从VPC到现场网络的单向VPN连接

Question

我想通过一个VPN连接将一个VPC连接到一个前提服务器。这只需要单向连接(从AWS到前提下，传出)连接，而不是站点到站点.

我已经建立了AWS VPN连接，虚拟专用网关和客户网关(Cisco-ASA).但正如我所发现的，这是双向连接，它要求客户打开对我们的连接，并保持它的打开，以便我们可以有VPN连接到他们。

这是我在AWS端实现的：

https://aws.amazon.com/answers/networking/aws-multiple-vpc-vpn-connection-sharing/

正如我们所发现的对外连接，唯一的方式是思科AnyConnect它意味着在VPC，我们需要一个服务器有思科AnyConnect安装，然后我们将能够建立这个连接。

我想知道在这种情况下是否有更好的方法来拥有单向(传出) VPN连接？(仅从VPC到one)。

任何帮助都将不胜感激。

第二个问题

如果使用AWS的VPN连接连接到我们的数据中心，如何将多个VPC连接到一个VPN连接？我有一个主要的VPC，VPN已经建立在它上，我制作了另一个带有服务器的VPC，并查看了这两个VPC。我的第二台VPC和数据中心没有任何连接。路由表如下所示：

VPN-VPC1 1路由表：

Destination          Target
privateIP(VPC1)       local
0.0.0.0/0             igw
datacenter-network1   vgw
datacenter-network2   vgw
privateIP(VPC2)       pcx

VPC2路由表：(子网关联:10.0.1.0/24)

Destination          Target   
privateIP(VPC2)       local
0.0.0.0/0             igw
privateIP(VPC1)       pcx

数据中心与10.0.1.10/24之间没有连接

我是不是漏掉了什么？

Answer 1

在VPC中没有对所需内容的本地支持。

问题的根源在于，VPC硬件VPN并不是真正为连接第三方网络而设计的。它的设计是为了连接到你的VPC到你的物理数据中心网络--一个可信的连接。VPC VPN连接实际上是完全开放的，只受您的安全组和网络ACL的限制--它没有路由表或它自己的任何筛选，而且还有其他一些限制，因此它实际上不是外部连接的最佳选择。当然，为了连接你的数据中心.太棒了。

正如我们在向外连接时所发现的，唯一的方法是Cisco AnyConnect。

这不是唯一的办法..。但是，它确实必须通过运行EC2 VPN软件的IPSec实例来完成。有三个包我很熟悉，它们都是相似的: openswan，libreswan和strongswan。您可以构建自己的隧道服务器。

如果您使用此路由，要正确配置IP地址有点棘手，但这是一个可行的解决方案。这就是我如何与外部公司建立IPSec的方式。

情况并不相同，但是将您的地址划分为实例的私有IP和实例的弹性IP (EIP)的想法类似于我在两个AWS实例之间的Strongswan VPN隧道不会连接中为“左侧”(按我的惯例)所建议的“左侧”(“我们”侧)：

left=10.10.10.10         # instance private IP of local system
leftsourceip=10.10.10.10 # instance private IP of local system
leftid=203.x.x.x         # elastic IP of local system
leftsubnet=10.x.x.x/xx

或者，AWS市场中可能还有其他产品，它们将为您提供一个终止IPSec隧道的EC2实例.但是没有其他的选择，除非你在AWS之外有一个离站的硬件网关，并且你想要连接VPC硬件VPN连接和你的第三方连接到该设备之外。