VPN-соединение AWS VPC и проблема NEXT-HOP
Итак, у меня есть VPN-туннель между центром обработки данных и VPC. Устройство (оконечное) представляет собой PAN200, PAN OS 4.xx
Трафик проходит нормально; SQL, RDP, AD, DNS и т. Д. И PING со стороны AWS на сторону DC проходят, но PING со стороны DC до AWS FAIL.
Подсеть постоянного тока (10.115.xx) Подсеть AWS (10.116.xx)
Итак, какая чертова строка документа конфигурации, которую предоставляет AWS, дает мне IP-адрес интерфейса "следующего перехода", с которым я настраиваю свою PAN, чтобы я мог пропинговать через туннель?
3 ответа
Ладно, разобрался. В настройках PAN был установлен флажок "добавить локальный диапазон IP-адресов к запросам ICMP". Отключил то и пинги работают. Очевидно, что когда сообщения RETURN поступали в PAN, у них был удален адрес подсети AWS, заменен адресом локальной подсети, а затем скрыт, потому что правила не позволяли ICMP затем пересекать границу безопасности. вернуться в тот же интерфейс.
Действительно странная проблема.
Спасибо всем за советы.
Следующий переход обычно означает, что вам нужно добавить IP-адрес назначения, маску сети и шлюз в таблицу маршрутизации. В вашей таблице маршрутизации есть шлюз по умолчанию, весь трафик будет проходить через шлюз по умолчанию, если вам нужен трафик для использования другого шлюза, вам нужно использовать "следующий переход". например, на стороне DC: route add -net 10.116.0.0/16 gw 10.115.0.1 (зависит от вашей конфигурации.)
Это означает, что весь трафик до 10.116.0.0/16 будет проходить через 10.115.0.1.
Убедитесь, что у вас есть соответствующие правила в брандмауэре DC, чтобы разрешить весь трафик из подсети 10.16.xx в вашу сеть.