デフォルトのVPC内の1つのEC2インスタンスからVPNをセットアップしたいので、同じVPC内の他のインスタンスが使用できるので、いくつかの初期テストを行っています。 2つのテストインスタンスを実行していて、それらは互いにpingを実行できます。テストパブリックIPを一方から他方にルーティングすると、パケットは送信者インスタンスのeth0から送信されます(予想されるターゲットMACアドレスを使用してtcpdump
で確認できます(したがって、ホストルーティングが正しく設定されていると思います)。しかし決して到着しないターゲットインスタンスに。私はこれを2つの方法でテストしました。1つは172.31.0.1を経由し、もう1つのインスタンスのIPをゲートウェイとして直接使用します。両方でiptables
ホスト(UbuntuおよびAmazon Linux両方がテスト済み)は空です。テストパブリックIPは、テスト受信インスタンスをゲートウェイとして使用して、VPCマスタールーティングテーブルのルートとして追加されました。
私の目標は、VPC以外のIPに送信するVPCで起動するインスタンスが、VPNを実行するインスタンスに移動することです(IPsecとOpenVPNのどちらかはまだ決定されていません)。 デフォルトのVPCを介してEC2でパケットを通過させるにはどうすればよいですか?これには、AWSドキュメントやGoogle経由で見つけた以上のものがあると思います(おそらく他のEC2オブジェクト...すべての概念が正しいですか?)。
VPNコンセントレータへのトラフィックのルーティングは、NATインスタンスへのルーティングと同じ方法で行われます。
IPソース/宛先チェックを無効にする ターゲットインスタンスでトラフィックを許可してから、
vPCルーティングテーブル(個々のインスタンスの静的ルートではない)を使用して、インスタンスID /エラスティックネットワークインターフェイスIDによってトラフィックをVPNコンセントレーターに転送します。
デフォルトルートとしてそのようなルートを使用するインスタンスには、必然的に、プライベートIPアドレスのみが割り当てられます。