AWS Vpn 路由到多个子网

Question

我们有一个带有两条静态路由的 VPN 设置

10.254.18.0/24

10.254.19.0/24

我们遇到了一个问题，即我们只能从 AWS 一次与上述块之一进行通信。 有时是 0.18，有时是 0.19 - 我不知道触发因素是什么。

同时从我的任何一个本地子网与 aws 通信从来没有任何问题。

有点卡在这里。 有什么建议？

我们尝试了什么？ 那么“防火墙”人员说他们没有看到任何东西被阻止。 但是我在这里阅读了另一篇文章，其中提到了同样的事情，但问题最终还是出在防火墙上。

在整个过程中，“好”子网翻转了 3 次。 意义

1. 现在我可以和 .19 通话，但不能和 0.18 通话
2. 10 分钟前，我可以与 0.18 通话，但无法与 0.19 通话

它只是不断翻转。

Answer 1

我们已经能够解决这个问题。 我们将 AWS 中配置的静态路由从：

• 10.254.18.0/24
• 10.254.19.0/24

改为使用：

• 10.254.18.0/23

这将包含我们需要的所有地址并已解决问题。 这是亚马逊的回应：

你好，

感谢您联系 AWS 支持。 我可以理解您在从 AWS 同时访问两个子网时遇到问题：10.254.18.0/24 和 10.254.19.0/24。

我很确定我知道为什么会这样。 在 AWS 上，我们只能接受一对 SA（安全关联）。 在您的防火墙上，“防火墙”人员必须配置基于策略的 VPN。 在基于策略/ACL 的 VPN 中，如果您创建以下策略，例如：1) 源 10.254.18.0/24 和目标“VPC CIDR” 2) 源 10.254.19.0/24 和目标“VPC CIDR”或 1) 源“10.254。 18.0/24、10.254.19.0/24”和目标“VPC CIDR”

在这两种情况下，您将形成 2 个 SA 对，因为我们在策略/ACL 中提到了两个不同的来源。 您只需要将源用作“ANY”或“10.254.0.0/16”或“10.254.0.0/25”等。我们希望您可以将源用作“ANY”，然后使用 VPN 对流量进行微观管理-如果您使用 Cisco ASA 设备，请使用过滤器。 Cisco ASA 的配置文件中提供了如何使用 VPN 过滤器。 如果您使用的是其他设备，则必须相应地找到解决方案。 如果您的设备支持基于路由的 VPN，那么我建议您配置基于路由的 VPN。 基于路由的 VPN 始终只创建一对 SA。

一旦找到在防火墙上仅创建一个 ACL/策略的解决方案，您将能够同时访问两个网络。 我可以在您的 VPN 上看到多个 SA 形成。 这就是您无法同时访问两个子网的原因。

如果您有任何其他问题，请随时更新案例，我们将予以答复。