質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.98%

  • AWS(Amazon Web Services)

    1637questions

    Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

  • VyOS

    3questions

AWSのSubnet間でのping疎通ができない

受付中

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 279

pussade

score 7

こんにちは。現在AWSに以下のような構成のネットワークを作っているのですが疎通で問題が起きています。

イメージ説明

VPCにprivate用subnet(subnet1)とpublic用subnet(subnet2)を作り、
linux(172.16.100.33)からvyOSrouterにPingを打ったところ172.16.100.36側には疎通が確認できましたが、172.16.1.200からはレスポンスがありませんでした。

しかし、vyOSの172.16.1.200側でtcpdumpを行ってみたところ、linuxからのpingパケット自体は到着しているようです。

また、セキュリティグループも検証のために全てのトラフィックを通すようにしています。

VPCの仕様として同じVPC内ならsubnetが違っても疎通ができるとのことなのですが、現在何が悪いのか分からない状態です。どなたか心当たりのある方おられましたらご教授いただけないでしょうか。

vyOSの設定

interfaces {
    ethernet eth0 {
        address dhcp
        duplex auto
        hw-id 0a:6f:ce:d4:e6:3c
        policy {
        }
        smp_affinity auto
        speed auto
    }
    ethernet eth1 {
        address 172.16.100.36/24
        duplex auto
        hw-id 0a:a6:99:4d:9f:0a
        policy {
        }
        smp_affinity auto
        speed auto
    }
    loopback lo {
    }
}
policy {
}
protocols {
    static {
        route 0.0.0.0/0 {
            next-hop 172.16.1.1 {
            }
        }
    }
}
service {
    ssh {
        disable-password-authentication
        port 22
    }
}
system {
    config-management {
        commit-revisions 20
    }
    console {
        device ttyS0 {
            speed 9600
        }
    }
    host-name VyOS-AMI
    login {
        user vyos {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
                public-keys aws-ec2 {
                    key ****************
                    type ssh-rsa
                }
            }
            level admin
        }
    }
    ntp {
        server 0.pool.ntp.org {
        }
        server 1.pool.ntp.org {
        }
        server 2.pool.ntp.org {
        }
    }
    package {
        auto-sync 1
        repository community {
            components main
            distribution helium
            password ****************
            url http://packages.vyos.net/vyos
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone UTC
}
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

0

推測ですが、172.16.100.33から172.16.1.200へのpingについて、vyOS Routerはルーティングの結果としてではなく、172.16.100.36側のインタフェースからそのままping応答を返しているのではないかと思います。
そのため、行きと帰りのパケットの対応がとれず、172.16.100.33ではping応答を受信できていないのではないかと思われます。

ルータとしての設定が適切であれば、vyOS Router内でルーティング処理が行われ、ping応答を返せる形にできるのかと思います。
実際の設定内容については詳しくないのでわかりませんでした。


追記:

上記の問題はvyOS Routerのみで発生するものと考えられますので、subnet2側にインスタンスを作成し、そのインスタンスのIPアドレスに対して172.16.100.33からpingを実行すると、おそらく応答があるのではないかと思います。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/15 07:55

    ごかいとうありがとうございます
    おっしゃる通り、subnet2に立てたインスタンスには普通に通信できました

    キャンセル

0

172.16.100.33→172.16.1.200 が eth0/eth1 のどちらから入っているのかわかりませんが(172.16.100.33 のデフォルトゲートウェイが 172.16.100.36 なら eth1、そうでなければ eth0 かと思います)、戻りの 172.16.1.200→172.16.100.33 は eth1 から出ようとしているのではないでしょうか?
物理的なネットワークであれば、それも可能ですが、AWS のネットワークでは source IP が違うので許可されないと思います。

vyOS ルーターの目的は subnet1→subnet2 へ NAT させることでしょうか?
ルーティングだけであれば、ルートテーブルで実現できそうですが。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.98%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • AWS(Amazon Web Services)

    1637questions

    Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

  • VyOS

    3questions