仮想L3スイッチで自宅LANとAWSのVPCを接続しようとしています。
【Server(AWS)側】(OS:Amazon Linux 2)
10.1.0.0/24, GW:10.1.0.1, VPN-Serverが動作するインスタンス:10.1.0.4
・仮想HUB1(自宅側とのカスケード接続用):カスケード接続ユーザー1,ローカルブリッジなし、SecureNAT無効
・仮想HUB2(AWS-サブネット用):ユーザーなし、ローカルブリッジ1(*1), SecureNAT無効
・仮想L3スイッチは後述
(*1) ブリッジbr0を作成して、tap_tap0 とeth0をインタフェースとして、VPN-Serverには「tap0」で仮想HUB2に登録
【自宅側】(Windows7, アクセスポイント、タブレット、その他なんでも)
192.168.1.1/24, GW:192.168.1.1, VPN-Serverが動作するPC:192.168.1.3
・仮想HUB3(カスケード接続元):ユーザーなし、ローカルブリッジ1(デフォルトのもの),SecureNAT無効
【仮想L3スイッチ】(Server側)
192.168.1.254/24: 仮想HUB1
10.1.0.254/24: 仮想HUB2
【デフォルトゲートウェイ設定】
自宅側: 192.168.1.1 に静的ルーティング設定: 10.1.0.0/24 -> 192.168.1.254
Server側: AWSではデフォルトゲートウェイに設定ができないので、インスタンスで192.168.1.0/24->10.1.0.254にまわす設定をした。
☆結果
1. PC->AWS
・192.168.1.3からpingを打ったところ、10.1.0.4(VPN-Serverのインスタンス)までは届いた。
・しかし、10.1.0.1(デフォルトルータ)に届かない。別のインスタンスにも通らない。
2. AWS->PC
・10.1.0.4からpingを打ったところ、192.168.1.3(VPN-BridgeのPC)には届かない。
・しかし192.168.1.3以外なら、どんな機器へもpingが通る。
以上のような状況となっております。特にPC->AWSがひどい状況でこれを打開するために注意点や誤りなどご教示いただけませんでしょうか。
よろしくお願いいたします。
仮想L3スイッチによる接続で部分的にPINGが通らない
-
cedar
- Site Admin
- Posts: 2266
- Joined: Sat Mar 09, 2013 5:37 am
Re: 仮想L3スイッチによる接続で部分的にPINGが通らない
> 10.1.0.1(デフォルトルータ)に届かない
デフォルトルータは 192.168.1.0/24 への経路を知らないので、これは当然と思われます。
他のインスタンスでは経路を設定されているでしょうか。
デフォルトルータは 192.168.1.0/24 への経路を知らないので、これは当然と思われます。
他のインスタンスでは経路を設定されているでしょうか。
-
tosca2010
- Posts: 5
- Joined: Mon May 06, 2019 1:05 am
Re: 仮想L3スイッチによる接続で部分的にPINGが通らない
ご教示ありがとうございます。
早速、別のインスタンス(10.1.0.6)に帰り道を設定しようとしたところ、
そもそも10.1.0.6から仮想L3スイッチ(10.1.0.254)にpingが飛ばないことがわかりました。
そこで10.1.0.254のMACアドレスをarpで設定したのですが、まだpingが通りませんでした。
さらに10.1.0.254へのリクエストを10.1.0.4(br0)に送るように設定しましたが、
pingが通りませんでお手上げになってしまいました。
ネットワークの知識に疎くてすみません。
早速、別のインスタンス(10.1.0.6)に帰り道を設定しようとしたところ、
そもそも10.1.0.6から仮想L3スイッチ(10.1.0.254)にpingが飛ばないことがわかりました。
そこで10.1.0.254のMACアドレスをarpで設定したのですが、まだpingが通りませんでした。
さらに10.1.0.254へのリクエストを10.1.0.4(br0)に送るように設定しましたが、
pingが通りませんでお手上げになってしまいました。
ネットワークの知識に疎くてすみません。
-
cedar
- Site Admin
- Posts: 2266
- Joined: Sat Mar 09, 2013 5:37 am
Re: 仮想L3スイッチによる接続で部分的にPINGが通らない
そうなると、ローカルブリッジが機能していないように思えます。
サービス側でVMから入出力されるパケットのうち、VM自身のMACアドレス以外をフィルタしているのかもしれません。
サービス側でVMから入出力されるパケットのうち、VM自身のMACアドレス以外をフィルタしているのかもしれません。
-
tosca2010
- Posts: 5
- Joined: Mon May 06, 2019 1:05 am
Re: 仮想L3スイッチによる接続で部分的にPINGが通らない
この問題は何かAWSの方の仕様に係わる気がしてきました。
AWSの識者にも力添えをお願いしようと思います。
どうもありがとうございました。
AWSの識者にも力添えをお願いしようと思います。
どうもありがとうございました。
-
tosca2010
- Posts: 5
- Joined: Mon May 06, 2019 1:05 am
Re: 仮想L3スイッチによる接続で部分的にPINGが通らない
お世話になっています。
問題がかなり特定できてきました。
1. 192.168.1.3から10.1.0.4にpingは通っている。
2. 192.168.1.3から10.1.0.6にpingが通らない。
・このとき、仮想HUB1のログにはecho requestが届いているが、仮想HUB2のログには届いていない。
3. 2.の状況下で、10.1.0.6から192.168.1.254にpingを打つと、瞬時に192.168.1.3 -> 10.1.0.6 が通るようになる。
現象をみると、仮想L3スイッチの192.168.1.254 -> 10.1.0.254 の間でうまくルーティングができていない
ように見えます。
こんなことってあるのでしょうか?
問題がかなり特定できてきました。
1. 192.168.1.3から10.1.0.4にpingは通っている。
2. 192.168.1.3から10.1.0.6にpingが通らない。
・このとき、仮想HUB1のログにはecho requestが届いているが、仮想HUB2のログには届いていない。
3. 2.の状況下で、10.1.0.6から192.168.1.254にpingを打つと、瞬時に192.168.1.3 -> 10.1.0.6 が通るようになる。
現象をみると、仮想L3スイッチの192.168.1.254 -> 10.1.0.254 の間でうまくルーティングができていない
ように見えます。
こんなことってあるのでしょうか?
-
tosca2010
- Posts: 5
- Joined: Mon May 06, 2019 1:05 am
Re: 仮想L3スイッチによる接続で部分的にPINGが通らない
解決しました。ARPの問題でした。
192.168.1.254側が行き先のMACアドレスを知ろうとしてARPのブロードキャストを流すのですが、
それが10.1.0.4で止まっていました。それで、10.1.0.4からpingが飛ぶと、MACアドレスがわかるので
その瞬間につながってしまうのでした。
10.1.0.4でARP PROXYをすることで解決しました。
以上です。
192.168.1.254側が行き先のMACアドレスを知ろうとしてARPのブロードキャストを流すのですが、
それが10.1.0.4で止まっていました。それで、10.1.0.4からpingが飛ぶと、MACアドレスがわかるので
その瞬間につながってしまうのでした。
10.1.0.4でARP PROXYをすることで解決しました。
以上です。