跨AWS区域的OpenVPN路由

Question

我在爱尔兰和悉尼都有一个拥有VPC的AWS账户，它们通过VPC对等连接。

我有2台Windows服务器，其中一台在爱尔兰，一台在悉尼，都在一个专用子网中。从爱尔兰的服务器，我可以使用专用地址将RDP路由到悉尼的服务器，因此我的VPC对等服务器正在工作。

要连接到爱尔兰服务器，我在公共子网中有一个OpenVPN服务器，该服务器在客户端计算机上连接OpenVPN客户端。连接后，我可以将RDP连接到爱尔兰服务器。一切都很好。

我正在尝试使用路由客户端->爱尔兰-> VPC链接->悉尼从我的客户端计算机连接到悉尼服务器。

我已经通过我的OpenVPN配置推送了路由，这意味着，当我ping Sydney服务器时，它现在通过VPN而不是我的家庭路由器通过，但是在第一跳之后超时。

C:\Windows\system32>tracert -d 10.150.224.50

Tracing route to 10.150.224.50 over a maximum of 30 hops

  1    26 ms    25 ms    25 ms  10.41.0.1
  2     *        *        *     Request timed out.

我不知道那跳之后发生的事情，还有可能我的OpenVPN中缺少一些配置。任何帮助/指导将不胜感激！

Answer 1

很遗憾，您无法在 AWS 中做您想做的事。

根据 AWS docs，这是一个无效的配置：

通过网关或专用连接进行边缘到边缘路由

如果对等关系中的任一 VPC 具有以下连接之一，则您无法将对等关系扩展到该连接：

• 与公司网络的 VPN 连接或 AWS Direct Connect 连接
• 通过互联网网关的互联网连接
• 通过 NAT 设备在私有子网中建立互联网连接
• AWS 服务的网关 VPC 端点；例如，Amazon S3 的端点。

例如，如果 VPC A 和 VPC B 是对等连接，并且 VPC A 具有这些连接中的任何一个，则 VPC B 中的实例无法使用该连接访问连接另一端的资源。同样，连接另一端的资源也无法使用该连接访问 VPC B。

您有两个选择：

• 将您的 OpenVPN 服务器配置为执行 NAT 而不是路由，从而“隐藏”连接的真实源 IP
• 与悉尼地区的另一个 OpenVPN 服务器建立另一个 VPN 连接