我们最近有一台带有Wireguard VPN的EC2机器在过去两天的半夜停止工作。在排除故障后,问题似乎是传入的UDP数据包没有到达机器。我编辑了安全组,允许传入UDP数据包,一切又开始工作了。
最初,我以为有人更改了安全组,但是cloudtrail显示我的编辑是过去90天内唯一的操作。这一定意味着有一个错误,或者SG的行为在过去两天改变了,不允许相关的数据包在连接上返回。
Michael给出的答案我认为是正确的:AWS安全组显示UDP端口打开'而它应该否认?
我错了吗?还有什么我需要考虑的吗?
编辑1:一些澄清
EC2机器通过wireguard连接到数据中心的机器。连接的两端在docker容器中运行wireguard。
我的故障排除步骤大致如下(请忽略确切的语法,因为netcat因linux发行版而异)
在EC2机器上我运行了以下命令:
echo help | nc -u -l 5000
在数据中心机器上,我运行了以下命令:
nc -u ec2.example.com 5000
我发现这不起作用,直到我将UDP规则添加到SG。一旦我这样做了,我在另一个窗口中运行的tcpdump就会因为流量而爆炸。
一个更可能的解释是,Wireguard改变了他们的逻辑,即响应来自不同的服务器,而不是接收原始请求的服务器。您可以启用VPC流量日志来查看是否发生了这种情况。