如何使用第一个私有中的单个私有和第二个 VPC 中的单个子网为 AWS VPC 对等配置 OpenVPN？

Question

我刚刚在我的账户中安装了来自 AMI Marketplace 的 OpenVPN，并通过 LDAP 连接到 AWS Simple AD。 首先，以下是详细信息：

Bastion Host VPC Name: Bastion-VPC ---> Has single public subnet VPC ID: vpc-01000000000000000 CIDR: 10.236.76.192/26

Private Host VPC Name: Private-Environment-VPC ---> Has single private subnet VPC ID: vpc-02000000000000000 CIDR: 192.168.96.0/20

我已经在两个子网之间建立了 VPC 对等互连。 每当我登录Bastion-VPC任何机器时，我都可以 RDP 到Private-Environment-VPC机器中的任何机器。

我已经在Bastion-VPC安装了 OpenVPN，并且通常可以 RDP 到Bastion-VPC任何机器，但不能 RDP / 连接到Private-Environment-VPC任何机器。

我想解决上述问题 - 使用 OpenVPN 建立与Bastion-VPC和 RDP 与Private-Environment-VPC机器的 VPC 连接。

是否尝试按照以下步骤操作： https : //forums.aws.amazon.com/thread.jspa?messageID=570840和https://openvpn.net/index.php/open-source/documentation/howto.html# redirect ，但没有帮助。

提前致谢。

Answer 1

尝试了N个可用的解决方案后，这里出现了问题：

1-我的OpenVPN已加入AWS Simple AD

2-没有已知方法允许将所有经过身份验证的用户访问连接到其他VPC中托管的专用子网

解

在用户配置文件的“允许”部分中为每个用户添加权限，以允许访问在其他VPC中托管的专用子网。

Answer 2

VPC对等不支持通过网关或专用连接的边缘到边缘路由。

如果对等关系中的任一VPC具有以下连接之一，则无法将对等关系扩展到该连接：

与公司网络的VPN连接或AWS Direct Connect连接通过Internet网关的Internet连接通过NAT设备在私有子网中的Internet连接一个连接到AWS服务的VPC端点； 例如，Amazon S3的终端节点。 （IPv6）ClassicLink连接。 您可以在链接的EC2-Classic实例与VPC对等连接另一侧的VPC中的实例之间启用IPv4通信。 但是，EC2-Classic不支持IPv6，因此您无法将此连接扩展为IPv6通信。 例如，如果VPC A和VPC B被对等，并且VPC A具有这些连接中的任何一个，则VPC B中的实例将无法使用该连接来访问连接另一侧的资源。 同样，连接另一侧的资源无法使用该连接访问VPCB。

要解决此问题，您可以将一个VPC与两个子网一起使用。 一个公共子网和一个私有子网。 将您的堡垒主机放在公共子网中，将其他主机放在私有子网中。 这与您现在执行的操作类似，但是您正在使用子网来分隔公共主机和私有主机，而不是VPC。 在您的公共子网中创建一个VPN。 然后，当您通过VPN登录到堡垒时，您将不需要遍历VPC对等方即可到达专用子网。

资源 https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html