¿Cómo puedo permitir la comunicación entre varias VPC desde una única conexión VPN vinculada a mi puerta de enlace de tránsito, pero no permitir que las VPC accedan entre sí?

Resolución

Crear una puerta de enlace de tránsito y, a continuación, vincular las VPC y una Site-to-Site VPN

Siga estos pasos:

1. Abra la consola de Amazon Virtual Private Cloud (Amazon VPC).
2. Cree una puerta de enlace de tránsito.
   Nota: Desactive la configuración de asociación de la tabla de enrutamiento predeterminada cuando cree la puerta de enlace de tránsito.
3. Vincule sus VPC a la puerta de enlace de tránsito.
4. Cree una conexión AWS Site-to-Site VPN y vincúlela a su puerta de enlace de tránsito.
   Nota: Para propagar automáticamente las rutas de VPN a la tabla de enrutamiento de la puerta de enlace de tránsito, elija Dinámico en la opción de enrutamiento. Esta opción requiere el protocolo de puerta de enlace fronteriza (BGP).

Crear una tabla de enrutamiento de puerta de enlace de tránsito y adjuntarla a sus VPC

Siga estos pasos:

1. Abra la consola de Amazon VPC.
2. En el panel de navegación, elija Puertas de enlace de tránsito.
3. Compruebe que la configuración de la asociación de la tabla de enrutamiento predeterminada para su puerta de enlace de tránsito esté establecida en Desactivar.
   Nota: Si la asociación de la tabla de enrutamiento predeterminada está configurada en Activar, primero elimine las asociaciones de VPN y VPC de la tabla de enrutamiento de la puerta de enlace de tránsito predeterminada.
4. Elija Tablas de enrutamiento de la puerta de enlace de tránsito.
5. Elija Crear tabla de enrutamiento de puerta de enlace de tránsito y, a continuación, siga estos pasos:
   En Etiqueta de nombre, introduzca Tabla de enrutamiento A.
   En ID de la puerta de enlace de tránsito, elija el ID de su puerta de enlace de tránsito.
6. Elija Crear una tabla de enrutamiento de la puerta de enlace de tránsito.
7. Seleccione la tabla de enrutamiento.
8. Elija Asociaciones y, a continuación, Crear asociación.
9. En Elegir conexión que desea asociar, elija los ID de las conexiones de puerta de enlace de tránsito para sus VPC.
10. A continuación, elija Crear asociación. Repita los pasos 9 y 10 hasta que todas las VPC aparezcan en Asociaciones.

Crear una segunda tabla de enrutamiento de puerta de enlace de tránsito y adjuntarla a la conexión VPN

Siga estos pasos:

1. Abra la consola de Amazon VPC.
2. En el panel de navegación, seleccione Tablas de enrutamiento de la puerta de enlace local.
3. Elija Crear tabla de enrutamiento de puerta de enlace de tránsito y, a continuación, siga estos pasos:
   En Etiqueta de nombre, introduzca Tabla de enrutamiento B.
   En el ID de la puerta de enlace de tránsito, seleccione el ID de su puerta de enlace de tránsito.
4. Elija Crear una tabla de enrutamiento de la puerta de enlace de tránsito.
5. Seleccione la tabla de enrutamiento.
6. Elija Asociaciones y, a continuación, Crear asociación.
7. En Elegir conexión que desea asociar, elija el ID de la conexión de puerta de enlace de tránsito para su conexión VPN.
8. A continuación, elija Crear asociación.

Propagar rutas desde sus VPC y VPN a las tablas de enrutamiento respectivas

Siga estos pasos:

1. Abra la consola de Amazon VPC.
2. En el panel de navegación, seleccione Tablas de enrutamiento de la puerta de enlace local.
3. Seleccione Tabla de enrutamiento A.
4. Seleccione Propagaciones y, a continuación, elija Crear propagación.
5. En Elegir conexión que desea propagar, elija la propagación para la conexión VPN. 
   Importante: Si creó una conexión VPN de ruta estática, cree una ruta estática para la red local a la VPN en la tabla de enrutamiento A. Para las conexiones VPN estáticas basadas en políticas, solo se permite un par de asociaciones de seguridad (SA). Consolide el CIDR local y el CIDR de la VPC en una sola SA. Para obtener más información, consulte ¿Cómo soluciono los problemas de conexión entre un punto de enlace de AWS VPN y una VPN basada en políticas?
6. Seleccione Crear propagación.
7. En las tablas de enrutamiento de la puerta de enlace de tránsito, seleccione Tabla de enrutamiento B.
8. Seleccione Propagaciones y, a continuación, elija Crear propagación.
9. En Elegir conexión que desea propagar, elija los ID de las conexiones de puerta de enlace de tránsito para sus VPC.
10. Seleccione Crear propagación. Repita los pasos 9 y 10 hasta que todas las VPC aparezcan en Propagaciones.

Configurar la tabla de enrutamiento que está asociada a su VPC y a la subred de conexión

Siga estos pasos:

1. En la consola de Amazon VPC.
2. En el panel de navegación, seleccione Tablas de enrutamiento.
3. Elija la tabla de enrutamiento que está vinculada a la subred de instancias de Amazon Elastic Compute Cloud (Amazon EC2) de origen.
4. Elija la pestaña Rutas y, a continuación, elija Editar rutas.
5. Seleccione la pestaña Agregar ruta y, a continuación, siga estos pasos:
   En Destino, seleccione la subred de la red local.
   En Destino, seleccione su puerta de enlace de tránsito.
6. Seleccione Guardar rutas.

Si debe tener un acceso restrictivo entre las VPC, cree una tabla de enrutamiento independiente para cada VPC y configure las rutas. El enrutamiento de la tabla de enrutamiento de la puerta de enlace de tránsito se basa en la asociación de la conexión de puerta de enlace de tránsito y la tabla de enrutamiento de la puerta de enlace de tránsito. Puede configurar rutas a cualquier conexión de puerta de enlace de tránsito de destino en cualquier tabla de enrutamiento de puerta de enlace de tránsito. No es necesario asociar la conexión de puerta de enlace de tránsito de destino a la tabla de enrutamiento específica.

Información relacionada

¿Cómo puedo solucionar los problemas de conectividad del entorno local a la VPC a través de Transit Gateway?

¿Por qué no puedo conectarme a Amazon VPC cuando uso una Site-to-Site VPN que termina en una puerta de enlace de tránsito?