web-dev-qa-db-ja.com

AWSとは別のサブネットにRRASVPNをセットアップする

基本レイアウト:

  • VPCのIP範囲は10.0.0.0/16です
  • サブネット10.0.0.0/24上の2つのEC2
    • まず、RRASがVPNクライアントにIPアドレスを提供します(範囲10.0.4.0/24)。
    • 次に、pingを受信するための単なるテストマシン
  • この質問に関係のない他のサブネット10.0.1.0/24など。

IPアドレス:

RRAS Server LAN side:   10.0.0.5
Test machine:           10.0.0.6
RRAS Server VPN Side:   10.0.4.10
Client #1:              10.0.4.11

VPNの仕様:

リモートクライアントは、VPNを使用して10.0.0.0/24サブネット上のコンピューターにのみアクセスでき、VPNを介してインターネットを閲覧できないようにする必要があります。これには、クライアントがスプリットトンネリングを設定する必要があります。これは問題ありません。

問題:

現在の問題は、pingパケットを目的の場所に移動できないことです。両方のマシンにWiresharkをセットアップしましたが、パケットがテストマシンに到達していません。

Pingの例:

Client #1:
a. ping 10.0.0.5     [success]
b. ping 10.0.4.10    [success]
c. ping 10.0.0.6     [fail]

ping c RRAS側のWiresharkでpingが表示されますが、テストマシンで受信されません。 Wiresharkはエラーを出します:「応答が見つかりません!」

VPCを誤って設定したため、10.0.4.0/24サブネットからのパケットは次のいずれかであると思います。

  1. 予期しないサブネットから送信されたためにVPCによってドロップされている、または
  2. VPCに送信先を指示するルートがないため、単に迷子になります

パブリックNATを有効にすることでこれを機能させることができましたが、すべてのスタッフがこのVPNを介してインターネットに接続し、多額のデータ転送料金を負担することを望んでいません。

2
Campbell

EC2コンソールでソース/宛先チェックを無効にする必要があったことがわかりました。

これは、EC2インスタンスを選択し、[アクション]メニューから[ネットワーク]> [ソース/宛先チェックの変更]を選択することで実行できます。


編集:

行われた他のいくつかの変更は

  1. VPNサブネットが10.1.0.0/24に変更されました(VPC外)
  2. VPNインスタンスを指す10.1.0.0/24を指すVPCに追加されたルート
1
Campbell