AWS VPC VPN connection and NEXT-HOP issue
all- So, I have my VPN tunnel up between my DataCenter and my VPC. The device (terminating) is a PAN200, PAN OS 4.xx
Traffic passes normally; SQL, RDP, AD, DNS, etc and PING from AWS side to DC side pass, but PING from DC side to AWS FAIL.
DC subnet (10.115.x.x) AWS subnet (10.116.x.x)
So, what bloody line of the config document that AWS provides gives me the "next-hop" interface IP that I configure my PAN with so i can ping across the tunnel?
Убедитесь, что у вас есть соответствующие правила в брандмауэре DC, чтобы весь трафик из подсети 10.16.x.x входил в вашу сеть.
Хорошо, разобрались. В конфигурации PAN был флажок, в котором говорилось «добавлять диапазон локальных IP-адресов к запросам ICMP». Отключил это, и пинги работают. Очевидно, когда сообщения RETURN поступали в PAN, у них был удален адрес подсети AWS, заменен адресом ЛОКАЛЬНОЙ подсети, а затем закрашены черные дыры, потому что правила не позволяли ICMP пересекать границу безопасности. вернитесь в тот же интерфейс.
Действительно странная проблема.
Всем спасибо за совет.
Следующий переход обычно означает, что вам нужно добавить IP-адрес назначения, сетевую маску и шлюз в таблицу маршрутизации. В вашей таблице маршрутизации есть шлюз по умолчанию, весь трафик будет проходить через шлюз по умолчанию, если вам нужен некоторый трафик для использования другого шлюза, вам нужно использовать «следующий переход». например на вашей стороне постоянного тока: route add -net 10.116.0.0/16 gw 10.115.0.1 (зависит от вашей конфигурации.)
Это означает, что весь трафик на 10.116.0.0/16 будет проходить через 10.115.0.1.