Назад | Перейти на главную страницу

Одностороннее VPN-подключение от VPC к локальной сети

Я хочу подключить VPC к локальному серверу через одно VPN-соединение. Это должно быть только одностороннее (от AWS к локальному исходящему) соединение, а НЕ между сайтами.

Я настроил подключение AWS VPN, виртуальный частный шлюз и клиентский шлюз (Cisco-ASA). Но, как я обнаружил, это двустороннее соединение, и оно требует, чтобы клиент открыл нам соединение и оставил его открытым, чтобы мы могли иметь с ним VPN-соединение.

Вот что я реализовал на стороне AWS:

https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/

Как мы обнаружили для исходящего соединения, единственный способ - это Cisco AnyConnect, это означает, что в VPC нам нужен сервер, на котором установлен Cisco AnyConnect, тогда мы сможем установить это соединение.

Мне интересно, есть ли лучший способ иметь одностороннее (исходящее) VPN-соединение для этого случая? (Только из VPC в локальную сеть)

Любая помощь будет оценена.

Второй вопрос:

Если я использую VPN-соединение AWS для подключения к нашему центру обработки данных, как я могу подключить несколько VPC к одному VPN-соединению? У меня есть один основной VPC, на котором была установлена ​​VPN, и я сделал еще один VPC с сервером в нем и подключился к двум VPC. У меня нет соединения со вторым VPC в сторону центра обработки данных. Таблицы маршрутов выглядят следующим образом:

Таблица маршрутов VPN-VPC1:

Destination          Target
privateIP(VPC1)       local
0.0.0.0/0             igw
datacenter-network1   vgw
datacenter-network2   vgw
privateIP(VPC2)       pcx

Таблица маршрутов VPC2: (ассоциация подсети: 10.0.1.0/24)

Destination          Target   
privateIP(VPC2)       local
0.0.0.0/0             igw
privateIP(VPC1)       pcx

нет связи датацентра с 10.0.1.10/24

Я что-то упустил?

В VPC нет встроенной поддержки того, что вам нужно.

Корень проблемы в том, что Аппаратный VPN VPC на самом деле не предназначен для подключения к сторонним сетям. Он предназначен для подключения к вашему VPC, чтобы ваш сеть физического центра обработки данных - надежное соединение. VPN-соединение VPC является широко открытым, с учетом только ограничений ваших групп безопасности и сетевых ACL - у него нет таблицы маршрутов или какой-либо собственной фильтрации, а также есть некоторые другие ограничения, так что это действительно не лучший вариант. выбор для внешних подключений. Для подключения к вашему дата-центру, конечно ... отлично.

Как мы обнаружили для исходящего соединения, единственный способ - это Cisco AnyConnect.

Это не единственный способ ... но это нужно делать с экземпляром EC2, на котором запущено программное обеспечение IPSec VPN. Я знаком с тремя похожими пакетами: openswan, libreswan и strongswan. Вы можете создать свой собственный туннельный сервер.

Если вы пойдете по этому пути, будет немного сложно правильно настроить IP-адреса, но это жизнеспособное решение. Вот как я устанавливаю IPSec с внешними компаниями.

Обстоятельства не совпадают, но идея разделения вашего адреса между частным IP-адресом экземпляра и эластичным IP-адресом экземпляра (EIP) будет аналогична тому, что я предложил для «левой» («нашей» стороны, по моему конвенция) в VPN-туннель Strongswan между двумя экземплярами AWS не соединяется:

left=10.10.10.10         # instance private IP of local system
leftsourceip=10.10.10.10 # instance private IP of local system
leftid=203.x.x.x         # elastic IP of local system
leftsubnet=10.x.x.x/xx

В качестве альтернативы, вероятно, есть другие предложения в AWS Marketplace который предоставит вам экземпляр EC2, который завершает туннели IPSec ... но другой альтернативы нет, если только у вас нет аппаратного шлюза за пределами AWS, и вы хотите использовать как аппаратное VPN-соединение VPC, так и ваше третье- партийные соединения из этого устройства.