Я пытаюсь подключить VPN-клиент к VPC, отличному от VPN-сервера. Это моя установка: Диаграмма сети
Однако я не могу управлять клиентом VPN 10.8.0.6, чтобы иметь возможность подключиться к экземпляру в VPC 10.24.0.249, отличном от VPN.
Описание моей схемы:
Есть 2 VPC. VPN-сервер находится как раз в одном из VPC. Между VPC существует одноранговое соединение (PXC). В таблицы маршрутов VPC добавляются маршруты, поэтому они знают, что должны передавать трафик через PXC. В VPC без VPN, используя группы безопасности, экземпляр разрешал входящий трафик из подсети VPN VPC и подсети VPN-клиента.
Сервер OpenVPN проталкивает маршруты клиенту:
push "route 10.26.0.0 255.255.255.0"
push "route 10.24.0.0 255.255.255.0"
VPN-клиент 10.8.0.6 может связаться с любым узлом в VPN VPC, включая VPN-сервер 10.26.0.81.
VPN-сервер 10.26.0.81 может связываться с любым узлом в не-VPN VPC, например, 10.24.0.249.
Если посмотреть на него по отдельности, он работает, но клиент VPN по какой-то причине не может связаться с удаленным экземпляром в VPC, отличном от VPN.
Есть идеи, что мне проверить?
Это встроенное ограничение:
Если какой-либо VPC в пиринговых отношениях имеет одно из следующих подключений, вы не можете расширить пиринговые отношения на это соединение:
- VPN-подключение или подключение AWS Direct Connect к корпоративной сети.
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html
Обдумайте эти вопросы:
Какая таблица маршрутизации в VPC с подключением VPN отвечает за решения о маршрутизации трафика, полученного от пирингового подключения, чтобы трафик от однорангового VPC мог возвращаться через VPN-подключение?
Какая таблица маршрутизации в VPC с подключением VPN отвечает за решения о маршрутизации трафика, получаемого через VPN, чтобы трафик из VPN мог быть отправлен в одноранговый VPC?
На самом деле это вопросы с подвохом.
Таблица маршрутизации не применяется к трафику, полученному от VPN-подключения или через пиринговое соединение. Трафик из этих источников может достигать только экземпляров в блоке CIDR суперсети вашего VPC. Маршрутизация входящего трафика неявная и не настраивается. Таблицы маршрутов в VPC применяются только к трафику, исходящему от экземпляров в подсетях в VPC. Таблица маршрутов по умолчанию - это просто таблица маршрутов, которая применяется к любой подсети без назначения ее собственной таблицы маршрутов - это единственный смысл, в котором она является таблицей маршрутов "по умолчанию".
Только вещи с эластичными сетевыми интерфейсами - по сути, экземпляры - в другом VPC доступны через пиринговое соединение. Через соединение невозможно получить доступ ни к чему внешнему или внешнему, включая VPN, прямое подключение, шлюз NAT, интернет-шлюз или конечную точку VPC (на момент написания этой статьи доступно только для S3).