如何使用第一個私有中的單個私有和第二個 VPC 中的單個子網為 AWS VPC 對等配置 OpenVPN？

Question

我剛剛在我的賬戶中安裝了來自 AMI Marketplace 的 OpenVPN，並通過 LDAP 連接到 AWS Simple AD。 首先，以下是詳細信息：

Bastion Host VPC Name: Bastion-VPC ---> Has single public subnet VPC ID: vpc-01000000000000000 CIDR: 10.236.76.192/26

Private Host VPC Name: Private-Environment-VPC ---> Has single private subnet VPC ID: vpc-02000000000000000 CIDR: 192.168.96.0/20

我已經在兩個子網之間建立了 VPC 對等互連。 每當我登錄Bastion-VPC任何機器時，我都可以 RDP 到Private-Environment-VPC機器中的任何機器。

我已經在Bastion-VPC安裝了 OpenVPN，並且通常可以 RDP 到Bastion-VPC任何機器，但不能 RDP / 連接到Private-Environment-VPC任何機器。

我想解決上述問題 - 使用 OpenVPN 建立與Bastion-VPC和 RDP 與Private-Environment-VPC機器的 VPC 連接。

是否嘗試按照以下步驟操作： https : //forums.aws.amazon.com/thread.jspa?messageID=570840和https://openvpn.net/index.php/open-source/documentation/howto.html# redirect ，但沒有幫助。

提前致謝。

Answer 1

嘗試了N個可用的解決方案后，這里出現了問題：

1-我的OpenVPN已加入AWS Simple AD

2-沒有已知方法允許將所有經過身份驗證的用戶訪問連接到其他VPC中托管的專用子網

解

在用戶配置文件的“允許”部分中為每個用戶添加權限，以允許訪問在其他VPC中托管的專用子網。

Answer 2

VPC對等不支持通過網關或專用連接的邊緣到邊緣路由。

如果對等關系中的任一VPC具有以下連接之一，則無法將對等關系擴展到該連接：

與公司網絡的VPN連接或AWS Direct Connect連接通過Internet網關的Internet連接通過NAT設備在私有子網中的Internet連接一個連接到AWS服務的VPC端點； 例如，Amazon S3的終端節點。 （IPv6）ClassicLink連接。 您可以在鏈接的EC2-Classic實例與VPC對等連接另一側的VPC中的實例之間啟用IPv4通信。 但是，EC2-Classic不支持IPv6，因此您無法將此連接擴展為IPv6通信。 例如，如果VPC A和VPC B被對等，並且VPC A具有這些連接中的任何一個，則VPC B中的實例將無法使用該連接來訪問連接另一側的資源。 同樣，連接另一側的資源無法使用該連接訪問VPCB。

要解決此問題，您可以將一個VPC與兩個子網一起使用。 一個公共子網和一個私有子網。 將您的堡壘主機放在公共子網中，將其他主機放在私有子網中。 這與您現在執行的操作類似，但是您正在使用子網來分隔公共主機和私有主機，而不是VPC。 在您的公共子網中創建一個VPN。 然后，當您通過VPN登錄到堡壘時，您將不需要遍歷VPC對等方即可到達專用子網。

資源 https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html