CIDR重叠情况下设置Site to Site VPN连接

0

【以下的问题经过翻译处理】 最近我一直在尝试从AWS VPC子网(10.0.10.0/24)设置S2S VPN连接,连接到本地主机地址(10.0.50.1/32)。由于VPC CIDR(10.0.0.0/16)覆盖了本地主机地址,所以S2S VPN连接一直无法成功建立。我尝试使用虚拟私有网关和中转网关,但是VPC路由表中不能包含任何与其CIDR块相等或更具体的路由。

是否有任何想法,可以在不使用NAT的情况下实现此目标或者是否可能实现?

1 Antwort
0

【以下的回答经过翻译处理】 如果可能的话,强烈建议避免重叠的CIDRs,建议重新划分您的VPC。AWS VGW或TGW不本地支持NAT,这意味着您需要在EC2实例上部署第三方防火墙。

关于VPC路由需要注意的几点 - 您可以自动将VGW VPN路由传播到VPC路由表中,VGW向本地(CGW)宣告完整的VPC CIDR(而不是子集);如果您的VPN配置在TGW上,它不支持路由传播到VPC(不像VGW),您需要在VPC中配置静态路由指向TGW,对于TGW场景,您可以向本地CGW宣告您的VPC CIDR子集,因为这种情况下VPN加密域是由TGW路由表决定的。

无论如何,我建议避免重叠的CIDRs。

profile picture
EXPERTE
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen