AWS:无法从VPN ping到其他区域的实例

Question

我在AWS中有一个区域间VPN设置,与本指南一致:

http://fortycloud.com/interconnecting-two-aws-vpc-regions/

所以,我已经在某种程度上工作了,但我不能从一个实例ping到VPN主机.

所以网络看起来像这样:

实例A <---> vpn A <---(交叉区域)---> vpn B <--->实例B.

我可以从VPN ping到VPN.我可以从VPN A ping到实例B.我可以从实例A ping到VPN A.我可以从VPN B ping到实例B.

但我无法从VPN B ping到实例A,反之亦然.所有路由表和安全组似乎都是正确的.

还有什么我可能会失踪？

---

这是信息:

VPN A openswan配置:

[root@ip-10-1-200-220 ipsec.d]# cat me-to-or.conf
conn me-to-or
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=52.8.x.x
        leftnexthop=%defaultroute
        leftsubnet=10.1.0.0/16
        right=54.213.x.x
        rightsubnet=10.0.0.0/16
        pfs=yes
        auto=start

VPN B openswan:

conn me-to-ca
        type=tunnel
        authby=secret
        left=%defaultroute
        leftid=54.213.x.x
        leftnexthop=%defaultroute
        leftsubnet=10.0.0.0/16
        right=52.8.x.x
        rightsubnet=10.1.0.0/16
        pfs=yes
        auto=start

实例A安全组:

 All traffic FROM ANYWHERE

实例B秒组:

 All traffic FROM ANYWHERE

VPN A Sec组:

 All traffic FROM ANYWHERE

VPN B Sec组:

All traffic FROM ANYWHERE

Ping结果:

在VPN A(到实例B):

[root@ip-10-1-200-220 ipsec.d]# ping 10.0.5.130
PING 10.0.5.130 (10.0.5.130) 56(84) bytes of data.
64 bytes from 10.0.5.130: icmp_seq=1 ttl=63 time=21.0 ms

在VPN B(到实例A):

[root@ip-10-0-200-251 ipsec.d]# ping 10.1.5.54
PING 10.1.5.54 (10.1.5.54) 56(84) bytes of data.
100% packet loss

如果我从VPN B ping到实例A,我可以看到ping命中VPN A(使用TcpDump),但它永远不会到达实例A.但是,如果我从VPN A ping到实例A,那就可以了.

如果我从实例A ping到VPN B,我看到ping转到VPN A,VPN B,回到VPN A,但它永远不会到达实例A.

这是链接文章中的图像,以帮助考虑拓扑:

---

Answer 1

终于找到了.

我在VPN A上错过了这一步:

在Instance List中选择Instance,然后单击"Action按钮".选择"更改来源/目的地".校验".单击"是禁用"按钮(这是关键步骤,如果没有它,虚拟路由器将不接受或转发不适用于路由器本身的流量,因此它们将不起虚拟路由器的作用).

谢谢你们帮助我们澄清我的想法.