我想建立主机来托管 libreswan ipsec VPN。我已经完成了以下操作。
- 在第一个帐户的默认 vpc 中创建了 ubuntu 实例
ubuntu-1。 - 将 EIP 和安全组分配给我的 ubuntu 实例,允许 TCP 端口 1701、UDP 端口 4500,500 并在任何地方启用所有 ICMP。
ubuntu-2在第二个账户的公共子网中的非默认 VPC 中创建 ubuntu 实例。- 将 EIP 和安全组分配给 ubuntu 实例,允许 TCP 端口 1701、UDP 端口 4500,500 并在任何地方启用所有 ICMP。
我能够ubuntu-2从 ubuntu-1实例 ping 到,但是我无法ubuntu-1从ubuntu-2实例 ping 到。
我不确定我的ubuntu-2实例有什么问题。它具有分配给其公共子网的 Internet 网关。所有安全组规则都为两台服务器镜像。
实例安全性取决于安全组。在您已经提到的场景中,您已允许来自两个安全组中任何位置的 ICMP 端口。我们可以考虑的另一个安全方面是网络 ACL。网络 ACL 是无状态的。您应该检查 ubuntu-2 实例的子网的网络 ACL。ICMP 协议是请求和响应类型的协议,因此 ubuntu-2 子网的网络 ACL 应该允许入站和出站规则。