Amazon AWS Public VIF BGP geen toegang tot Amazon diensten

zaterdag 19 januari 2019 14:24

Acties:

...no comment.

Topicstarter

Dag medetweakers.

Ik heb een uitdaging. (voor mij)
Deze Amazon cloud noob heeft het op zich genomen om via een Amazon AWS Direct Access en een storage gateway zijn backup in de cloud te zetten.
Om dit mogelijk te maken moest ik een Public Virtual Interface aanmaken bij Amazon en deze koppelen aan onze Fortigate firewall. Er is een BGP config opgezet met twee publieke ip adressen en deze is actief volgens Amazon.
Ik kan het publieke ip adres aan de kant van Amazon pingen en ik zie in mijn routing tabel een heleboel netwerken van Amazon verschijnen.
Ik heb een NAT policy gemaakt tussen mijn server vlan en het amazon netwerk.
Ik zie in mijn logfiles ook verbindingen opgezet worden naar Amazon diensten maar geen enkele krijgt antwoord.

logfile:

schema:

Ik kan dus nu geen enkele dienst die bij amazon wordt gehoste bereiken......

Iemand een idee?

But then again, I could be wrong..

zaterdag 19 januari 2019 23:27

jvanhambelgium

https://aws.amazon.com/directconnect/faqs/

Je hebt al die stappen netjes doorlopen ?

https://docs.aws.amazon.c...ect-connect-gateways.html
https://docs.aws.amazon.c...UserGuide/create-vif.html

Je krijgt prefixen van AWS, maar je doet zelf ook wat prefix announcement ?

zaterdag 19 januari 2019 15:37

Acties:

jvanhambelgium

"...en deze is actief volgens Amazon" . Mischien toch nog eens (dubbel)checken ? Kan je dat zelf zien op 1 of ander dashboard ?

Zie je in de logfile van je Fortinet een echt TCP-verbinding opgezet ? Of een hoop SYN-packets die vertrekken maar je krijgt mischien nooit response omdat Amazon de weg terug niet kent ?

zaterdag 19 januari 2019 15:45

Acties:

Acmosa

...no comment.

Topicstarter

In het Amazon Dashboard staan netjes "UP" bij BGP status. Tevens kan ik het publiek ip adres van de amazon router pingen. Dit kon niet toen de status nog "Down" was.
Ik ga even kijken welke pakketjes er over de lijn gaan.....

Alleen maar SYN, TCP retransmits en Port unreachable.
Het is net of er een firewall actief is binnen Amazon of er is geen route terug.
Het lijkt op een undocumented feature ergens in de Amazon config. De publieke ip adressen heb ik van Amazon gekregen dus daar zou het, aan mijn kant, niet aan kunnen liggen.

[ Voor 41% gewijzigd door Acmosa op 19-01-2019 15:54 ]

But then again, I could be wrong..

zaterdag 19 januari 2019 23:27

Acties:

Beste antwoord ✓

jvanhambelgium

https://aws.amazon.com/directconnect/faqs/

Je hebt al die stappen netjes doorlopen ?

https://docs.aws.amazon.c...ect-connect-gateways.html
https://docs.aws.amazon.c...UserGuide/create-vif.html

Je krijgt prefixen van AWS, maar je doet zelf ook wat prefix announcement ?

zondag 20 januari 2019 16:34

Acties:

Acmosa

...no comment.

Topicstarter

Alles netjes doorlopen. Ik doe maar 1 prefix announcement die eigenlijk overbodig is omdat ik nat over het publieke op dat ik gebruik voor mijn bgp route.
Amazon is er nu ook naar aan het kijken maar de supporter heeft een serieus probleem met lezen.... -.-

My bad.

Ik had een typefout gemaakt in het netwerk dat ik wilde publishen bij Amazon.
De fortigate gaf aan dat er 0 routes gepublished werden naar Amazon wat verklaarde dat er geen traffic terug kwam.
Nadat ik het netwerk goed had gedefinieerd werd deze ook netjes gepublished by Amazon.
Nu werkt alles wel.

Bedankt voor het meedenken.

[ Voor 40% gewijzigd door Acmosa op 21-01-2019 11:03 ]

But then again, I could be wrong..

maandag 21 januari 2019 19:55

Acties:

jvanhambelgium

Top! Fijn te horen dat het werkt!

Vraag

Beste antwoord (via rens-br op 21-01-2019 22:21)

Alle reacties