Eu tenho um grupo de servidores web da AWS que precisarão entrar no negócio de iniciar e falar TCP através de uma VPN para terceiros. Não me pergunte por que uma VPN é a solução escolhida por terceiros; isso está fora do meu controle. Os servidores individuais do grupo não persistem; eles sobem e descem com lançamentos. Enquanto isso, o terceiro exige IPs estáticos, entre outras coisas.
A ideia geral é configurar um servidor gateway (ou, realisticamente, alguns servidores gateway para que ele possa lidar com nosso ciclo de lançamento) como clientes VPN e encerrar a VPN lá. Nossos servidores web saberiam apenas sobre os servidores gateway VPN; os servidores de terceiros saberiam apenas sobre os servidores gateway; os servidores gateway retransmitem tudo de acordo, enviando-o pela VPN ou TCP simples, conforme apropriado.
A questão é, obviamente, qual a melhor forma de lidar com o relé. O servidor gateway será Ubuntu 12.04 ou 14.04. Espero poder lidar com isso com UFW e OpenVPN - o UFW lida com o redirecionamento de IP e passa para as interfaces apropriadas, enquanto o OpenVPN essencialmente envolve uma interface de rede. Este é um esquema realista?
Responder1
A maneira correta de fazer isso é usar umAmazon VPCe inicie suas instâncias dentro dele, usando endereços privados - o procedimento completo de configuração está fora do escopo de uma resposta ServerFault, mas seu VPC será uma área bloqueada da Amazon.
Opcionalmente, você pode configurar suas instâncias com endereços IP públicos se precisar que os servidores sejam acessíveis publicamente, mas sua pergunta não menciona a acessibilidade pública.
Depois de instalar uma VPC, você pode usarConectividade VPN da Amazonpara conectar diretamente o roteador de terceiros à Amazon VPC e rotear estaticamente todo o tráfego para as sub-redes da sua VPC através do túnel.