O tráfego público roteado por uma VPN do Amazon AWS é interrompido. Quer sair da nossa rede corporativa

1

Estamos migrando para um novo host de salto, migrando de uma máquina interna. Também temos mais de 100 clientes com os quais ainda precisaremos nos comunicar por meio do SSH. Atualmente, seus firewalls permitem nosso escritório principal na via SSH, mas não em nosso host da AWS. Leva tempo para migrar mais de 100 firewalls de clientes, então, até que isso seja concluído, queremos rotear todo o tráfego desses IPs em uma VPN já estabelecida, para que o tráfego saia do nosso escritório e não do Internet Gateway (IGW) na Amazon.

Eu estou perdendo alguns detalhes da minha educação em relação ao roteamento, então se alguém puder explicar isso para mim, isso seria ótimo ...

O VPC tem essa tabela de roteamento:

0.0.0.0/0 -> igw
172.31.254.0/24 -> local
172.27.0.0/16 -> vgw
8.8.4.4 -> vgw

8.8.4.4 é o servidor DNS secundário do Google que está aberto a todos e tem o ICMP ativado, perfeito para testes.

traceroutes não mostram lúpulo. A conexão parece morrer depois de ir a lugar nenhum. Eu obviamente estou sentindo falta de algo, mas não sei o quê. Como posso concluir essa configuração para que todo o tráfego enviado ao Virtual Gateway (vgw) passe pela VPN?

galeria completa aqui, imagens individuais abaixo

traceroute

pings

cgw

detalhes da tabela de rotas

entradas da tabela de rotas

associações de sub-redes de tabelas de rotas

propagação da tabela de rotas

detalhes do vgw Não é muito útil aqui.

Detalhes da vpc

detalhes da vpn

status vpn Apenas 1 túnel está configurado.

rotas estáticas vpn Aqui é onde a tabela de rotas puxou o endereço 172.27.224.0/24 de.

    
por UtahJarhead 07.09.2018 / 00:01

2 respostas

0

A configuração acima está correta. O problema foi determinado como um firewall ruim no lado corporativo que, quando substituído, funcionava muito bem como um endpoint VPN. Para o registro, eu recomendo strongmente contra firewalls da marca WatchGuard. Já há anos que eles andam com eles e eles parecem inferiores em muitos aspectos e geralmente com erros.

    
por 16.09.2018 / 05:00
1

A menos que você queira criar uma rota para cada cliente, altere sua rota padrão para enviar todo o tráfego pela VPN e remova o IGW. Então, o roteador corporativo pode gerenciar o tráfego.

A sua tabela de rotas ficará assim:

0.0.0.0/0 -> vgw
172.31.254.0/24 -> local

A segunda rota CIDR acima parece estranha - parece uma sub-rede em vez de uma rede VPC. Você quer que isso seja seu CIDR VPC.

Depois de confirmar que isso está funcionando corretamente para todo o tráfego, você poderá adicionar um ponto de extremidade VPC ao seu VPC se precisar acessar recursos da AWS, como atualizações, armazenamento S3, etc.

    
por 15.09.2018 / 06:26