我们需要从我们的 AWS VPC 创建站点到站点的 VPN 连接(在本例中,DMZ VPC 专用于此连接并与生产 VPC 对等)。AWS 的 VPC 连接不符合客户要求,因为它要求从客户的 Cisco ASA 发起隧道,而他们希望从我们/AWS 端发起。
我正在考虑使用类似下面的方法来实现此要求。这看起来是一个可行的计划吗?
- 2 个实例的自动缩放组(静态大小),每个实例位于单独的可用区中
- 将从客户列入白名单的池中获取弹性 IP,并由 lambda 函数分配以响应自动缩放事件
- 运行 Openswan 并启动到客户 Cisco ASA 的 VPN 隧道
- 配置为 NAT(这里有关于 iptables 和源/目标检查的好提示:如何配置自定义 NAT 以用于 Amazon VPC)
- VPC 路由表 - 显然,我会添加客户子网通过 VPN/NAT 实例的路由表条目。但是,虽然 AWS 允许同一 CIDR 块有多个路由表条目,但我不知道在这种情况下这是否会按预期工作。(我对此表示怀疑。)同样,我可能会使用 lambda 函数,该函数在当前网关实例终止时更改路由表条目。因此,第二个实例将处于热备用状态,具有实时 VPN 隧道,但在路由表更新之前不会接收流量。
- 显而易见的(我希望)网络安全设置:网络 ACL 和安全组规则限制对客户 Cisco ASA IP 的公共访问
答案1
该计划看起来很有希望,因为 AWS 端不充当发起者,因此使用 Openswan 是一个您可以作为发起者的选项。