Tengo un grupo de servidores web de AWS que necesitarán dedicarse a iniciar y comunicar TCP a través de una VPN a un tercero. No me pregunten por qué una VPN es la solución elegida por terceros; eso está fuera de mi control. Los servidores individuales dentro del grupo no persisten; suben y bajan con lanzamientos. Mientras tanto, el tercero requiere IP estáticas, entre otras cosas.
La idea general es configurar un servidor de puerta de enlace (o, de manera realista, un par de servidores de puerta de enlace para que pueda manejar nuestro ciclo de lanzamiento) como clientes VPN y terminar la VPN allí. Nuestros servidores web sólo conocerán los servidores de puerta de enlace VPN; los servidores de terceros sólo conocerían los servidores de puerta de enlace; los servidores de puerta de enlace transmiten todo en consecuencia, enviándolo a través de VPN o TCP simple, según corresponda.
La pregunta es, por supuesto, cuál es la mejor manera de manejar el relevo. El servidor de puerta de enlace será Ubuntu 12.04 o 14.04. Espero poder manejar esto con UFW y OpenVPN: UFW maneja la redirección de IP y pasa a las interfaces apropiadas, mientras que OpenVPN esencialmente envuelve una interfaz de red. ¿Es este un plan realista?
Respuesta1
La forma correcta de hacer esto es utilizar unVPC de Amazone inicie sus instancias dentro de él, utilizando direcciones privadas: el procedimiento de configuración completo está fuera del alcance de una respuesta de ServerFault, pero su VPC será un área bloqueada de Amazon.
Opcionalmente, puede configurar sus instancias con direcciones IP públicas si necesita que los servidores sean accesibles públicamente, pero su pregunta no menciona la accesibilidad pública.
Una vez que tenga una VPC instalada, puede usarLa conectividad VPN de Amazonpara conectar directamente el enrutador de terceros a Amazon VPC y enrutar estáticamente todo el tráfico para las subredes de su VPC a través del túnel.