web-dev-qa-db-ja.com

EC2インスタンス間のルーティングが通過しない

デフォルトのVPC内の1つのEC2インスタンスからVPNをセットアップしたいので、同じVPC内の他のインスタンスが使用できるので、いくつかの初期テストを行っています。 2つのテストインスタンスを実行していて、それらは互いにpingを実行できます。テストパブリックIPを一方から他方にルーティングすると、パケットは送信者インスタンスのeth0から送信されます(予想されるターゲットMACアドレスを使用してtcpdumpで確認できます(したがって、ホストルーティングが正しく設定されていると思います)。しかし決して到着しないターゲットインスタンスに。私はこれを2つの方法でテストしました。1つは172.31.0.1を経由し、もう1つのインスタンスのIPをゲートウェイとして直接使用します。両方でiptablesホスト(UbuntuおよびAmazon Linux両方がテスト済み)は空です。テストパブリックIPは、テスト受信インスタンスをゲートウェイとして使用して、VPCマスタールーティングテーブルのルートとして追加されました。

私の目標は、VPC以外のIPに送信するVPCで起動するインスタンスが、VPNを実行するインスタンスに移動することです(IPsecとOpenVPNのどちらかはまだ決定されていません)。 デフォルトのVPCを介してEC2でパケットを通過させるにはどうすればよいですか?これには、AWSドキュメントやGoogle経由で見つけた以上のものがあると思います(おそらく他のEC2オブジェクト...すべての概念が正しいですか?)。

3
Skaperen

VPNコンセントレータへのトラフィックのルーティングは、NATインスタンスへのルーティングと同じ方法で行われます。

  • IPソース/宛先チェックを無効にする ターゲットインスタンスでトラフィックを許可してから、

  • vPCルーティングテーブル(個々のインスタンスの静的ルートではない)を使用して、インスタンスID /エラスティックネットワークインターフェイスIDによってトラフィックをVPNコンセントレーターに転送します。

デフォルトルートとしてそのようなルートを使用するインスタンスには、必然的に、プライベートIPアドレスのみが割り当てられます。

3