AWS Vpn 路由到多個子網

Question

我們有一個帶有兩條靜態路由的 VPN 設置

10.254.18.0/24

10.254.19.0/24

我們遇到了一個問題，即我們只能從 AWS 一次與上述塊之一進行通信。 有時是 0.18，有時是 0.19 - 我不知道觸發因素是什么。

同時從我的任何一個本地子網與 aws 通信從來沒有任何問題。

有點卡在這里。 有什么建議？

我們嘗試了什么？ 那么“防火牆”人員說他們沒有看到任何東西被阻止。 但是我在這里閱讀了另一篇文章，其中提到了同樣的事情，但問題最終還是出在防火牆上。

在整個過程中，“好”子網翻轉了 3 次。 意義

1. 現在我可以和 .19 通話，但不能和 0.18 通話
2. 10 分鍾前，我可以與 0.18 通話，但無法與 0.19 通話

它只是不斷翻轉。

Answer 1

我們已經能夠解決這個問題。 我們將 AWS 中配置的靜態路由從：

• 10.254.18.0/24
• 10.254.19.0/24

改為使用：

• 10.254.18.0/23

這將包含我們需要的所有地址並已解決問題。 這是亞馬遜的回應：

你好，

感謝您聯系 AWS 支持。 我可以理解您在從 AWS 同時訪問兩個子網時遇到問題：10.254.18.0/24 和 10.254.19.0/24。

我很確定我知道為什么會這樣。 在 AWS 上，我們只能接受一對 SA（安全關聯）。 在您的防火牆上，“防火牆”人員必須配置基於策略的 VPN。 在基於策略/ACL 的 VPN 中，如果您創建以下策略，例如：1) 源 10.254.18.0/24 和目標“VPC CIDR” 2) 源 10.254.19.0/24 和目標“VPC CIDR”或 1) 源“10.254。 18.0/24、10.254.19.0/24”和目標“VPC CIDR”

在這兩種情況下，您將形成 2 個 SA 對，因為我們在策略/ACL 中提到了兩個不同的來源。 您只需要將源用作“ANY”或“10.254.0.0/16”或“10.254.0.0/25”等。我們希望您可以將源用作“ANY”，然后使用 VPN 對流量進行微觀管理-如果您使用 Cisco ASA 設備，請使用過濾器。 Cisco ASA 的配置文件中提供了如何使用 VPN 過濾器。 如果您使用的是其他設備，則必須相應地找到解決方案。 如果您的設備支持基於路由的 VPN，那么我建議您配置基於路由的 VPN。 基於路由的 VPN 始終只創建一對 SA。

一旦找到在防火牆上僅創建一個 ACL/策略的解決方案，您將能夠同時訪問兩個網絡。 我可以在您的 VPN 上看到多個 SA 形成。 這就是您無法同時訪問兩個子網的原因。

如果您有任何其他問題，請隨時更新案例，我們將予以答復。