Как настроить OpenVPN для пиринга AWS VPC с одним частным в 1-й и одной подсети во 2-м VPC?

Я только что установил OpenVPN из AMI Marketplace в свою учетную запись и подключился через LDAP к AWS Simple AD. Для начала вот подробности ниже:

Bastion Host VPC Name: Bastion-VPC ---> Has single public subnet VPC ID: vpc-01000000000000000 CIDR: 10.236.76.192/26

Private Host VPC Name: Private-Environment-VPC ---> Has single private subnet VPC ID: vpc-02000000000000000 CIDR: 192.168.96.0/20

Я установил VPC Peering между обеими подсетями. Каждый раз, когда я вхожу в систему на любой машине в Bastion-VPC, я могу подключиться по протоколу RDP к любой машине в Private-Environment-VPC машинах.

Я установил OpenVPN в Bastion-VPC и обычно могу подключаться по протоколу RDP к любым машинам внутри Bastion-VPC, но не могу подключаться по протоколу RDP / подключаться к каким-либо машинам в Private-Environment-VPC.

Я хочу решить указанную выше проблему - установить соединение VPC с Bastion-VPC и RDP с машинами в Private-Environment-VPC, используя OpenVPN.

Did попытался выполнить шаги, указанные на странице https://forums.aws.amazon.com/thread.jspa?messageID=570840 и https://openvpn.net/index.php/open-source/documentation/howto.html#redirect, но без помощи.

Заранее спасибо.


amazon-web-services amazon-vpc openvpn aws-vpc
person Sanket Tarun Shah    schedule 03.10.2018    source источник

Ответы (2)


arrow_upward
-1
arrow_downward

Попробовав N доступных решений, возникла проблема:

1 - Мой OpenVPN был присоединен к AWS Simple AD

2 - Не было известного способа разрешить доступ всем аутентифицированным пользователям для подключения к частной подсети, размещенной в другом VPC.

Решение

Добавьте разрешения для каждого пользователя в разделе «Разрешить кому» для профиля пользователя, чтобы разрешить доступ к частной подсети, размещенной в другом VPC.

person Sanket Tarun Shah    schedule 06.10.2018
comment
Означает ли это, что вы успешно подключаетесь к серверу OpenVPN в VPC A и оттуда можете получать доступ к учетным записям в VPC B через VPC Peering? У меня та же цель, и мне любопытно, возможно ли это. (Многие ответы, такие как ответ кенлука, указывают на то, что это невозможно, но я недостаточно хорошо понимаю терминологию, чтобы быть уверенным.) - person Hervian; 25.11.2018

arrow_upward
-2
arrow_downward

Пиринг VPC не поддерживает маршрутизацию от края до границы через шлюз или частное соединение.

Если какой-либо VPC в пиринговых отношениях имеет одно из следующих подключений, вы не можете расширить пиринговые отношения на это соединение:

VPN-подключение или подключение AWS Direct Connect к корпоративной сети. Подключение к Интернету через интернет-шлюз. Подключение к Интернету в частной подсети через устройство NAT. Конечная точка VPC к сервису AWS; например, конечная точка для Amazon S3. (IPv6) Подключение ClassicLink. Вы можете включить связь IPv4 между связанным экземпляром EC2-Classic и экземплярами в VPC на другой стороне однорангового соединения VPC. Однако IPv6 не поддерживается в EC2-Classic, поэтому вы не можете расширить это соединение для связи IPv6. Например, если VPC A и VPC B являются одноранговыми и VPC A имеет какое-либо из этих соединений, то экземпляры в VPC B не могут использовать соединение для доступа к ресурсам на другой стороне соединения. Точно так же ресурсы на другой стороне соединения не могут использовать соединение для доступа к VPC B.

Чтобы обойти эту проблему, вы можете использовать одну VPC с двумя подсетями. Одна общедоступная подсеть и одна частная подсеть. Поместите ваш хост Bastion в общедоступную подсеть, а другие ваши хосты в частную подсеть. Это похоже на то, что вы делаете сейчас, но вы используете подсети для разделения общедоступных и частных хостов вместо VPC. Создайте VPN в своей общедоступной подсети. Затем, когда вы входите в свой Bastion через VPN, вам не нужно будет проходить через VPC Peer, чтобы попасть в частную подсеть.

Ресурс https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html

person kenlukas    schedule 03.10.2018