Como fazer conexões VPN para diferentes redes que possuem o mesmo CIDR?

Navegue suas respostas
2

Então,

Eu tenho um aplicativo em execução em um VPC, com (atualmente) uma conexão VPN para o local de desenvolvimento. O aplicativo está acessível em, digamos, 10.0.2.25 (IP do ELB interno, acessível somente via VPN). O roteador compatível com VPN que eu tenho (também conhecido como gateway do cliente) não possui recursos de BGP.

O CIDR da rede em que estou (a rede do cliente é 192.168.1.0/24) e na VPC existe um Virtual Private Gateway (vgwA) e uma regra de roteamento correspondente (Destino 192.168.1.0/24; Destino wgwA ).

Eu posso acessar o aplicativo sem problemas (todos os grupos de ACL / segurança estão configurados corretamente)

Minha pergunta é o que acontece quando quero criar outra conexão VPN para um site diferente, mas cuja rede tem o mesmo bloco CIDR (192.168.1.0/24) ou um bloco CIDR que pode se sobrepor (ou incluir) (por exemplo, 192.168.1.0/16)? Isso é bem-sucedido - e os usuários nas redes de clientes poderão acessar o aplicativo?

Basicamente, o que eu preciso ser capaz de fazer conexões VPN para diferentes redes que tenham o mesmo (ou parcialmente comum) CIDR? Gateway de cliente compatível com BGP? Gateways virtuais diferentes no mesmo VPC? (Eu não acho que a AWS permita isso - e realmente não faz sentido) Regras de roteamento baseadas no IP externo do gateway do cliente? (por exemplo, Destino: 87.44.75.124 Alvo: vgwA; - realmente não faz sentido)

    
por Bogdan Sorlea 17.01.2013 / 15:33

1 resposta

4

A solução "certa" é alterar o bloco CIDR do seu VPC para evitar essa sobreposição. Como esta não é uma tarefa simples, como atualmente, você precisa iniciar cópias de suas instâncias no VPC recém-criado, pode considerar usar o seguinte hack:

Defina o seu dispositivo VPN como um NAT dinâmico, que irá traduzir um endereço IP não sobreposto ao IP privado real do seu VPC, enquanto fornece um DNS local para os servidores no VPC com o conjunto acima de IPs não sobrepostos .

Para ser mais específico, você terá os seguintes componentes na rede do cliente, supondo que você tenha algum tipo de dispositivo VPN:

  • O roteador VPC tem uma rota de endereço IP para dizer 192.168.3.0/24 apontando para VPC
  • O cliente implementa um servidor DNS interno que implementa registros de DNS A do tipo: customer-A-record.customerdomain.com - > 192.168.3.x
  • Usuários no local (rede doméstica) acessam recursos VPC usando nomes DNS (NÃO endereços IP); Assim, quando um usuário da rede interna está tentando SSH ou HTTP em um host VPC, eles o fazem contra o nome DNS (NÃO o endereço IP): customer-A-record.customerdomain.com
  • O servidor DNS interno resolve o nome DNS para um endereço IP 192.168.3.x / 24
  • As tabelas de roteamento do roteador interno / camada 3 têm uma entrada de tabela de roteamento para 192.168.3.x / 24 apontando para o gateway do cliente VPC (que é o gateway de VPN na rede do cliente que encerra a conexão VPN para VPC)
  • O gateway VPN do cliente recebe um pacote que vai para 192.168.3.x / 24; ele tem uma entrada NAT DNAT de destino estática para traduzir 192.168.3.x- > 192.168.0.x
  • O gateway de VPN do cliente garante que o IP de origem também seja traduzido para garantir que haja um endereço IP de retorno não sobreposto, de modo que, além do DNAT, ele faz a origem NAT SNAT: 192.168.0.x- > 192.168.3 .x (pode ser uma sub-rede IP de origem diferente - é mais eficiente usar o mesmo para SNAT e DNAT)
  • O gateway VPN do cliente encaminha agora um pacote em sua interface / encapsulamento IPSec que possui (IP de origem, IP de destino) = (192.168.3.x, 192.168.0.x) que se impõe sobre conflitos na rede de destino (VPC)
  • Os hosts VPC recebem um pacote não conflitante, faz o que deve fazer com ele e envia um pacote de resposta do formulário (Source-IP, Destination-IP) = (192.168.0.x, 192.168.3. x) através do túnel VPN para a rede do cliente
  • O gateway de VPN do cliente na rede do cliente faz o DNAT / SNAT e termina com outra resposta não conflitante do formulário (Source-IP, Destination-IP) = (192.168.3.x, 192.168.0.x) , que então encaminha para sua rede local (home) em 192.168.0.0/24.
por 17.01.2013 / 21:45

Tags

Nginx's Há muitos arquivos abertos, a definição de worker_rlimit_nofile é suficiente? Por que meus discos rígidos SAS de 15K são tão lentos? [fechadas]