Если два поставщика с отдельными VPC подключаются к одному клиентскому шлюзу для VPN-подключения, какие варианты конфигурации позволяют это сделать?
В настоящее время кажется, что AWS позволяет связать клиентский шлюз только с одним подключением vpn на регион. Мы не можем добавить дополнительный клиентский шлюз или изменить регион.
Перенаправить трафик через один VPC в другой невозможно. http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html#edge-to-edge-vgw
В VPC внешние IP-адреса одного из «ваших» виртуальных частных шлюзов и одного из «моих» виртуальных частных шлюзов могут быть одинаковыми - виртуальный частный шлюз (vgw) является стороной AWS VPN-соединения и имеет два публичные IP-адреса. Пока ваш клиентский шлюз и мой имеют разные адреса, это уникальная пара адресов источника / назначения, поэтому она отлично работает с IPSec, чтобы мой и ваш трафик попадал на одно и то же устройство AWS на одном и том же внешнем IP-адресе.
Но позже, если бы мы пытались подключить мой клиентский шлюз к вашему VPC, и виртуальный шлюз вашего VPC имел тот же внешний IP-адрес, что и внешний IP-адрес моего VPC, это не сработало бы, потому что исходный адрес и адрес назначения для двух VPN связи были бы такими же.
По-видимому, VPC не может обработать это исключение автоматически, потому что в то время, когда мы даем ему адрес клиентского шлюза, адрес виртуального частного шлюза уже был назначен.
Таким образом, обходной путь - приготовьтесь к этому - очевидно, чтобы «занять» ваш vgw, объявив фиктивный клиентский шлюз и установив соединение.
Затем создайте новый vgw, который должен иметь другие внешние адреса ... и новый клиентский шлюз для вашего реального IP-адреса.
Повторяйте, пока не получите действительную пару, затем удалите все ненужные соединения vpn, а также объекты клиентов и виртуальных шлюзов.
https://aws.amazon.com/articles/5458758371599914#_Toc331767311
Это кажется немного запутанным, но я подозреваю, что это довольно редкое явление, поскольку более простое решение - использовать другой внешний IP-адрес на клиентском шлюзе, где это практически возможно ... ограничение на самом деле не один для каждого клиентского шлюза, а один для каждого клиента внешний IP шлюза.