我在Amazon EC2 VPC的 Linux服务器上有一个桥接的OpenVPN设置. (花了几个小时的文档,阅读类似的问题,在这里,openVPN论坛,还没有运气.)

桥接接口已启动并包含两个子接口：

@H_404_4@# brctl show bridge name bridge id STP enabled interfaces br0 8000.0e7c15e787b0 no eth0 tap0

VPN服务器上的路由显然是正常的;我可以通过SSH,ping,响应来自客户端的VPN请求：

@H_404_4@# netstat -rn Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 br0 10.0.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0

我可以从Windows和Windows中ping Mac客户端到VPN服务器的IP但不到VPC子网上的任何其他IP. (那些其他IP都可以;它们可以从VPN服务器ping通.)

当我在VPN服务器上的桥接接口br0上tcpdump时,它会看到来自Windows客户端的“ARP​​ who-has”请求.但是他们没有进入VPC子网！目标IP上的tcpdump没有看到ARP到达. Windows arp缓存仍未填充. (10.0.0.128是Windows客户端; 10.0.0.58是VPN服务器; 10.0.0.180是子网上的其他IP;下面的输出来自VPN服务器.)

@H_404_4@root@vpn:# tcpdump -i br0 arp tcpdump: verbose output suppressed,use -v or -vv for full protocol decode listening on br0,link-type EN10MB (Ethernet),capture size 65535 bytes 21:00:21.092367 ARP,Request who-has 10.0.0.180 tell 10.0.0.128,length 28

[蟋蟀]

我已禁用Source / Dest.在VPN服务器的唯一网络接口上检查EC2控制台.

我按照桥接HOWTO中的建议设置了IP表,并且通常完全遵循这些说明.

@H_404_4@# iptables -L INPUT -v Chain INPUT (policy ACCEPT 9 packets,1008 bytes) pkts bytes target prot opt in out source destination 38 12464 ACCEPT all -- tap0 any anywhere anywhere 10447 1297K ACCEPT all -- br0 any anywhere anywhere # iptables -L FORWARD -v Chain FORWARD (policy ACCEPT 0 packets,0 bytes) pkts bytes target prot opt in out source destination 918 167K ACCEPT all -- br0 any anywhere anywhere

https://openvpn.net/index.php/open-source/documentation/miscellaneous/76-ethernet-bridging.html

我认为我不需要转储完整的配置,因为显然有很多工作：身份验证,证书,压缩,地址池,连接设置.亚马逊VPC是否只是拒绝转发数据包,我真的应该在虚拟化程度较低的云上执行​​此操作吗？

更多实验下一天：
VPC显然不像真正的第2层子网.特别是,有广播的ARP实际上并没有播出！当我从.180 ping不存在的IP(比如.5)时,.58看不到请求.如果通过管理控制台/ API在VPC中配置了.5,则VPC显然正在优化ARP广播并仅将其发送到.5.保留tcpdump -vv -i eth0 arp一段时间仅显示主机和网关之间的流量,适用于所有主机.

此外,ping子网上的广播地址根本不起作用.这由Amazon VPN FAQ支持.

因此,VPC很可能拒绝识别.129的未知MAC地址,因为它不存在于自己的“虚拟以太网交换机”中.我可能会在一周左右的时间内将其作为答案.要使用您自己的VPN扩展VPC,必须通过正式的“VPC网关”,该网关仅用作由专用硬件路由器和静态IP支持的企业内部网的扩展,而不是漫游笔记本电脑的情况.瞄准.