Как настроить OpenVPN для пиринга AWS VPC с одной частной в 1-й и одной подсетью во 2-м VPC?

Question

Я только что установил OpenVPN из AMI Marketplace в своей учетной записи и подключился через LDAP к AWS Simple AD.Для начала вот подробности ниже:

Bastion Host VPC Name: Bastion-VPC ---> Has single public subnet VPC ID: vpc-01000000000000000 CIDR: 10.236.76.192/26

Private Host VPC Name: Private-Environment-VPC ---> Has single private subnet VPC ID: vpc-02000000000000000 CIDR: 192.168.96.0/20

Я установил пиринг VPC между обеими подсетями.Всякий раз, когда я подключаюсь к любой машине в Bastion-VPC, я могу RDP к любой машине в Private-Environment-VPC машинах.

Я установил OpenVPN в Bastion-VPC и обычно могу RDP к любым машинам в Bastion-VPC,но не может RDP / подключиться к каким-либо машинам в Private-Environment-VPC.

Я хотел бы решить вышеупомянутую проблему - установить подключение VPC к Bastion-VPC и RDP к машинам в Private-Environment-VPC с использованием OpenVPN.

Пытался выполнить шаги, отмеченные в: https://forums.aws.amazon.com/thread.jspa?messageID=570840 и https://openvpn.net/index.php/open-source/documentation/howto.html#redirect,, но не помогло.

Заранее спасибо.

Answer 1

После попытки N числа доступных решений возникает проблема:

1 - Мой OpenVPN был присоединен к AWS Simple AD

2 - Не было никакого известного способа разрешить доступ всем аутентифицированным пользователям для подключения к частной подсети, размещенной в других VPC

Решение

Добавить разрешения для каждого пользователя в разделе «Разрешить» дляПрофиль пользователя, разрешающий доступ к частной подсети, размещенной в другом VPC.

Answer 2

VPC Peering не поддерживает сквозную маршрутизацию через шлюз или частное соединение.

Если какой-либо VPC в одноранговом отношении имеет одно из следующих соединений, вы не можете расширить одноранговое отношение до этогоподключение:

подключение VPN или подключение AWS Direct Connect к корпоративной сети; подключение к Интернету через шлюз Интернета; подключение к Интернету в частной подсети через устройство NAT. Конечная точка VPC для службы AWS;например, конечная точка для Amazon S3.(IPv6) Соединение ClassicLink.Вы можете включить связь IPv4 между связанным экземпляром EC2-Classic и экземплярами в VPC на другой стороне пирингового соединения VPC.Однако IPv6 не поддерживается в EC2-Classic, поэтому вы не можете расширить это соединение для связи IPv6.Например, если VPC A и VPC B являются одноранговыми, а VPC A имеет какое-либо из этих соединений, то экземпляры в VPC B не могут использовать соединение для доступа к ресурсам на другой стороне соединения.Аналогично, ресурсы на другой стороне соединения не могут использовать это соединение для доступа к VPC B.

Чтобы обойти эту проблему, можно использовать одну VPC с двумя подсетями.Одна общедоступная подсеть и одна частная подсеть.Разместите хост Bastion в общедоступной подсети, а остальные узлы в частной подсети.Это похоже на то, что вы делаете сейчас, но вы используете подсети для разделения общедоступных и частных хостов вместо VPC.Создайте VPN в вашей общедоступной подсети.Затем, когда вы войдете в свой Bastion через VPN, вам не нужно будет проходить через VPC Peer, чтобы попасть в частную подсеть.

Resource https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html