Я хочу подключить VPC к локальному серверу через одно VPN-соединение. Это должно быть только одностороннее (от AWS к локальному исходящему) соединение, а НЕ между сайтами.
Я настроил подключение AWS VPN, виртуальный частный шлюз и клиентский шлюз (Cisco-ASA). Но, как я обнаружил, это двустороннее соединение, и оно требует, чтобы клиент открыл нам соединение и оставил его открытым, чтобы мы могли иметь с ним VPN-соединение.
Вот что я реализовал на стороне AWS:
https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/
Как мы обнаружили для исходящего соединения, единственный способ - это Cisco AnyConnect, это означает, что в VPC нам нужен сервер, на котором установлен Cisco AnyConnect, тогда мы сможем установить это соединение.
Мне интересно, есть ли лучший способ иметь одностороннее (исходящее) VPN-соединение для этого случая? (Только из VPC в локальную сеть)
Любая помощь будет оценена.
Второй вопрос:
Если я использую VPN-соединение AWS для подключения к нашему центру обработки данных, как я могу подключить несколько VPC к одному VPN-соединению? У меня есть один основной VPC, на котором была установлена VPN, и я сделал еще один VPC с сервером в нем и подключился к двум VPC. У меня нет соединения со вторым VPC в сторону центра обработки данных. Таблицы маршрутов выглядят следующим образом:
Таблица маршрутов VPN-VPC1:
Destination Target
privateIP(VPC1) local
0.0.0.0/0 igw
datacenter-network1 vgw
datacenter-network2 vgw
privateIP(VPC2) pcx
Таблица маршрутов VPC2: (ассоциация подсети: 10.0.1.0/24)
Destination Target
privateIP(VPC2) local
0.0.0.0/0 igw
privateIP(VPC1) pcx
нет связи датацентра с 10.0.1.10/24
Я что-то упустил?
В VPC нет встроенной поддержки того, что вам нужно.
Корень проблемы в том, что Аппаратный VPN VPC на самом деле не предназначен для подключения к сторонним сетям. Он предназначен для подключения к вашему VPC, чтобы ваш сеть физического центра обработки данных - надежное соединение. VPN-соединение VPC является широко открытым, с учетом только ограничений ваших групп безопасности и сетевых ACL - у него нет таблицы маршрутов или какой-либо собственной фильтрации, а также есть некоторые другие ограничения, так что это действительно не лучший вариант. выбор для внешних подключений. Для подключения к вашему дата-центру, конечно ... отлично.
Как мы обнаружили для исходящего соединения, единственный способ - это Cisco AnyConnect.
Это не единственный способ ... но это нужно делать с экземпляром EC2, на котором запущено программное обеспечение IPSec VPN. Я знаком с тремя похожими пакетами: openswan, libreswan и strongswan. Вы можете создать свой собственный туннельный сервер.
Если вы пойдете по этому пути, будет немного сложно правильно настроить IP-адреса, но это жизнеспособное решение. Вот как я устанавливаю IPSec с внешними компаниями.
Обстоятельства не совпадают, но идея разделения вашего адреса между частным IP-адресом экземпляра и эластичным IP-адресом экземпляра (EIP) будет аналогична тому, что я предложил для «левой» («нашей» стороны, по моему конвенция) в VPN-туннель Strongswan между двумя экземплярами AWS не соединяется:
left=10.10.10.10 # instance private IP of local system
leftsourceip=10.10.10.10 # instance private IP of local system
leftid=203.x.x.x # elastic IP of local system
leftsubnet=10.x.x.x/xx
В качестве альтернативы, вероятно, есть другие предложения в AWS Marketplace который предоставит вам экземпляр EC2, который завершает туннели IPSec ... но другой альтернативы нет, если только у вас нет аппаратного шлюза за пределами AWS, и вы хотите использовать как аппаратное VPN-соединение VPC, так и ваше третье- партийные соединения из этого устройства.