服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 作为OpenVPN客户端的AWS NAT实例无法路由后面的实例
Intereting Posts
NFS自动挂载程序 – 挂载点父目录中的文件/目录 Bottle.py应用程序在mod_wsgi和uwsgi上超时,但在dev模式下工作 神秘的Linux Centos节stream 如何在线查看Linux内核日志? solaris服务器与LAN / WAN上的NTP进行精确的时间同步 在Ubuntu上同时使用多个php版本 IIS 7.5 – 无法在一个IP地址下configuration两个SSL证书? 基于VLAN的Powershell身份validation 阻止服务器到达机器 Unixnetworking打印机打印多份 寻找脚本尝试发送垃圾邮件通过后缀 Windows / Tomcat 6上的WAR归档的部署例程没有停机? 还原实用程序错误 在PHP中,我如何检测正在从命令行运行的代码? Windows Server 2008 R2 DNS通配符

作为OpenVPN客户端的AWS NAT实例无法路由后面的实例

我有一个Amazon AMI 2015.09实例作为我的后端服务器的NAT服务器。

我已经在同一个盒子上configuration了OpenVPN客户端,NAT服务器能够通过VPN与所有的东西进行通话,所有的资源都可以正常使用。 但是这个NAT背后的所有后端服务器不再能够访问互联网。 一旦我拿掉了NAT服务器上的OpenVPN客户端,它后面的实例就能够再次联机。

我可以在AWS上专门查看NAT实例吗? 我不知道我可以提供什么,当我知道VPN连接function之间的客户端和服务器,所以我假设它可能是路由/ iptables规则在NAT转发不按预期。

NAT服务器确实从后面的实例看到stream量( tcpdump -n not port 22 ),但是我不太清楚它是如何处理这个stream量的。

任何有关为什么发生这种情况的build议,以及如何解决这个问题将是非常好的。

编辑:因为这是一个function的NAT服务器,在ec2实例禁用src / dst检查。

EDIT2:

OpenVPN客户端输出closures: 

 [root@ip-10-0-0-39 ~]# ip route list table all default via 10.0.0.1 dev eth0 10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.39 169.254.169.254 dev eth0 broadcast 10.0.0.0 dev eth0 table local proto kernel scope link src 10.0.0.39 local 10.0.0.39 dev eth0 table local proto kernel scope host src 10.0.0.39 broadcast 10.0.0.255 dev eth0 table local proto kernel scope link src 10.0.0.39 broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 unreachable ::/96 dev lo metric 1024 error -101 unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -101 unreachable 2002:a00::/24 dev lo metric 1024 error -101 unreachable 2002:7f00::/24 dev lo metric 1024 error -101 unreachable 2002:a9fe::/32 dev lo metric 1024 error -101 unreachable 2002:ac10::/28 dev lo metric 1024 error -101 unreachable 2002:c0a8::/32 dev lo metric 1024 error -101 unreachable 2002:e000::/19 dev lo metric 1024 error -101 unreachable 3ffe:ffff::/32 dev lo metric 1024 error -101 fe80::/64 dev eth0 proto kernel metric 256 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101 local ::1 dev lo table local proto none metric 0 local fe80::1074:88ff:fe94:45c7 dev lo table local proto none metric 0 ff00::/8 dev eth0 table local metric 256 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101

输出OpenVPN客户端打开: 

 [root@ip-10-0-0-39 ~]# ip route list table all default via 10.0.0.1 dev eth0 10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.39 10.0.0.0/23 via 10.172.0.1 dev tun0 10.0.8.0/24 via 10.172.0.1 dev tun0 10.0.100.0/22 via 10.172.0.1 dev tun0 10.10.10.0/24 via 10.172.0.1 dev tun0 10.100.100.0/24 via 10.172.0.1 dev tun0 10.101.101.0/24 via 10.172.0.1 dev tun0 10.172.0.0/16 via 10.172.0.1 dev tun0 10.172.0.1 dev tun0 proto kernel scope link src 10.172.23.253 10.200.0.0/16 via 10.172.0.1 dev tun0 169.254.169.254 dev eth0 172.23.0.0/16 via 10.172.0.1 dev tun0 172.24.0.0/16 via 10.172.0.1 dev tun0 broadcast 10.0.0.0 dev eth0 table local proto kernel scope link src 10.0.0.39 local 10.0.0.39 dev eth0 table local proto kernel scope host src 10.0.0.39 broadcast 10.0.0.255 dev eth0 table local proto kernel scope link src 10.0.0.39 local 10.172.23.253 dev tun0 table local proto kernel scope host src 10.172.23.253 broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 unreachable ::/96 dev lo metric 1024 error -101 unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -101 unreachable 2002:a00::/24 dev lo metric 1024 error -101 unreachable 2002:7f00::/24 dev lo metric 1024 error -101 unreachable 2002:a9fe::/32 dev lo metric 1024 error -101 unreachable 2002:ac10::/28 dev lo metric 1024 error -101 unreachable 2002:c0a8::/32 dev lo metric 1024 error -101 unreachable 2002:e000::/19 dev lo metric 1024 error -101 unreachable 3ffe:ffff::/32 dev lo metric 1024 error -101 fe80::/64 dev eth0 proto kernel metric 256 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101 local ::1 dev lo table local proto none metric 0 local fe80::1074:88ff:fe94:45c7 dev lo table local proto none metric 0 ff00::/8 dev eth0 table local metric 256 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101

这似乎不是一个拆分隧道的问题,因为只有一个接口,并且默认stream量仍然很好。

它后面的NAT客户端位于10.0.0.0/24空间,位于10.0.0.0/23空间中以通过tun0路由。 还有什么我可以错过?

ifconfig的输出: 

 [root@ip-10-0-0-39 ~]# ifconfig -a eth0 Link encap:Ethernet HWaddr 12:74:88:94:45:C7 inet addr:10.0.0.39 Bcast:10.0.0.255 Mask:255.255.255.0 inet6 addr: fe80::1074:88ff:fe94:45c7/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3214673 errors:0 dropped:0 overruns:0 frame:0 TX packets:2918238 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:948912082 (904.9 MiB) TX bytes:770701301 (734.9 MiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

听起来像你的OpenVPN服务器没有设置分割隧道。 因此,当客户端运行时,服务器的默认网关正在改变指向VPN隧道。 你将需要启用拆分隧道,所以这不会发生。