Conexão VPN unidirecional do VPC para a rede local

1

Eu quero conectar um VPC a um servidor local por meio de uma conexão VPN. Isso precisa ser apenas uma conexão unidirecional (da AWS para a local, de saída) NÃO de site para site.

Eu configurei o AWS VPN Connection, o Virtual Private Gateway e o Customer Gateway (Cisco-ASA). Mas, como descobri, é a conexão em ambos os sentidos e exige que o cliente abra a conexão para nós e a mantenha aberta para que possamos ter conexão VPN com eles.

Isso é o que implementei no lado da AWS:

link

Como encontramos para a conexão de saída, a única maneira é Cisco AnyConnect significa em VPC, precisamos de um servidor que tenha o Cisco AnyConnect instalado, então poderemos fazer esta conexão.

Gostaria de saber se existe uma maneira melhor de ter uma conexão VPN unidirecional (de saída) para este caso (somente do VPC para o local)

Qualquer ajuda seria apreciada.

Segunda pergunta :

Se eu usar a conexão VPN da AWS para conectar-me ao nosso data center, como posso conectar a multi VPC a uma conexão VPN? Eu tenho um VPC principal que VPN foi estabelecido nele, e eu fiz outro VPC com um servidor nele e observei os dois VPCs. Eu não tenho nenhuma conexão do meu segundo VPC para o data center. As tabelas de rotas são as seguintes:

Tabela de rotas VPN-VPC1:

Destination          Target
privateIP(VPC1)       local
0.0.0.0/0             igw
datacenter-network1   vgw
datacenter-network2   vgw
privateIP(VPC2)       pcx

Tabela de rotas VPC2: (associação de sub-rede: 10.0.1.0/24)

Destination          Target   
privateIP(VPC2)       local
0.0.0.0/0             igw
privateIP(VPC1)       pcx

não há conexão entre o datacenter para 10.0.1.10/24

Estou faltando alguma coisa aqui?

    
por Matrix 11.07.2017 / 10:35

1 resposta

1

Não há suporte nativo em VPC para o que você precisa.

A raiz do problema é que a VPN de hardware da VPC não está realmente projetada para conexões com redes de terceiros. Ele foi projetado para interconectar seu VPC à sua rede física de data center - uma conexão confiável. Uma conexão VPC VPN é efetivamente aberta, sujeita apenas às limitações de seus grupos de segurança e Network ACLs - ela não tem uma tabela de roteamento ou qualquer filtro próprio, e tem algumas outras limitações, então não é realmente a melhor escolha para conexões externas. Para conexões com o seu data center, é claro ... é excelente.

As we found for outgoing connection, the only way is Cisco AnyConnect

Essa não é a única maneira ... mas precisa ser feita com uma instância do EC2 executando o software IPSec VPN. Existem três pacotes que eu conheço, todos similares: openswan, libreswan e strongswan. Você pode criar seu próprio servidor de encapsulamento.

Se você seguir esse caminho, é um pouco complicado obter os endereços IP configurados corretamente, mas é uma solução viável. É assim que estabeleço o IPSec com empresas externas.

As circunstâncias não são as mesmas, mas a ideia de seu endereço ser dividido entre o IP privado da instância e o Elastic IP (EIP) da instância seria semelhante ao que sugeri para o lado "esquerdo" (o lado "nosso" , pela minha convenção) em O túnel VPN Strongswan entre duas instâncias AWS não conecta :

left=10.10.10.10         # instance private IP of local system
leftsourceip=10.10.10.10 # instance private IP of local system
leftid=203.x.x.x         # elastic IP of local system
leftsubnet=10.x.x.x/xx

Como alternativa, provavelmente existem outras ofertas no AWS Marketplace que fornecerão uma instância do EC2 que finaliza os túneis IPSec. mas não há outra alternativa, a menos que você tenha um gateway de hardware externo, fora da AWS, e queira falar tanto uma conexão VPN de hardware VPC quanto suas conexões de terceiros desse dispositivo.

    
por 11.07.2017 / 22:26