Utilisant AWS VPN Pour l'accès client à l'application Web interne

1) Dois-je faire de la publicité ou la distribution CIDR Dans le réseau client, et comment puis-je le faire?

Si VPN Il y a un routage dynamique, cela signifie qu'il est configuré pour BGP, alors CIDR pour VPC Doit être automatiquement déclaré.

2) Comment rediriger l'adresse IP disponible sur le client dans cette plage à l'adresse IP interne dans VPC, contenant une application Web?

C'est là que votre plan s'effondre.

Au trafic traversé la frontière VPC, W. VPC Il doit y avoir une connexion par des pairs. Les connexions de pirogging ne prennent pas en charge le trafic de transit.

Si seulement VPC Dans la connexion peering, possède l'une des connexions suivantes, vous ne pouvez pas développer l'attitude entre les pairs à trouver à ce composé:

• Connexion VPN [...]

http://docs.aws.amazon.com/Ama ... .html
Connexion VPN avec VPC B n'a pas accès aux ressources dans VPC A, même quand A et B Sont dans un réseau peer-to-peer.

Mais, comme le montre le moment suivant, c'est aussi bon.

3) Et après cela, comment puis-je appliquer un groupe de sécurité à cette connexion VPN pour limiter l'accès à cette adresse IP?

Vous ne pouvez pas. Connexions VPN fournies VPC, En substance, ils sont fiables. Ils sont autorisés à accéder à une instance de VPC, où le groupe de sécurité sur l'instance permet cet accès, ce qui signifie que toutes vos copies, y compris les adresses IP privées, doivent être correctement protégées par leurs groupes de sécurité, car la connexion VPC VPN Ouvre un grand trou dans le pare-feu pour ce composé de confiance.

mais ... Vous n'avez pas ce problème parce que vous avez créé un nouveau VPC Pour interagir avec le client, et il ne peut pas passer par votre connexion à la fois dans la principale VPC.

Résoudre le problème au paragraphe 2 est de configurer le serveur proxy dans VPC B. Configurez son groupe de sécurité pour permettre l'accès à l'adresse IP autorisée du client, qui décide 3, Depuis dans ce VPC Il n'y a plus rien. Diriger le serveur proxy au service réel de VPC A et permettre à son adresse IP d'avoir accès au service via le groupe de sécurité approprié dans VPC A.

Ou je me trompe?

Peut-être. :) Un service VPN, B. B. intégré VPC, Il semble que cela soit conçu pour se connecter à des réseaux entièrement confiants.

Dans mon infrastructure, je n'ai qu'une seule connexion VPN au réseau du client, mais dans ce cas tout le monde VPC Situé dans un compte séparé AWS et a une infrastructure allouée à ce client.

Dans tous les autres cas quand j'ai un tunnel IPSec dans / Depuis le réseau client, je n'utilise pas l'offre VPN de VPC, Comme vous pouvez le voir ci-dessus, ce n'est vraiment pas parfait pour cela. Au lieu de cela, je complète le tunnel sur l'instance EC2 avec une adresse IP élastique en cours d'exécution Linux, Openswan et HAProxy.

La numérotation du réseau n'a pas d'importance car je attribue une adresse sans conflit à l'interface de retour secondaire sur l'instance de passerelle et l'attache à celle-ci. HAProxy. Indépendamment de l'accès à LDAP Ou le service http du client ou ils se tournent vers l'une des miennes, mes machines voient l'adresse IP habituelle du proxy attribué à l'instance. VPC, Mais le réseau du client voit une fausse adresse non conflictuelle utilisée par le proxy pour écouter des connexions clientes ou établir des connexions sortantes au client à l'intérieur du tunnel. IPSec.

Ainsi, entre mon réseau VPC et le client n'existe pas de routage IP réel - Les connexions TCP bilatérales prises en charge par le serveur proxy sur le serveur Gateway sont le seul chemin du réseau sur le réseau, dans un tel scénario. ... Au fait, cela fonctionne bien sur l'instance de classe t2.nano par 5 dollars par mois.