我正在尝试允许 VPN 用户使用 Private Route53 DNS 条目。example.corp
例如:在本地网络上发布 DNS 记录的私有托管区域。
目前我什至找不到正确的配置集来允许连接的客户端使用亚马逊的 DNS。
当前(简化)设置
客户端 VPN 端点被分配 CIDR 范围172.20.0.0/22
。它有一个已配置的具有 CIDR 的目标网络关联172.20.254.0/24
。
目标网络为空;意味着那里没有 EC2 实例等。但是它本身确实具有转发路由规则以允许流量到其他网络。通过“授权规则”控制对这些前进路线的访问。路由表只有一个条目说明172.20.0.0/16
(整个 VPC)被转发到目标网络关联。
与 VPN 关联的安全组非常宽松,允许任何内容在172.20.0.0/16
.
这种配置在没有 DNS 的情况下已经工作了一年多。我现在所做的唯一更改是启用 DNS。
更改 - 尝试启用 DNS
此页面告诉我 DNS 应该在网络范围 +2 上可用。我尝试将 VPN DNS 服务器设置为172.20.0.2
and 172.20.254.0
(not at the same time)。但既不响应 DNS 请求,也不响应 ICMP ping。
为了让这个工作我尝试过:
- 确保在 VPC 上设置了“DNS 解析”和“DNS 主机名”
172.20.254.0/24
为和都添加授权规则172.20.0.2/22
。172.20.0.0/22
为to添加路由表条目local
我应该如何设置客户端 VPN 终端节点以使用 AWS DNS?
VPN 自己的 CIDR 块不应该是您的 VPC 的 CIDR 块的一部分,并且存在于 VPC 之外。
如上所述,我的关联子网已打开
172.20.254.0/24
,是 VPC CIDR 的一部分172.20.0.0/16
。让 VPN 的 CIDR 块成为172.20.0.0/22
问题,因为它与172.20.0.2
VPC 上的所有重要的 DNS IP 重叠。这里真正令人困惑的一点是,DNS IP 根本不需要在任何子网中。
解决方案
172.16.0.0/22
这样它就不再与 VPC 的 CIDR 重叠172.20.0.0/16
。172.20.0.2
:IE172.20.0.2/32
。