incapable de faire un ping ou un ssh entre les sous-réseaux vpc aws

J'ai une disposition de sous-réseau multi-niveaux assez standard dans VPC. Il existe un niveau / sous-réseau de database, un niveau / sous-réseau de server Web et un niveau / sous-réseau hôte bastion. Mon problème est que je ne peux pas faire de ping ou de ssh entre les sous-réseaux.

En particulier, j'aimerais faire un ping et un ssh du niveau / sous-réseau de bastion vers le niveau / le sous-réseau du server Web.

 172.31.32.0/20 bastion-tier
 172.31.0.0/20 webserver-tier

Les deux sous-réseaux se trouvent dans la même zone de disponibilité et les deux sous-réseaux sont attachés à la même table de route. La table de route se présente comme suit:

 172.31.0.0/16 local
 0.0.0.0/0 igw-xxxxxxxx

À l'heure actuelle, les ACL du réseau pour le niveau server web permettent TOUT trafic, TOUS les protocoles, les gammes ALL portent de 172.31.32.0/20, ce qui est le niveau de bastion. Les règles de sortie et de sortie autorisent tout le trafic. Les groupes de security sont également ouverts. Voici les ACL du réseau pour le niveau server web.

 RÈGLE # TYPE PROTOCOLE PORT RANGE SOURCE PERMETTRE / DENY
 100 ALL Traffic ALL ALL 172.31.32.0/20 PERMETTRE
 200 HTTP (80) TCP (6) 80 0.0.0.0/0 PERMIS
 202 HTTP * (8080) TCP (6) 8080 0.0.0.0/0 PERMIS
 210 HTTPS (443) TCP (6) 443 0.0.0.0/0 ALLOW
 * ALL Traffic ALL ALL 0.0.0.0/0 DENY

J'ai essayé ping et ssh à travers les sous-réseaux, les deux sous-réseaux étant attachés à la table de route par défaut / principal. J'ai essayé avec le sous-réseau du server Web attaché à sa propre table d'routes. Lorsque j'ouvre l'un de ces sous-réseaux à la circulation depuis l'adresse IP de mon ordinateur portable, je peux réussir avec ssh via les adresses IP publiques des instances.

J'ai vu des informations en ligne qui impliquaient un comportement étrange / buggy dans les VPC AWS. Des problèmes, par exemple, lors de la création d'IP Elas via la console VPC, mais en les affectant via la console EC2, puis le trafic disparaît comme dans un trou noir. La solution semblait être de supprimer l'EIP buggy et de recréer et d'assigner un nouveau complètement via la console VPC ou EC2. Cependant, ceci est au mieux une vue indirecte vers un buggy AWS / AWS général, car dans mon cas, il n'y a pas d'EIP impliqués.

Ma prochaine mesure de dépannage consiste à recommencer avec un nouveau VPC, à créer deux sous-réseaux, à faire tourner une instance de server dans chacun d'eux, puis à tester ping et ssh entre eux. Une table d'itinéraire unique et des groupes de security et des groupes de security ouverts – ne peut pas être plus simple que cela.

Cela me semble être une configuration de base, et je soupçonne qu'il existe une solution de base qui me manque. Des pensées? S'il te plaît et merci!

2 Solutions collect form web for “incapable de faire un ping ou un ssh entre les sous-réseaux vpc aws”

Vous avez besoin d'un itinéraire et ouvrez les ACL réseau du sous-réseau de niveau server vers le sous-réseau de niveau bastion ou vos packages de réponse ne le rendront jamais au server. Activez ICMP (et assurez-vous que votre client de ping utilise ICMP uniquement – certains utilisent des packages UDP par défaut) du sous-réseau du server Web au bastion et ouvrent les ports TCP éphémères appropriés (la gamme est généralement dépendante du operating system, voir http://docs.aws .amazon.com / AmazonVPC / latest / UserGuide / VPC_ACLs.html # VPC_ACLs_Ephemeral_Ports ) du niveau du server web au bastion-tier.

Si vous exécutez tcpdump sur une instance de server Web et une instance de bastion simultanément, vous verrez probablement que le server web obtient les packages de bastion et envoie une réponse, mais l'instance de bastion n'obtient jamais la réponse.

Vérifiez les règles de groupe de security d'intrusion pour l'instance dans les deux sous-réseaux. Vous devez autoriser le CIDR à spécifier le sous-réseau ou bien vous attacher le groupe de security par défaut.

"Autoriser le trafic entrant des instances assignées au même groupe de security"

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup

  • Dégérer l'logging de ressources NS du sous-réseau IPv4
  • Latence élevée d'ELB utilisant NAT et sous-réseaux public / privé
  • Configuration du routeur, sous-réseau, DMZ
  • Comment fonctionne le sous-réseau VLAN sur IPv6?
  • Plusieurs VLAN dans le même sous-réseau
  • Bind Zones divisé par octet
  • dhcp même sous-réseau vlans différents
  • Comment apather le téléphone VoIP via VPN
  • Openvpn pour client / server dans le même sous-réseau
  • Comment append des adresses IP à un server CentOS?
  • Création d'un file de zone inversée sur un sous-réseau 255.0.0.0
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.