我们有一个带有两条静态路由的VPN设置
10.254.18.0/24
10.254.19.0/24
我们遇到的问题是,我们只能通过AWS与上述其中一个块进行通信。在某些时候它是.18而在其他时候它是.19 - 我无法弄清楚什么是触发器。
我从来没有任何问题从我的本地子网通信到aws同时。
有点卡在这里。有什么建议?
我们尝试了什么?好吧,'防火墙'家伙说他们没有看到任何被阻挡的东西。但我read another post here说同样的事情,问题仍然最终成为防火墙。
在整个播放过程中,“好”子网已翻转了3次。含义
它只是一直在翻转。
我们已经解决了这个问题。我们更改了AWS中配置的静态路由:
改为使用:
这将包含我们需要的所有地址并解决了该问题。这是亚马逊的回应:
你好,
感谢您与AWS支持小组联系。我可以理解您在从AWS同时到达两个子网时遇到问题:10.254.18.0/24和10.254.19.0/24。
我很确定我知道为什么会这样。在AWS上,我们只能接受一个SA(安全关联)对。在防火墙上,“防火墙”人员必须配置基于策略的VPN。在基于策略/ ACL的VPN中,如果您创建以下策略,例如:1)源10.254.18.0/24和目标“VPC CIDR”2)源10.254.19.0/24和目标“VPC CIDR”或1)源“10.254。 18.0 / 24,10.254.19.0/24“和目的地”VPC CIDR“
在这两种情况下,您将形成2个SA对,因为我们在策略/ ACL中提到了两个不同的源。你只需要使用source作为“ANY”或“10.254.0.0/16”或“10.254.0.0/25”等。我们希望你能使用source作为“ANY”然后使用VPN微管理流量 - 过滤器,如果您使用的是Cisco ASA设备。 CISCO ASA的配置文件中给出了如何使用VPN过滤器。如果您正在使用其他设备,则必须相应地找到解决方案。如果您的设备支持基于路由的VPN,那么我建议您配置基于路由的VPN。基于路由的VPN始终只创建一个SA对。
一旦找到在防火墙上仅创建一个ACL /策略的解决方案,您就可以同时访问这两个网络。我可以在你的VPN上看到多个SA形成。这就是您无法同时访问这两个子网的原因。
如果您有任何其他问题,请随时更新案例,我们将回复他们。