在没有遮蔽源IP的情况下,VPC和托管VPN服务器之间的通信

81次阅读
没有评论

问题描述

在AWS上设置了一个VPN服务器,将所有资源移至VPN后面,包括多个VPC。用户的简单设置如下:用户有一个单独的VPC(VPC1)运行VPN服务器,另一个VPC(VPC2)中有一台EC2机器。用户启用了VPC Peering连接VPC1和VPC2,但是用户无法访问VPC2中运行的EC2机器,除非遮蔽VPN CIDR。但是这样做会丢失请求的源IP,所有请求都会按照VPN机器的要求转发。用户想知道是否有其他解决方案。

解决方案

请注意以下操作注意版本差异及修改前做好备份。

方案1

根据回答1,VPC Peering不支持中转流量。根据AWS文档中的描述,有几种不支持的VPC Peering配置。虽然这种情况没有明确提到,但从其他限制中可以推断出来。此外,由于在通过Peering连接将给定目标路由到远程VPC时,目标VPC中没有适用于该流量的路由表,因此无法完全配置您正在尝试的设置。只有实例子网可用。路由表仅适用于子网,并且默认路由表仅适用于没有显式分配路由表的子网,而不适用于来自Peering连接的流量。因此,无法将此流量路由回您的实例。这就是为什么硬件VPN、Direct Connect和NAT设备在Peering连接中不可用的原因。根据回答1中提到的,Transit VPC并不是用户所描述的情况。Transit VPC使用AWS VPC硬件VPN连接在分支上,以及在中心的基于EC2的路由器来终止隧道…隧道之间的中转路由是在实例内部完成的,而不是通过VPC网络基础设施完成的。

方案2

根据回答1,VPC Peering不支持中转流量。根据AWS文档中的描述,有几种不支持的VPC Peering配置。虽然这种情况没有明确提到,但从其他限制中可以推断出来。此外,由于在通过Peering连接将给定目标路由到远程VPC时,目标VPC中没有适用于该流量的路由表,因此无法完全配置您正在尝试的设置。只有实例子网可用。路由表仅适用于子网,并且默认路由表仅适用于没有显式分配路由表的子网,而不适用于来自Peering连接的流量。因此,无法将此流量路由回您的实例。这就是为什么硬件VPN、Direct Connect和NAT设备在Peering连接中不可用的原因。根据回答1中提到的,Transit VPC并不是用户所描述的情况。Transit VPC使用AWS VPC硬件VPN连接在分支上,以及在中心的基于EC2的路由器来终止隧道…隧道之间的中转路由是在实例内部完成的,而不是通过VPC网络基础设施完成的。

方案3

根据回答1,VPC Peering不支持中转流量。根据AWS文档中的描述,有几种不支持的VPC Peering配置。虽然这种情况没有明确提到,但从其他限制中可以推断出来。此外,由于在通过Peering连接将给定目标路由到远程VPC时,目标VPC中没有适用于该流量的路由表,因此无法完全配置您正在尝试的设置。只有实例子网可用。路由表仅适用于子网,并且默认路由表仅适用于没有显式分配路由表的子网,而不适用于来自Peering连接的流量。因此,无法将此流量路由回您的实例。这就是为什么硬件VPN、Direct Connect和NAT设备在Peering连接中不可用的原因。根据回答1中提到的,Transit VPC并不是用户所描述的情况。Transit VPC使用AWS VPC硬件VPN连接在分支上,以及在中心的基于EC2的路由器来终止隧道…隧道之间的中转路由是在实例内部完成的,而不是通过VPC网络基础设施完成的。

正文完