Allow/Deny
100      All Traffic      ALL          ALL          0.0.0.0/0          ALLOW
200      All Traffic      ALL          ALL          192.168.0.0/16     ALLOW
\*        All Traffic      ALL          ALL          0.0.0.0/0          DENY

O caminho de rastreamento da minha instância do AWS para o IP nas minhas instalações mostra:

tracepath ip-192-168-234-254.ap-southeast-1.compute.internal
 1?: \[LOCALHOST\]                                         pmtu 9001
 1:  ip-10-0-2-1.ap-southeast-1.compute.internal           0.082ms pmtu 1500
 1:  no reply
 2:  no reply
 3:  no reply
 4:  no reply
 5:  no reply
 6:  no reply

Outras informações: Minha instância do AWS está executando o Ubuntu 14.04

Resumindo: o tráfego das minhas instalações alcança minha instância de VPC, mas não consigo receber uma resposta de ping ou traceroutes em ambas as direções, embora os grupos de segurança e as ACLs de rede estejam configurados corretamente e mesmo que eu receba ping respostas de dentro do meu VPC.

    
por Yoga 26.11.2016 / 16:09

1 resposta

1

Na verdade, era a Rota Estática na página Conexões VPN - perdi a etapa de adicionar uma rota estática para rotear o tráfego de determinados IPs pela VPN.

Por exemplo, se a sub-rede nas suas instalações usar IPs 173.112.0.0/16:

Adicione 173.112.0.0/16 em 'Prefixos IP'.

Observe que a coluna Prefixos IP aceita somente blocos CIDR. Você pode adicionar IPs individuais usando um bloco / 32 CIDR, se desejar ser mais restritivo.

    
por 29.11.2016 / 08:13