Para permitir que instâncias em um VPC em Oregon (us-west-2) contatem instâncias em outro VPC na Irlanda (eu-west-1), eu instalei máquinas de gateway OpenSwan em ambas as regiões e estabeleci um IPSEC túnel entre as duas regiões que opera adequadamente.
Details:
Oregon VPC CIDR: 172.31.0.0/16
Ireland VPC CIDR: 172.91.0.0/16
Na Irlanda, usei um modelo do CloudFormation que escrevi para criar uma nova pilha que, entre outras coisas, cria um novo VPC isolado e uma das tarefas que o CloudFormation está executando é espiar entre o padrão Ireland VPC e o recém-criado criado (isolado) VPC.
The new isolated VPC CIDR: 172.52.0.0/16.
No momento, se eu executar um comando ping de uma instância que reside na VPC padrão do Oregon (172.31.xx) em direção a uma instância que reside na VPC padrão da Irlanda (172.91.xx), ela funciona como um encanto.
Em seguida, gostaria que as máquinas na nova VPC (172.52.x.x) isolada pudessem alcançar instâncias na VPC padrão no Oregon (172.31.x.x).
A tabela de rotas associada ao VPC padrão no Oregon está configurada para rotear o tráfego:
to: 172.52.0.0/16 GW: Interface of the OpenSwan server in Oregon.
to: 172.91.0.0/16 GW: Interface of the OpenSwan server in Oregon.
A tabela de rotas associada ao VPC padrão na Irlanda está configurada para rotear o tráfego:
to: 172.31.0.0/16 GW: Interface of the OpenSwan server in Ireland.
to: 172.52.0.0/16 GW: The peering connection ID (between 172.52.x.x and 172.91.x.x)
Grupo de segurança que está anexado à instância do OpenSwan @ Oregon:
Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Ireland.
Grupo de segurança que está anexado à instância do OpenSwan @ Ireland:
Allows all traffic to 172.52.x.x/16, 172.91.x.x/16, 172.31.x.x/16.
Allows UDP 500 and 4500 to the EIP of the OpenSwan instance in Oregon.
ipsec.conf:
version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:172.91.0.0/16,%v4:172.52.0.0/16,%v4:25.0.0.0/8,%v4:172.31.0.0/16,%v4:172.59.0.0/20,%v6:fd00::/8,%v6:fe80::/10
oe=off
include /etc/ipsec.d/*.conf
Eu sou capaz de pingar uma instância que reside na VPC padrão do Oregon de cada uma das máquinas OpenSwan (Oregon / Irlanda) e vice-versa, mas não consigo pingar essa instância de uma instância que reside na 172.52.xx / 16 sub-rede.
Qual rota você acha que está perdendo? Preciso permitir que instâncias no VPC isolado na Irlanda atinjam o VPC padrão no Oregon.