AWS：无法从 *** ping 到其他区域的实例

Posted 2023-02-22

【中文标题】AWS：无法从 *** ping 到其他区域的实例

【英文标题】：AWS: Can't ping from *** to instance in other region

【发布时间】：2015-06-23 16:14:49

【问题描述】：

按照本指南的内容，我在 AWS 中设置了跨区域 ***：

http://fortycloud.com/interconnecting-two-aws-vpc-regions/

所以，我的工作在一定程度上可以正常工作，但我无法从一个实例 ping 到 *** 主机。

所以网络看起来像这样：

实例A *** A *** B 实例B

我可以从 *** ping 到 ***。我可以从 *** A ping 到实例 B。我可以从实例 A ping 到 *** A。我可以从 *** B ping 到实例 B。

但我无法从 *** B ping 到实例 A，反之亦然。所有路由表和安全组似乎都是正确的。

还有什么我可能遗漏的吗？

---

这里是信息：

*** A openswan 配置：

[root@ip-10-1-200-220 ipsec.d]# cat me-to-or.conf
conn me-to-or
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=52.8.x.x
        leftnexthop=%defaultroute
        leftsubnet=10.1.0.0/16
        right=54.213.x.x
        rightsubnet=10.0.0.0/16
        pfs=yes
        auto=start

*** B 打开：

conn me-to-ca
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=54.213.x.x
        leftnexthop=%defaultroute
        leftsubnet=10.0.0.0/16
        right=52.8.x.x
        rightsubnet=10.1.0.0/16
        pfs=yes
        auto=start

实例 A 安全组：

 All traffic FROM ANYWHERE

实例 B 秒组：

 All traffic FROM ANYWHERE

*** A Sec 组：

 All traffic FROM ANYWHERE

*** B Sec 组：

All traffic FROM ANYWHERE

Ping 结果：

在 *** A 上（到实例 B）：

[root@ip-10-1-200-220 ipsec.d]# ping 10.0.5.130
PING 10.0.5.130 (10.0.5.130) 56(84) bytes of data.
64 bytes from 10.0.5.130: icmp_seq=1 ttl=63 time=21.0 ms

在 *** B 上（到实例 A）：

[root@ip-10-0-200-251 ipsec.d]# ping 10.1.5.54
PING 10.1.5.54 (10.1.5.54) 56(84) bytes of data.
100% packet loss

如果我从 *** B ping 到实例 A，我可以看到 ping 命中 *** A（使用 TcpDump），但它永远不会到达实例 A。但是，如果我从 *** A ping 到实例 A，那就可以了。

如果我从实例 A ping 到 *** B，我看到 ping 转到 *** A、*** B，然后返回到 *** A，但它永远不会到达实例 A。

这是链接文章中的图片，以帮助思考拓扑：

---

【问题讨论】：

请显示 Openswan 的配置和用于 *** 隧道的任何其他软件，以及安全组和路由表。

@BenWhaley - 添加了更多信息，谢谢

有什么方法可以检查 ***A OpenSwan 上的日志是否有被拒绝或被阻止的连接？

@Jordan - 我不知道 openswan 在哪里记录它的活动，但我开始用 tcpdump 观察 ping，并用其中的信息更新了问题。

当您说可以 ping *** 到 *** 时，您的意思是您可以从 OpenSwanB ping OpenSwanA 并从 OSA ping OSB？

【参考方案1】：

也发生在我身上，我能够 ping 到 openswan 实例，但无法 ping 它后面的任何东西。一旦我禁用了源/目标，请检查流量是否正常。

【讨论】：

请编辑您的答案以提供更多详细信息。到目前为止，它的质量有点低。

【参考方案2】：

终于找到了。

我在 *** A 上错过了这一步：

在实例列表中选择实例，然后点击“Action 按钮”。选择“更改源/目标。查看”。点击“是 禁用”按钮（这是一个关键步骤，没有它虚拟 路由器不会接受或转发不打算发送给 路由器本身，因此它们不会用作虚拟路由器）。

感谢你们帮助澄清我的想法。