自建VPN无法连通

自建VPN无法连通

更新时间:2018-10-17 11:09:11

问题描述

在线下服务器与ECS实例(网关)之间建立了SSL VPN隧道。其他ECS实例无法通过该网关连接线下服务器,但在网关的安全组里添加入方向来源为0.0.0.0/0且包含所有协议端口的规则后,其他ECS实例可以连通线下服务器。

问题原因

安全组未正确添加规则。

解决方案

  1. 当前的网络故障现象如下。
    • VPN隧道建立正常。
    • 在网关的安全组对所有地址放行后,其他ECS实例能连通线下服务器。
    • 在网关的安全组只放行线下服务器所属的192.168.1.0/24网段则其他ECS实例无法连通线下服务器。
  2. 整理当前的网络架构如下。
    线下服务器(192.168.1.xxx)----ECS实例(网关)----其他ECS实例(172.xx.x.45)
    
  3. 根据上面整理的信息,在网关的安全组对所有地址放行后,其他ECS实例能连通线下服务器,说明本身路由等三层以下网络都是正常的,故判断还是安全层面的问题,并和系统内部安全没有关系,问题还是在安全组上。
  4. 只放行192.168.1.0/24网段则不通。放行了192.168.1.0/24网段说明线下服务器(192.168.1.xxx)----ECS实例(网关)这段网络没有问题,但是ECS实例(网关)----其他ECS实例(172.xx.x.45)这段网络有问题。
  5. 检查发现网关和其他ECS实例不在一个安全组下。所以只放行192.168.1.0/24时候,172.xx.x.45请求经过网关时就被拒绝,所以不通。
  6. 让网关与其他ECS实例的安全组互相放行后就通。

适用于

  • 云服务器ECS