By using AWS re:Post, you agree to the AWS re:Post Terms of Use
AWS re:Postre:Post

如何通过VPC/Direct Connect路由VPN网络的流量

0

【以下的问题经过翻译处理】 假设网络拓扑如下:

网络A <---> DirectConnect <---> VPC1

如果我在VPC1的EC2上设置了OpenVPN服务器,我不能使用它来访问网络A,因为我无法通过VPC路由VPN网络的流量 - 这是正确的吗?或者我漏掉了什么?

谢谢。

Topics
Networking & Content Delivery
Tags
Amazon VPC
Language
中文 (简体)
profile picture
EXPERT
rePost Polyglot
asked 6 months ago14 views
1 Answer
0

【以下的回答经过翻译处理】 据我的理解,您的判断是正确的,但您仍然有一些选项去配置。

让我们假设:

VPC - 10.20.20.0/22

Network Across Direct Connect - 192.168.0.0/16

OpenVPN网络 - 172.16.0.0/24

Direct Connect仅会路由去往/来自VPC CIDR到“跨越Direct Connect”的CIDR的流量。

如果您尝试从172.16.0.0/24发送数据包到本地,则它们将被丢弃。

如果您尝试从192.168.0.0/16发送数据包到172.16.0.0/24,则它们将被丢弃。

您需要在VPC侧运行一个虚拟网关,以连接到直接连接另一侧的网关。这将让您“越过”AWS VGW限制。

如果您的OpenVPN实例上安装了strongswan/libreswan IPsec(使用Linux),则可以连接到Direct Connect上的IPsec设备。您将定义两侧之间的“隧道”,即192.168.0.0/16 - 172.16.0.0/24。然后您的本地可以路由到您的VPN。

如果您的OpenVPN服务器是Linux,则可以使用GRE创建隧道(Layer 2隧道)到Direct Connect对面的路由器/网关,并且两侧都设置指向GRE隧道的静态路由。(请注意,此隧道未加密)

或者使用AWS Marketplace上的任何设备供应商-根据您需要的VPN凭据数量。

profile picture
EXPERT
rePost Polyglot
answered 6 months ago

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Guidelines for Answering Questions

Relevant content