AWS -通过公共子网中的wireguard实例访问私有子网中的实例
AWS -通过公共子网中的wireguard实例访问私有子网中的实例
提问于 2020-10-05 12:17:05
我是StackOverflow的新手,如果我需要编辑这篇文章,请告诉我。
目的:通过位于公共子网内的有线vpn访问私有子网内部的HTTP/HTTPS web应用实例(这些子网都在同一个VPC内)。
情况
我有一个VPC,它有:
- 包含运行wireguard的ec2实例的公共子网
- 4个单独包含ec2的私有子网运行单个web应用程序(基于bitnami图像),wireguard实例有自己的安全组,其他实例与VPC共享相同的安全组。公共子网中有一个NAT网关,来自私有子网的所有出站连接都被路由到该NAT。我已经设置了一个私有托管区域,并添加了一些记录来将域名指向私有子网中的实例。(即sub.test.com指向10.0.1.1,等等)。我已经在wireguard ec2实例上启用了端口转发和未选中的“源/目标”。
结果:我可以通过SSH和wireguard客户端连接到wireguard实例,但不能访问私有子网中的web应用程序ec2。
问:如何通过公共子网中的wireguard实例访问私有子网中的实例?(是wireguard配置问题还是路由表问题?)
Stack Overflow用户
回答已采纳
发布于 2021-02-05 18:54:40
请看本教程,它将介绍如何设置带AWS专用子网的WireGuard的每一步--其中包括一些针对此类问题的故障排除建议。这里有四件事情,特别是要检查您是否在从WireGuard服务器访问私有子网中的应用程序时遇到了困难:
- 确保您的
AllowedIPs客户端配置中的WireGuard设置包含您的私有子网(如果整个WireGuard的IPv4 CIDR块是10.0.0.0/16,那么您可能希望将客户端的AllowedIPs设置为10.0.0.0/16) - 确保web应用程序的安全组允许从WireGuard服务器的安全组进入web应用程序使用的端口范围(可能是TCP端口、
80和443) - 确保WireGuard服务器的安全组允许出站访问web应用程序--默认出站规则允许一切,这很好--但是如果您已经定制了出站规则,请确保它们允许访问web应用程序使用的端口范围内的web应用程序安全组(可能是TCP端口
80和443)。 - 确保您的网络ACL不会阻塞公共子网和私有子网之间的通信--默认的ACL允许一切,这也很好--但如果您为您的子网自定义了ACL,则需要确保流量可以从公共子网流到web应用程序使用的端口范围(可能是TCP端口
80和443)上的私有子网,并在运行WireGuard服务器的操作系统使用的临时端口范围内从私有子网返回到公共子网(TCP1024-65535以确保安全)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64208465
复制相关文章
相似问题
腾讯云开发者
