AWS VPN - Bloco de região cruzada tolerante a falhas e CIDR de VPC

1

Eu tenho uma pergunta complicada:

Eu conectei várias VPCs com Instâncias do EC2 (IPSec) para rotear tráfego entre VPCs entre regiões, tenho conexão VPN a cada região aws e tudo está funcionando bem.

Traffic from my office to 10.20.*.* go to ->
VPN connection LINE 1 in AWS eu-west-1 ->
vpc_ireland - CIDR 10.20.0.0/16
here I have ipsec instance that route the traffic from 10.60.0.0/16 to vpc_viriginia

Traffic from my office to 10.60.*.* go to ->
VPN connection LINE 2 in AWS us-east-1 ->
vpc_viriginia - CIDR 10.60.0.0/16
in AWS us-east-1 I have ipsec instance that route the traffic from 10.20.0.0/16 to vpc_ireland

Eu quero ter certeza de que se uma das conexões / linhas vpn cair, eu ainda poderei acessar a região aws através da outra VPN na outra região aws.

Por exemplo, se VPN connection LINE 2 (virginia) cair, automaticamente todo o tráfego do meu escritório para 10.60.*.* irá para VPN connection LINE 1 (vpc_ireland) e a partir daí será roteado para vpc_viriginia com minha instância IPSec, como se nada tivesse acontecido.

exemplo: se VPN connection LINE 2 desce: myoffice -> 10.60.203.11 -> VPN connection LINE 1 -> vpc_ireland -> ipsec instance in ireland -> vpc_viriginia

Como eu disse, tenho conexão entre minhas regiões com instâncias IPSec.

Minha pergunta é: se a conexão VPN LINE 2 cair, todo o tráfego para 10.60.*.* será roteado automaticamente do meu escritório para vpc_ireland - CIDR 10.20.0.0/16 , mas eu acho que o vpc_ireland irá rejeitá-los porque os IPs 10.60.*.* são não na mesma rede de vpc_ireland - CIDR 10.20.0.0/16 .

Então, pergunto-me quais são minhas opções (sem remover minha VPN atual da AWS)?

Para ser mais específico, como posso rotear tráfego de IPs (digamos, por exemplo, 10.60.111.9 ) via conexão VPN da Irlanda (quando a conexão Virginia VPN cai), para vpc_ireland , mas os IPs que eu roteio não são na mesma rede CIDR 10.20.0.0/16 ?

A questão se refere apenas ao lado da AWS, depois que eu direciono o tráfego do meu escritório.

Terei prazer em responder a qualquer pergunta se a minha pergunta não for compreensível.

Obrigado antecipadamente !!

UPDATE - Vou tentar ser mais específico com a minha pergunta:

  1. O AWS VPN na Virginia é desativado.
  2. Todo o tráfego do meu escritório 10.60.*.* route para a conexão VPN da AWS LINE 1 em AWS eu-west-1 .
  3. Então, se eu pingar agora do meu escritório para 10.60.100.13 , será encaminhado para a VPN da Irlanda. 4. mas o VPC na Irlanda com CIDR block 10.20.0.0/16 .

Se eu conseguir encaminhar de alguma forma o tráfego que vai para a Irlanda VPN de IPs em CIDR block 10.60.*.* para minha VPC atual na Irlanda com CIDR block 10.20.0.0/16 , eu poderia usar minha tabela de roteamento e minha instância IPSEC para rotear de volta para Virginia VPC.

É possível rotear tráfego de diferentes sub-redes para outro bloco CIDR no VPC? IP 10.60.100.13 para CIDR block 10.20.0.0/16 ?

    
por Berlin 08.10.2016 / 03:44

1 resposta

1

Você pode tentar fazer algo assim

eu-west-1 - VPC1 - VPNGatewway1  -- office  (direct route)
eu-west-1 - VPC1 - VPNGatewway1  -- office  (via VPC2 route)
             | 
            peer
             |
eu-west-1 - VPC2 - VPNGatewway2  -- office  (direct route)
eu-west-1 - VPC2 - VPNGatewway2  -- office  (via VPC1 route)

Mas antes de fazer qualquer coisa FYI, o gateway vpn tem dois pontos de entrada, portanto a redundância já foi construída.

Há uma coisa que você precisa considerar, as tabelas de rotas, mesmo que tenham entradas para o escritório e o outro VPC, enviarão tráfego para a rota padrão para o seu escritório (vpn gateways). Para isso, você precisa criar um script pequeno que altere a prioridade da rota, portanto, se o VPNGateway1 não puder se conectar ao seu escritório, você atribuirá a isso uma prioridade mais baixa e roteará o office_space / netmask via VPC2.

    
por 08.10.2016 / 20:24