AWS VPC - принудительная маршрутизация от EC2 к EC2 (ASAv)
Я пытаюсь форсировать трафик от экземпляра EC2 к Cisco ASAv в моем VPC, но у меня возникают трудности во всех отношениях, которые я пытаюсь. Моя установка выглядит следующим образом;
ЧАСТНАЯ СУБЕТА> ASAv > ОБЩЕСТВЕННАЯ СУБНЕТ> AWS IGW
2 пользовательских таблицы маршрутов; 1 для public, который использует igw, и один для private, который использует экземпляр NAT по умолчанию.
Я использовал EIP для сопоставления с ASAv за пределами частной IP-сети (общедоступной подсети), а в ASAv я установил правило пересылки NAT для экземпляра EC2, сидящего в частной подсети. Однако, когда я выполняю захват пакета в частной подсети EC2 (используя вторичный NIC для доступа к нему через отдельную общедоступную EIP RDP), я не вижу трафика (кроме BC), выходящего из частной NIC. Я даже вставил статические маршруты в EC2 для отправки маршрута по умолчанию через внутренний интерфейс ASA, но не радости. Даже если я удалю общедоступную сетевую карту, я не получу никакого ответа от EC2, сидящего в частной подсети.
Я вижу, что локальный маршрут CIDR заполняется автоматически в каждой таблице маршрутизации (основной или пользовательской).
Правильно ли я считаю, что этот маршрут нельзя удалить? Как я могу достичь своей цели?
1 ответ
Я на самом деле столкнулся с этой проблемой не более месяца назад. Обязательно проверьте свои AWS NACL. Например, убедитесь, что вы разрешаете 0.0.0.0/0 https и http. для маршрутизации AWS VPC используйте ENI для внутреннего интерфейса ASA (должен находиться в вашей частной подсети). когда вы убедитесь, что маршрутизация внутри ASA указывает ваш маршрут 0.0.0.0/0 на ваш внешний интерфейс GW (это будет первый IP-адрес вашей подсети внешнего интерфейса. Вы также должны будете убедиться, что ваш оператор NAT (Cisco ASAv) установлен правильно.