1 votos

VPN de AWS VPC bloqueada por el peering de la conexión de AWS VPC

Diagram of our Setup

Hemos configurado AWS VPC en 2 regiones como se ilustra arriba. La conexión VPN funciona ahora entre dos instancias, cada una de ellas conectada directamente a las VPC en cada extremo de la configuración de la VPN (es decir, VPC PROD en eu-west1 y VPC PROD en ap-south1). Por lo tanto, el "servicio remoto" puede comunicarse con el "servicio PROD". Esto se ilustra con la línea punteada verde.

Como hay una conexión de peering entre las 2 VPCs de eu-west1, esperaba que la VPC PROD de ap-south1 pudiera comunicarse con la VPC ADMIN de eu-west1. No parece ser el caso. Es decir, "Remote service" no puede comunicarse con el "Servicio de administración". Ilustrado por la línea de puntos roja.

VPC ADMIN tiene entradas en la tabla de enrutamiento:

10.100.0.0/16 ==> peering connection to VPC PROD (eu-west1)

La VPC PROD (eu-west1) tiene entradas en la tabla de enrutamiento:

10.100.0.0/16 ==> Virtual Private Gateway (VPG) / VPN connection

Además, la VPC PROD (ap-south1) tiene entradas en la tabla de enrutamiento:

172.20.0.0/16 and 172.30.0.0/16 ==> strongswan instance.

Imagino que el problema podría ser que el tráfico de ap-south1 llega al router VPG de eu-west1 y tiene una demanda difícil que pueda alcanzar su punto final en la VPC asociada a la VPG, y no mirará la tabla de enrutamiento de la VPC y por lo tanto no soportará el uso de la entrada de la tabla de enrutamiento correspondiente para enviar el tráfico a la conexión de peering a la VPC ADMIN. ¿Alguien puede confirmar si se supone que esto funciona o no?

Por el momento, la única forma de ponerlo en marcha parece ser crear una segunda conexión VPN que tendría una VPG asociada a VPC ADMIN. A continuación, ajustar el enrutamiento en ap-south1 para golpear la antigua VPN para 172.20.0.0/16 (VPC PROD) y la nueva VPN para 172.30.0.0/16 (VPC ADMIN) . Esto debería funcionar, pero costará el doble y significa más configuración para mantener...

¿Otras ideas para que funcione?

2voto

Michael - sqlbot Puntos 2233

Esto no funciona, por diseño.

Enrutamiento de borde a borde a través de una puerta de enlace o una conexión privada

Si cualquiera de las VPC de una relación de peering tiene una de las siguientes conexiones, no se puede ampliar la relación de peering a esa conexión:

  • Una conexión VPN

...

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html

El peering de la VPC sólo permite el acceso de instancia a instancia a través del límite de la VPC. No permite el acceso a ningún tipo de "puerta de enlace", como una puerta de enlace de Internet, una puerta de enlace NAT, un punto final de servicio de VPC, AWS Direct Connect o una VPN de hardware.

El tráfico que cruza una conexión de peering no puede "transitar" por la VPC y salir por el otro lado.

0voto

Erb Puntos 59

Hay un par de socios de redes de AWS que proporcionan conexiones de peering entre regiones y/o entre cuentas. https://aws.amazon.com/networking/partner-solutions/

0voto

Malvineous Puntos 2416

Tiene que utilizar instancias EC2 para proporcionar enrutamiento Edge to Edge. Documento siguiente https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/ Sección VPC de tránsito

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: