Планирование программного обеспечения VPN типа "сеть-сеть" в AWS VPC

Нам необходимо создать VPN-соединение типа «сеть-сеть» из нашего AWS VPC (в данном случае DMZ VPC, выделенный только для этого подключения и связанный с производственным VPC). Подключение AWS VPC не соответствует требованиям клиента, поскольку требует, чтобы туннели инициировались клиентским Cisco ASA, и они хотят, чтобы инициализация происходила с нашей стороны / со стороны AWS.

Я ищу возможность реализовать это требование следующим образом. Этот план кажется жизнеспособным?

1. Группа автомасштабирования из 2 экземпляров (статический размер), каждый в отдельной зоне доступности
   • Получал бы эластичные IP-адреса из пула, включенного в белый список заказчиком, назначенного лямбда-функцией в ответ на события автомасштабирования.
   • Запуск Openswan и запуск туннелей VPN для клиента Cisco ASA
   • Настроен для работы в качестве NAT (здесь есть полезные советы по iptables и проверке источника / назначения: Как настроить собственный NAT для использования в Amazon VPC)
2. Таблица маршрутов VPC - очевидно, я бы добавил запись в таблицу маршрутов для подсети клиента, чтобы проходить через экземпляр VPN / NAT. Тем не менее, хотя AWS допускает несколько записей в таблице маршрутов для одного и того же блока CIDR, я не знаю, будет ли это работать должным образом в этом случае. (Я сомневаюсь в этом.) Опять же, я бы, вероятно, использовал лямбда-функцию, которая изменяет запись в таблице маршрутов, когда текущий экземпляр шлюза завершается. Таким образом, второй экземпляр будет в теплом резерве с активным VPN-туннелем, но не будет получать трафик, пока таблица маршрутов не будет обновлена.
3. Очевидная (я надеюсь) настройка сетевой безопасности: сетевой ACL и правила группы безопасности ограничивают публичный доступ к IP-адресам Cisco ASA клиентов.