Imansible ping o traceroute tramite AWS IPSec VPN

Il mio VPC è connesso ai miei locali tramite IPSec VPN, il tunnel è indicato di essere UP nella console AWS.

Le cose che funzionano:

  • Posso vedere il traffico dai miei locali (subnet 192.168.0.0/16) a AWS VPC (10.0.0.0/16) sui flussi VPC, contrassegnati come accettati.

  • Quando faccio un dump di tcp del traffico ICMP sul terminal usando sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo , vedo il ping:

06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 .

  • Posso get ping repliche quando ping l'istanza AWS utilizzando il suo IP pubblico, da ovunque.
  • Posso get ping repliche quando ping l'istanza AWS utilizzando il suo IP privato da un'altra istanza AWS nello stesso VPC.

Le cose che non funzionano:

  • Non riesco a ricevere una risposta ping quando pinga dai miei locali a qualsiasi istanza AWS, incluso quello che riceve il mio ping di icmp.
  • Non riesco a get una risposta ping quando pinga dalla mia istanza AWS al mio locale.
  • Non posso fare un traceroute dalla mia istanza AWS a 192.168.234.254 o ad uno qualsiasi degli altri IP privati ​​nei miei locali. Questi tracciati finiscono con timeout, solo asterisco tutto il path.
  • Non posso fare un traceroute dai miei locali a nessuna delle istanze di AWS. Questi tracciati finiscono con timeout, solo asterisco tutto il path.

configurazioni:

Tabella path per la substring:

 Destination target status propagated 10.0.0.0/16 local Active No 0.0.0.0/16 igw-f06e2d95 Active No 192.168.0.0/16 vgw-d1084e83 Active No 

Gruppo di protezione di istanze AWS: In arrivo:

 Type Protocol Port Range Source All ICMP All N/A 0.0.0.0/0 

In output:

 Type Protocol Port Range Source All Traffic All N/A 0.0.0.0/0 All Traffic All N/A 192.168.0.0/16 

Rete ACL in ingresso:

 Rule# Type Protocol Port Range Source Allow/Deny 100 All Traffic ALL ALL 0.0.0.0/0 ALLOW 200 All Traffic ALL ALL 192.168.0.0/16 ALLOW * All Traffic ALL ALL 0.0.0.0/0 DENY 

Rete ACL in output

 Rule# Type Protocol Port Range Source Allow/Deny 100 All Traffic ALL ALL 0.0.0.0/0 ALLOW 200 All Traffic ALL ALL 192.168.0.0/16 ALLOW \* All Traffic ALL ALL 0.0.0.0/0 DENY 

Il path traccia dalla mia istanza AWS all'IP nel mio spazio mostra:

 tracepath ip-192-168-234-254.ap-southeast-1.compute.internal 1?: \[LOCALHOST\] pmtu 9001 1: ip-10-0-2-1.ap-southeast-1.compute.internal 0.082ms pmtu 1500 1: no reply 2: no reply 3: no reply 4: no reply 5: no reply 6: no reply 

Altre informazioni: L'istanza My AWS esegue Ubuntu 14.04

In breve: il traffico dai miei locali raggiunge l'istanza VPC, ma non riesco a ricevere una risposta ping o tracerout in entrambe le direzioni, anche se i gruppi di protezione e ACL di networking sono impostati correttamente e anche se posso get le risposte ping dall'interno il mio VPC.

  • pfSense Sito-toSite VPN con OpenVPN si connette, ma non instraderà il traffico
  • sito al sito VPN
  • il client non si connette in sito pfsense openvpn al sito
  • VPN ERRORE 500 STATE_MAIN_I1, imansible avviare la fase2
  • Comprensione di ipsec con NAT e IP dinamici
  • Routing Openvpn per lan a lan tramite tunn
  • Routing IP VPN - connessioni lente
  • Come posso consentire a iptables di utilizzare correttamente un tunnel piuttosto che NAT?
  • One Solution collect form web for “Imansible ping o traceroute tramite AWS IPSec VPN”

    In realtà era la Route statica alla pagina Collegamenti VPN – avevo perso il passo per aggiungere una rotta statica per indirizzare il traffico di determinati IP attraverso la VPN.

    Ad esempio, se la substring del tuo locale utilizza IP 173.112.0.0/16:

    Aggiungere 173.112.0.0/16 sotto 'Prefissi IP'.

    Notare che la colonna Prefissi IP accetta solo i blocchi CIDR. È ansible aggiungere singoli IP utilizzando un block CIDR / 32 se si desidera essere più restrittivo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.