Conexão do cliente OpenVPN através da conexão peering a diferentes VPC da AWS

1

Estou tentando conectar o cliente VPN a um VPC diferente do servidor VPN. Essa é a minha configuração: Diagrama de rede

No entanto, não consigo gerenciar o cliente VPN 10.8.0.6 para poder alcançar a instância no VPC 10.24.0.249 não VPN.

Descrição do meu diagrama:

Existem 2 VPCs. O servidor VPN está em apenas uma das VPCs. Entre VPCs há uma conexão de peering (PXC). Há rotas adicionadas às tabelas de rota de VPCs, então elas sabem que devem impulsionar o tráfego sobre o PXC. No VPC não VPN, usando os grupos de segurança, a instância permitia o tráfego de entrada da sub-rede VPN VPC e da sub-rede do cliente VPN.

O servidor OpenVPN envia as rotas para o cliente:

 push "route 10.26.0.0 255.255.255.0"
 push "route 10.24.0.0 255.255.255.0"

O VPN Client 10.8.0.6 pode entrar em contato com qualquer nó na VPN VPC, incluindo o servidor VPN 10.26.0.81. O servidor VPN 10.26.0.81 pode entrar em contato com qualquer nó no VPC não VPN, por exemplo, 10.24.0.249.

Quando você olha para ele separadamente, ele funciona, mas o cliente VPN, por algum motivo, não consegue acessar a instância remota no VPC não-VPN.

Alguma idéia do que devo verificar?

    
por NeverEndingQueue 29.06.2016 / 14:00

1 resposta

1

Esta é uma limitação projetada:

If either VPC in a peering relationship has one of the following connections, you cannot extend the peering relationship to that connection:

  • A VPN connection or an AWS Direct Connect connection to a corporate network

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html

Considere estas perguntas:

  • No VPC com a conexão VPN, qual tabela de roteamento é responsável pelas decisões de roteamento do tráfego recebido da conexão de peering, para que o tráfego do VPC emparelhado possa retornar pela conexão VPN?

  • No VPC com a conexão VPN, qual tabela de roteamento é responsável pelas decisões de roteamento do tráfego recebido pela VPN, para que o tráfego da VPN possa ser enviado ao VPC emparelhado?

Na verdade, essas são perguntas difíceis.

Nenhuma tabela de roteamento se aplica ao tráfego recebido de uma conexão VPN ou recebido por uma conexão de peering. O tráfego dessas origens só pode alcançar instâncias no bloco CIDR de super-rede da sua VPC. O roteamento do tráfego de entrada é implícito e não configurável. As tabelas de rota em VPCs se aplicam apenas ao tráfego originado pelas instâncias nas sub-redes no VPC. A tabela de rota padrão é meramente a tabela de rotas que se aplica a qualquer sub-rede sem sua própria atribuição de tabela de rotas - esse é o único sentido em que é uma tabela de rotas "padrão".

Apenas as coisas com interfaces de rede elásticas - instâncias, essencialmente - na outra VPC estão acessíveis através de uma conexão de peering. Nada externo ou voltado para o exterior pode ser acessado através de uma conexão, incluindo VPN, Conexão Direta, Gateway NAT, Gateway de Internet ou Ponto de Extremidade VPC (disponível, neste momento, apenas para S3).

    
por 29.06.2016 / 21:32