Подключение клиента OpenVPN через пиринговое соединение к другому VPC AWS

Question

Подключение клиента OpenVPN через пиринговое соединение к другому VPC AWS

Я пытаюсь подключить VPN-клиент к VPC, отличному от того, к которому принадлежит VPN-сервер. Это моя установка: схема сети

Однако я не могу управлять VPN-клиентом 10.8.0.6, чтобы иметь возможность связаться с экземпляром в не-VPN VPC 10.24.0.249.

Описание моей схемы:

Есть 2 VPC. VPN-сервер находится только в одном из VPC. Между VPC есть пиринговое соединение (PXC). К таблицам маршрутов VPC добавлены маршруты, поэтому они знают, что должны передавать трафик через PXC. В VPC без VPN с использованием групп безопасности экземпляр разрешал входящий трафик из подсети VPN VPC и подсети VPN-клиентов.

Сервер OpenVPN проталкивает маршруты к клиенту:

 push "route 10.26.0.0 255.255.255.0"
 push "route 10.24.0.0 255.255.255.0"

Клиент VPN 10.8.0.6 может связываться с любым узлом в VPN VPC, включая сервер VPN 10.26.0.81.
Сервер VPN 10.26.0.81 может связываться с любым узлом в VPC, не являющемся VPN, например, 10.24.0.249.

Когда вы смотрите на него отдельно, он работает, но VPN-клиент по какой-то причине не может получить доступ к удаленному экземпляру в не-VPN VPC.

Есть идеи, что мне проверить?

2

amazon-web-services amazon-ec2 openvpn amazon-vpc security-groups

Источник

NeverEndingQueue 29 июн '16 в 12:00

1 ответ

Решение

Другие вопросы по тегам amazon-web-services amazon-ec2 openvpn amazon-vpc security-groups

Michael - sqlbot 29 июн '16 в 19:32 2016-06-29 19:32 · Accepted Answer · 2016-06-29 19:32

Это заданное ограничение:

Если какой-либо VPC в одноранговом отношении имеет одно из следующих соединений, вы не можете расширить одноранговое отношение для этого соединения:
VPN-подключение или подключение AWS Direct Connect к корпоративной сети
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html

Рассмотрим эти вопросы:

Какая таблица маршрутизации отвечает за решения о маршрутизации трафика, полученного от пирингового соединения, в VPC с VPN-соединением, чтобы трафик от равноправного VPC мог возвращаться через VPN-соединение?
Какая таблица маршрутизации отвечает за решения о маршрутизации трафика, полученного через VPN, в VPC с подключением VPN, чтобы трафик из VPN можно было отправлять на равноправный VPC?

На самом деле, это вопросы с подвохом.

Таблица маршрутизации не применяется к трафику, полученному от VPN-соединения или полученному по пиринговому соединению. Трафик из этих источников может достигать только экземпляров в блоке CIDR суперсети вашего VPC. Маршрутизация входящего трафика неявна и не настраивается. Таблицы маршрутизации в VPC применяются только к трафику, создаваемому экземплярами в подсетях в VPC. Таблица маршрутов по умолчанию - это просто таблица маршрутов, которая применяется к любой подсети без ее собственного назначения таблицы маршрутов - это единственный смысл, в котором она является таблицей маршрутов "по умолчанию".

Только вещи с эластичными сетевыми интерфейсами - в сущности, экземплярами - в другом VPC доступны через одноранговое соединение. Через соединение нельзя получить доступ ни к внешней, ни к внешней стороне, включая VPN, Direct Connect, NAT-шлюз, Интернет-шлюз или конечную точку VPC (на момент написания этой статьи доступно только для S3).