Como configurar o OpenVPN com múltiplos VPCs em diferentes regiões?

2

Eu tenho VPCs diferentes em diferentes regiões no AWS:

  1. 10.1.0.0/16 (A)
  2. 10.2.0.0/16 (B)
  3. 10.3.0.0/16 (C)

Eu segui este artigo ( link ) para abrir uma conexão vpn para permitir que as instâncias do servidor em B para comunicar a instância do RDS na sub-rede privada do VPC A.

Eu fiz o seguinte no ipsec.conf:

rightsubnet = 10.2.0.0 / 16

Tudo funciona bem, mas como eu devo conectar C a A? Preciso abrir uma outra instância do OpenVPN? Tenho certeza de que há uma maneira de conseguir isso.

    
por Inacio 17.04.2017 / 10:31

2 respostas

1

Para VPC na mesma região:

VPC peering, configure uma conexão VPC Peer com as outras VPCs. Portanto, se o servidor vpn estiver em A, crie uma conexão peer VPC de A para B e A para C.

link

Para o VPC Peering em diferentes regiões:

Você pode usar uma VPN de software como o Openvpn ou o Strongswan

Leverages AWS networking equipment in-region and Internet pipes between regions

Configuração da camada 3 com o OpenVPN

Configuração da camada 2 com o OpenVPN

link

link

    
por 01.06.2017 / 21:40
1

AFAIK você não precisa de várias VPNs para conectar várias VPCs. Uma VPN em cada VPC, configurada para rotear de acordo, deve funcionar. Aqui está um artigo com detalhes. Veja a seção "Conectando VPCs Adicionais"

link

Infelizmente, para avaliar, as VPCs devem estar na mesma região, portanto, o peering não funcionará. Conectar VPCs em diferentes regiões é um pouco mais compactado. Aqui está um link para um artigo que fala sobre as diferentes opções. As melhores soluções exigem algum tipo de VPN por meio de uma rede corporativa.

link

Aqui está a solução de software do artigo. De interesse, "O Ocedo AutoVPN atualmente fornece automação de rede avançada para lançar, gerenciar e configurar dispositivos VPN baseados em software para conectar várias VPCs e redes VPN de malha completa."

Software VPN Appliances

Essa abordagem aproveita o recurso Amazon VPC para criar túneis de VPN entre instâncias do EC2 para rotear o tráfego entre VPCs em diferentes regiões. Essa opção usa aplicativos VPN de software gerenciados por membros da AWS Partner Network (APN) ou baseados em EC2, e é mais adequada para clientes que desejam gerenciar as duas extremidades das conexões VPN usando seu provedor de software VPN preferido.

Esse design otimiza os custos de transferência de rede entre regiões, no entanto, exige que os clientes projetem e gerenciem sua própria configuração de HA para instâncias de rede EC2.

Detalhes da configuração

Esse design usa endereços IP elásticos e gateways de Internet VPC para facilitar a comunicação entre os dispositivos VPN de software. Embora as instâncias do EC2 sejam configuradas com endereços IP públicos, o tráfego de rede entre AWS Regions atravessa o backbone de rede global da AWS por padrão, o que normalmente fornece conectividade de rede de baixa latência mais consistente do que conexões equivalentes baseadas na Internet. O AWS Marketplace oferece várias opções de código aberto e de terceiros (incluindo produtos da Cisco, Fortinet, Ocedo, OpenSWAN, OpenVPN, Palo Alto Networks, Sophos e Vyatta) para a implementação de aplicativos VPN de software. O Ocedo AutoVPN atualmente fornece automação de rede avançada para lançar, gerenciar e configurar dispositivos VPN baseados em software para conectar várias VPCs e redes VPN de malha completa.

Considerações

Os produtos disponíveis no AWS Marketplace fornecem recursos adicionais de controle de rede para monitorar e controlar o tráfego entre VPCs. Isso inclui recursos de segurança adicionais, como monitoramento aprimorado, regras de firewall com reconhecimento de protocolo de rede ou recursos de gerenciamento universal de ameaças. Observe que os clientes devem executar dispositivos de rede em cada VPC, o que resulta em cobranças adicionais de licença EC2 e, potencialmente, de terceiros. Essas instâncias do EC2 também podem introduzir um ponto único de falha na arquitetura de rede e um possível afunilamento de rede, por isso, escolha um tamanho de instância de appliance de VPN que atenda aos requisitos de roteamento de rede entre regiões. Por fim, aproveite o Auto Recovery for EC2 ou outras opções de monitoramento e recuperação de rede para diminuir o tempo de recuperação de dispositivos VPN com falha.

    
por 27.08.2017 / 01:22