web-dev-qa-db-ja.com

VPCからオンプレミスネットワークへの一方向VPN接続

1つのVPN接続を介してVPCをオンプレミスサーバーに接続したい。これは、サイト間ではなく、一方向(AWSからオンプレミス、発信)接続である必要があります。

AWS VPN接続、仮想プライベートゲートウェイ、カスタマーゲートウェイ(Cisco-ASA)をセットアップしました。しかし、私が見つけたように、それは双方向接続であり、私たちがVPN接続できるように、お客様は私たちに向かって接続を開き、開いたままにしておく必要があります。

これは私がAWS側で実装したものです:

https://aws.Amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/

発信接続で見つかったように、唯一の方法はVPCでのCisco AnyConnectです。CiscoAnyConnectがインストールされているサーバーが必要です。そうすれば、この接続を確立できます。

この場合、一方向(発信)VPN接続を確立するためのより良い方法があるかどうか疑問に思っていますか?(VPCからオンプレミスへのみ)

どんな助けでもいただければ幸いです。

2番目の質問

AWSのVPN接続を使用してデータセンターに接続する場合、マルチVPCを1つのVPN接続に接続するにはどうすればよいですか? VPNが確立されているメインVPCが1つあり、サーバーを含む別のVPCを作成して、2つのVPCをピアリングしました。 2番目のVPCからデータセンターへの接続がありません。ルートテーブルは次のようになります。

VPN-VPC1ルートテーブル:

Destination          Target
privateIP(VPC1)       local
0.0.0.0/0             igw
datacenter-network1   vgw
datacenter-network2   vgw
privateIP(VPC2)       pcx

VPC2ルートテーブル:(サブネットアソシエーション:10.0.1.0/24)

Destination          Target   
privateIP(VPC2)       local
0.0.0.0/0             igw
privateIP(VPC1)       pcx

データセンターと10.0.1.10/24の間に接続はありません

ここで何かが足りませんか?

2
Matrix

VPCには、必要なものに対するネイティブサポートはありません。

問題の根本は、 VPCのハードウェアVPN が実際にはサードパーティネットワークへの接続用に設計されていないことです。これは、VPCをあなたの物理データセンターネットワーク(信頼できる接続)に相互接続するように設計されています。 VPC VPN接続は事実上広く開かれており、セキュリティグループとネットワークACLの制限のみが適用されます。ルートテーブルや独自のフィルタリングがなく、その他の制限があるため、実際には最適ではありません。外部接続の選択。もちろん、データセンターへの接続には...優れています。

発信接続で見つかったように、唯一の方法はCiscoAnyConnectです。

それが唯一の方法ではありません...しかし、IPSecVPNソフトウェアを実行しているEC2インスタンスで実行する必要があります。私がよく知っているパッケージは3つあり、それらはすべて類似しています。openswan、libreswan、strongswanです。独自のトンネルサーバーを構築できます。

このルートを使用する場合、IPアドレスを正しく構成するのは少し難しいですが、実行可能なソリューションです。これが私が外部企業とIPSecを確立する方法です。

状況は同じではありませんが、アドレスがインスタンスのプライベートIPとインスタンスのElastic IP(EIP)に分割されるという考えは、私が「左側」(「私たち」側)に提案したものと似ています。コンベンション)in 2つのAWSインスタンス間のStrongswan VPNトンネルは接続されません

left=10.10.10.10         # instance private IP of local system
leftsourceip=10.10.10.10 # instance private IP of local system
leftid=203.x.x.x         # elastic IP of local system
leftsubnet=10.x.x.x/xx

あるいは、 AWS Marketplace には、IPSecトンネルを終了するEC2インスタンスを提供する他のオファリングがおそらくあります...しかし、外部にオフサイトのハードウェアゲートウェイがない限り、他の選択肢はありませんAWSの場合、そのデバイスからVPCハードウェアVPN接続とサードパーティ接続の両方を話したいと考えています。

1