通過對等連接將 OpenVPN 客戶端連接到不同的 VPC AWS
我正在嘗試將 VPN 客戶端連接到不同於 VPN 伺服器所屬的 VPC。這就是我的設置:網路圖
但是,我無法管理 VPN 客戶端 10.8.0.6 以訪問非 VPN VPC 10.24.0.249 中的實例。
我的圖表說明:
有 2 個 VPC。VPN 伺服器只是在其中一個 VPC 中。VPC 之間存在對等連接 (PXC)。VPC 路由表中添加了路由,因此他們知道應該通過 PXC 推送流量。在非 VPN VPC 上,實例使用安全組允許來自 VPN VPC 子網和 VPN Client 子網的傳入流量。
OpenVPN 伺服器將路由推送到客戶端:
push "route 10.26.0.0 255.255.255.0" push "route 10.24.0.0 255.255.255.0"
VPN Client 10.8.0.6 可以聯繫 VPN VPC 中的任何節點,包括 VPN 伺服器 10.26.0.81。
VPN 伺服器 10.26.0.81 可以聯繫非 VPN VPC 中的任何節點,例如 10.24.0.249。
當您單獨查看它時,它可以工作,但是由於某種原因,VPN 客戶端無法訪問非 VPN VPC 中的遠端實例。
任何想法我應該檢查什麼?
這是一個設計限制:
如果對等關係中的任一 VPC 具有以下連接之一,則您無法將對等關係擴展到該連接:
- 與公司網路的 VPN 連接或 AWS Direct Connect 連接
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/invalid-peering-configurations.html
考慮以下問題:
- 在具有 VPN 連接的 VPC 中,哪個路由表負責對從對等連接接收的流量進行路由決策,以便來自對等 VPC 的流量可以通過 VPN 連接返回?
- 在具有 VPN 連接的 VPC 中,哪個路由表負責為通過 VPN 接收的流量做出路由決策,以便可以將來自 VPN 的流量發送到對等 VPC?
實際上,這些都是技巧問題。
沒有路由表適用於從 VPN 連接接收或通過對等連接接收的流量。來自這些來源的流量只能到達您的 VPC 的超網 CIDR 塊中的實例。入站流量的路由是隱式的,不可配置。VPC 中的路由表僅適用於由 VPC 中子網上的實例產生的流量。預設路由表只是適用於沒有自己的路由表分配的任何子網的路由表——這是它是“預設”路由表的唯一意義。
只有在另一個 VPC 中具有彈性網路介面的東西(本質上是實例)才能通過對等連接進行訪問。無法通過連接訪問任何外部或面向外部的內容,包括 VPN、Direct Connect、NAT 網關、Internet 網關或 VPC 端點(在撰寫本文時僅適用於 S3)。