Обновление
AWS только что отменила требование установить протокол пограничного шлюза (BGP) для использования встроенного VPN-подключения к Amazon Virtual Private Cloud (VPC) , см. Amazon VPC - дополнительные функции VPN :
Теперь вы можете создавать аппаратные VPN-подключения к вашему VPC, используя статические
маршрутизации. Это означает, что вы можете установить соединение, используя VPN
устройства, которые не поддерживают BGP , такие как Cisco ASA и Microsoft
Windows Server 2008 R2 . Вы также можете использовать Linux для установки
Аппаратное VPN-подключение к вашему VPC. Фактически, любой IPSec VPN
реализация должна работать . [Акцент мой]
Обрисованная в общих чертах причина этого изменения особо выделяет BGP в качестве предыдущего барьера для принятия этого в противном случае очень привлекательного соединения VPN с VPC:
Во-первых, BGP может быть трудно настроить и управлять, [...]. Во-вторых, некоторые брандмауэры и начального уровня
Маршрутизаторы поддерживают IPSec, но не BGP. Эти устройства очень популярны в
корпоративные филиалы. Как я уже говорил выше, это изменение
значительно увеличивает количество VPN-устройств, которые могут быть использованы для
подключиться к VPC. [...]
Я не могу не согласиться - соответственно, теперь вы должны иметь возможность подключить Openswan (или встроенный стек Linux IPSec) к соответствующей встроенной функциональности VPC IPSec.
Начальный ответ
Соответствующее руководство, основанное на Racoon , доступно на Amazon VPC с Linux . Однако , прежде чем углубиться в это, я настоятельно рекомендую сначала прочитать справочную статью Подключение к Amazon VPC , хотя бы раздел Использование Linux в качестве VPN-сервера :
Допустим, вы решили использовать Linux для своего VPN-сервера. За
у новичка IPSec нет очевидной причины, что это плохая идея.
И потому, что вскоре можно найти учебник, как
http://openfoo.org/blog/amazon_vpc_with_linux.html кажется возможным
выполнить эту задачу. После этого урока вы сможете
пропингуйте два BGP-сервера с вашего VPN-сервера. [...] Но после этого вы будете
начать попадать в неприятности. Может быть, вы можете подключиться к серверу в
ваш VPC. Но есть одна вещь, с которой вы не сможете работать стабильно:
Подключение от VPC к какому-либо серверу в вашей домашней сети
192.168.1.1/24. Это потому, что в Linux есть реализация IPSec на основе политик. [...]
Следовательно, автор делает вывод:
И последняя и самая важная причина в том, что Openswan не
предназначен для использования таким образом . Злоупотребление программным обеспечением в контексте безопасности
место не кажется хорошей идеей. [Акцент мой]
YMMV как обычно, но вы были предупреждены;)