1

ローカル ネットワークと Amazon VPC の間に VPN リンクをセットアップしました。

ローカル ネットワークには、対象となる 2 つの IP ブロックがあります。

  • 192.168.0.0/16 - ブロック local-A
  • 10.1.1.0/24 - ローカル B をブロック

AWS VPC には次の IP ブロックがあります。

  • 172.31.0.0/16 - AWS-A をブロック

local-A および local-B IP ブロックへの静的ルートを使用して VPN 接続をセットアップしました。

私はから接続できます:

  • local-A から AWS-A および
  • AWS-A から local-A へ。

次の場所から接続できません:

  • AWS-A から local-B (例: 173.31.17.135 から 10.1.1.251)

173.31.17.135 サーバーから、10.1.1.251 は、ローカル ネットワーク上のサーバーではなく、Amazon サーバーに解決されているようです。これは、ローカル B (10.1.1.0/24) を VPN のルートとして設定しているにもかかわらずです。tracert の出力を参照...

tracert 10.1.1.251

Tracing route to ip-10-1-1-251.ap-southeast-2.compute.internal [10.1.1.251]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  169.254.247.13
  2    <1 ms    <1 ms    <1 ms  169.254.247.21
  3    33 ms    35 ms    36 ms  169.254.247.22
  4    34 ms    35 ms    33 ms  ip-10-1-1-251.ap-southeast-2.compute.internal [10.1.1.251]

AWS 内からアクセスしたときに 10.1.1.251 アドレスがローカルネットワーク上のサーバーに解決されるように構成を変更するにはどうすればよいですか?

開示 - serverfault でも同じ質問をしました。

編集...他のサブネットへのtracert

tracert -d 192.168.0.250

Tracing route to 192.168.0.250 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  169.254.247.13
  2    <1 ms    <1 ms    <1 ms  169.254.247.21
  3    36 ms    35 ms     *     169.254.247.22
  4    35 ms    36 ms    34 ms  192.168.0.250

#2...tracecp を悪い宛先と良い宛先に編集します。

>tracetcp  10.1.1.251 -n

Tracing route to 10.1.1.251 on port 80
Over a maximum of 30 hops.
1       0 ms    0 ms    0 ms    169.254.247.13
2       0 ms    0 ms    0 ms    169.254.247.21
3       31 ms   31 ms   16 ms   169.254.247.22
4       *       *       *       Request timed out.
5       ^C

>tracetcp  192.168.0.250  -n

Tracing route to 192.168.0.250 on port 80
Over a maximum of 30 hops.
1       0 ms    0 ms    0 ms    169.254.247.13
2       0 ms    0 ms    0 ms    169.254.247.21
3       47 ms   46 ms   32 ms   169.254.247.22
4       Destination Reached in 31 ms. Connection established to 192.168.0.250
Trace Complete.

ホップ #3 は、ローカル側の VPN エンド ポイントです。私たちはそこまで進んでいますが、何かがそれを超えてルーティングできていません。そうです、問題は私たちの側にあります。つまり、AWS のセットアップは問題ありません。底に着いたら更新します。

編集 #3

修理済み!問題は、社内で運用している Barracuda Firewall でした。ファイアウォールに着信と発信の穴を作成し、宛先への要求がブロックされたことを示すログがなかったため、早い段階で原因としてファイアウォールを除外しました. 必死になって、すぐにファイアウォールをオフにすると、接続は正常に完了しました。その後、ファイアウォールのファームウェアを更新した結果、問題が修正され、ファイアウォールがトラフィックの通過を許可するようになりました。

tracert と tracetcp は診断に役立ちましたが、ファイアウォールはホップのリストに表示されませんでした (現在でも修正されています)。すべてのトラフィックがファイアウォールを通過し、ファイアウォールがホップ リストにあると予想していました。助けてくれてありがとう。

4

1 に答える 1