AWSのSubnet間でのping疎通ができない

こんにちは。現在AWSに以下のような構成のネットワークを作っているのですが疎通で問題が起きています。

VPCにprivate用subnet(subnet1)とpublic用subnet(subnet2)を作り、
linux(172.16.100.33)からvyOSrouterにPingを打ったところ172.16.100.36側には疎通が確認できましたが、172.16.1.200からはレスポンスがありませんでした。

しかし、vyOSの172.16.1.200側でtcpdumpを行ってみたところ、linuxからのpingパケット自体は到着しているようです。

また、セキュリティグループも検証のために全てのトラフィックを通すようにしています。

VPCの仕様として同じVPC内ならsubnetが違っても疎通ができるとのことなのですが、現在何が悪いのか分からない状態です。どなたか心当たりのある方おられましたらご教授いただけないでしょうか。

vyOSの設定

interfaces {
    ethernet eth0 {
        address dhcp
        duplex auto
        hw-id 0a:6f:ce:d4:e6:3c
        policy {
        }
        smp_affinity auto
        speed auto
    }
    ethernet eth1 {
        address 172.16.100.36/24
        duplex auto
        hw-id 0a:a6:99:4d:9f:0a
        policy {
        }
        smp_affinity auto
        speed auto
    }
    loopback lo {
    }
}
policy {
}
protocols {
    static {
        route 0.0.0.0/0 {
            next-hop 172.16.1.1 {
            }
        }
    }
}
service {
    ssh {
        disable-password-authentication
        port 22
    }
}
system {
    config-management {
        commit-revisions 20
    }
    console {
        device ttyS0 {
            speed 9600
        }
    }
    host-name VyOS-AMI
    login {
        user vyos {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
                public-keys aws-ec2 {
                    key ****************
                    type ssh-rsa
                }
            }
            level admin
        }
    }
    ntp {
        server 0.pool.ntp.org {
        }
        server 1.pool.ntp.org {
        }
        server 2.pool.ntp.org {
        }
    }
    package {
        auto-sync 1
        repository community {
            components main
            distribution helium
            password ****************
            url http://packages.vyos.net/vyos
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone UTC
}

行動規範の内容に同意します

回答2件

172.16.100.33→172.16.1.200 が eth0/eth1 のどちらから入っているのかわかりませんが(172.16.100.33 のデフォルトゲートウェイが 172.16.100.36 なら eth1、そうでなければ eth0 かと思います)、戻りの 172.16.1.200→172.16.100.33 は eth1 から出ようとしているのではないでしょうか？
物理的なネットワークであれば、それも可能ですが、AWS のネットワークでは source IP が違うので許可されないと思います。

vyOS ルーターの目的は subnet1→subnet2 へ NAT させることでしょうか？
ルーティングだけであれば、ルートテーブルで実現できそうですが。

投稿2017/10/15 06:54

TaichiYanagiya

総合スコア12146

推測ですが、172.16.100.33から172.16.1.200へのpingについて、vyOS Routerはルーティングの結果としてではなく、172.16.100.36側のインタフェースからそのままping応答を返しているのではないかと思います。
そのため、行きと帰りのパケットの対応がとれず、172.16.100.33ではping応答を受信できていないのではないかと思われます。

ルータとしての設定が適切であれば、vyOS Router内でルーティング処理が行われ、ping応答を返せる形にできるのかと思います。
実際の設定内容については詳しくないのでわかりませんでした。

追記：

上記の問題はvyOS Routerのみで発生するものと考えられますので、subnet2側にインスタンスを作成し、そのインスタンスのIPアドレスに対して172.16.100.33からpingを実行すると、おそらく応答があるのではないかと思います。

投稿2017/10/14 22:11

編集2017/10/14 23:26