Meu VPC está conectado às minhas instalações via VPN IPSec, o túnel é mostrado como UP no console da AWS.
Coisas que funcionam:
-
Eu posso ver o tráfego das minhas instalações (sub-rede 192.168.0.0/16) para o AWS VPC (10.0.0.0/16) nos flowlogs do VPC, marcados como aceitos.
-
Quando eu faço um dump tcp do tráfego ICMP no terminal usando sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo
, vejo o ping:
06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44
.
- Eu consigo respostas de ping quando executo ping na instância do AWS usando seu IP público, de qualquer lugar.
- Eu posso obter respostas de ping quando faço ping na instância do AWS usando seu IP privado de outra instância do AWS no mesmo VPC.
Coisas que não funcionam:
- Não consigo receber uma resposta de ping ao fazer ping de minhas instalações para qualquer um dos
Instâncias da AWS, incluindo aquela que recebe meu icmp ping.
- Não consigo receber uma resposta de ping ao fazer ping da minha instância do AWS para minhas instalações.
- Não consigo fazer um traceroute da minha instância do AWS para
192.168.234.254
ou
qualquer um dos outros IPs privados nas minhas instalações. Estes traceroutes acabam
com tempos limite, apenas asterisco todo o caminho.
- Eu não posso fazer um traceroute
das minhas instalações para qualquer uma das instâncias da AWS. Estes traceroutes terminam
com tempos limite, apenas asterisco todo o caminho.
Configurações:
Tabela de rotas para a sub-rede:
Destination target status propagated
10.0.0.0/16 local Active No
0.0.0.0/16 igw-f06e2d95 Active No
192.168.0.0/16 vgw-d1084e83 Active No
Grupo de segurança de instâncias da AWS:
Entrada:
Type Protocol Port Range Source
All ICMP All N/A 0.0.0.0/0
Saída:
Type Protocol Port Range Source
All Traffic All N/A 0.0.0.0/0
All Traffic All N/A 192.168.0.0/16
Entrada da ACL na rede:
Rule# Type Protocol Port Range Source Allow/Deny
100 All Traffic ALL ALL 0.0.0.0/0 ALLOW
200 All Traffic ALL ALL 192.168.0.0/16 ALLOW
* All Traffic ALL ALL 0.0.0.0/0 DENY
Saída da ACL em rede
Rule# Type Protocol Port Range Source Allow/Deny
100 All Traffic ALL ALL 0.0.0.0/0 ALLOW
200 All Traffic ALL ALL 192.168.0.0/16 ALLOW
\* All Traffic ALL ALL 0.0.0.0/0 DENY
O caminho de rastreamento da minha instância do AWS para o IP nas minhas instalações mostra:
tracepath ip-192-168-234-254.ap-southeast-1.compute.internal
1?: \[LOCALHOST\] pmtu 9001
1: ip-10-0-2-1.ap-southeast-1.compute.internal 0.082ms pmtu 1500
1: no reply
2: no reply
3: no reply
4: no reply
5: no reply
6: no reply
Outras informações:
Minha instância do AWS está executando o Ubuntu 14.04
Resumindo: o tráfego das minhas instalações alcança minha instância de VPC, mas não consigo receber uma resposta de ping ou traceroutes em ambas as direções, embora os grupos de segurança e as ACLs de rede estejam configurados corretamente e mesmo que eu receba ping respostas de dentro do meu VPC.