我想通过一个VPN连接将VPC连接到本地服务器。 这只需要从站点到站点的单向(从AWS到内部,外发)连接。
我已经build立了AWS VPN连接,虚拟专用网关和客户网关(Cisco-ASA)。 但是,因为我发现它是双向连接,它需要客户打开我们的连接,并保持打开,以便我们可以有VPN连接到他们。
这就是我在AWS端实现的:
https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/
正如我们发现的传出连接,唯一的方法是思科AnyConnect这意味着在VPC,我们需要一台服务器,安装思科AnyConnect然后我们将能够进行此连接。
我想知道是否有更好的方法来为这种情况下单向(传出)VPN连接?(仅从VPC到内部部署)
任何帮助,将不胜感激。
第二个问题 :
如果我使用AWS的VPN连接连接到我们的数据中心,如何将多个VPC连接到一个VPN连接? 我有一个主要的VPC,已经build立了VPN,我做了另外一台VPC,里面有一台服务器,并且把两个VPC连起来。 我从第二个VPC到数据中心没有任何连接。 路由表如下所示:
VPN-VPC1路由表:
Destination Target privateIP(VPC1) local 0.0.0.0/0 igw datacenter-network1 vgw datacenter-network2 vgw privateIP(VPC2) pcx
VPC2路由表:(子网关联:10.0.1.0/24)
Destination Target privateIP(VPC2) local 0.0.0.0/0 igw privateIP(VPC1) pcx
数据中心到10.0.1.10/24之间没有连接
我在这里错过了什么?
在VPC中没有你需要的本地支持。
问题的根源在于VPC的硬件VPN并不是专为连接第三方networking而devise的。 它旨在将您的VPC互连到您的物理数据中心networking,这是一个值得信赖的连接。 VPC VPN连接实际上是开放式的,只受安全组和networkingACL的限制 – 它没有路由表或任何自己的过滤,还有一些其他的限制,所以它不是最好的外部连接的select。 对于连接到您的数据中心,当然…这是非常好的。
正如我们发现的传出连接,唯一的方法是思科AnyConnect
这不是唯一的方法,但它必须由运行IPSec VPN软件的EC2实例完成。 有三个我熟悉的软件包,都是类似的:openswan,libreswan和strongswan。 你可以build立你自己的隧道服务器。
如果你走这条路线,正确configurationIP地址有点难,但这是一个可行的解决scheme。 这就是我如何与外部公司build立IPSec。
情况是不一样的,但是你的地址在实例的私有IP和实例的弹性IP(EIP)之间被拆分的想法将类似于我为“左”侧(“我们”侧约定) 两个AWS实例之间的Strongswan VPN隧道不能连接 :
left=10.10.10.10 # instance private IP of local system leftsourceip=10.10.10.10 # instance private IP of local system leftid=203.xxx # elastic IP of local system leftsubnet=10.xxx/xx
或者, AWS Marketplace中可能还有其他产品可以为您提供终止IPSec隧道的EC2实例…但是除非您有AWS以外的非现场硬件网关,并且您希望说了VPC硬件VPN连接和您的第三方连接出该设备。