Назад | Перейти на главную страницу

Клиентский VPN-доступ AWS к одноранговому VPC

В моей инфраструктуре AWS есть несколько VPC.

3 дня назад я создал Client VPN в VPC1 и успешно настроил доступ к VPC2 по инструкции: https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/scenario-peered.html.

Сегодня удалил второй VPC2 и создал еще один. Настроил пиринг между VPC1 и VPC2, работает, но не могу настроить VPN для доступа к VPC2 (упрощенная схема во вложении).1

Из верхней инструкции: "Свяжите подсеть, которую вы определили ранее, с созданной вами конечной точкой Client VPN.. "

я иду в Конечные точки VPN клиента> Создание ассоциации VPN клиента с целевой сетью, и увидеть: "Вы можете связать подсети в одном VPC с клиентской конечной точкой VPN.. "

Но это противоречит официальным документам Amazon. И я могу выбрать VPC2, выбрать подсеть из этого VPC и получить сообщение об ошибке: "Подсеть, которую вы связываете, принадлежит другому vpc"(Конечно! Это именно то, что мне нужно и что я делаю)

Есть идеи, что происходит? Как избежать такой ошибки и заставить VPN работать с новым VPC?

Заранее спасибо.

Я нашел причину. Не потому, что я не могу связать VPC2-подсети с VPN. Это необязательно. Как я понял, в AWS ассоциация означает «конечная точка VPN, напрямую подключенная к этой подсети».

Обычно вам не нужно создавать специальные маршруты между разными подсетями Avialability-Zone. Но для VPN это необходимо.

VPN-маршрут к VPC2-подсети должен проходить через VPC1-подсеть в той же зоне доступности (AZ). Маршрут до 10.20.100.0/24 через 10.18.10.0/24 работать не будет.

Таким образом, у вас должна быть подсеть, связанная с VPN, в той же зоне доступности и маршрутизация трафика через эту подсеть.