如何通过VPC/Direct Connect路由VPN网络的流量

【以下的回答经过翻译处理】 据我的理解，您的判断是正确的，但您仍然有一些选项去配置。

让我们假设：

VPC - 10.20.20.0/22

Network Across Direct Connect - 192.168.0.0/16

OpenVPN网络 - 172.16.0.0/24

Direct Connect仅会路由去往/来自VPC CIDR到“跨越Direct Connect”的CIDR的流量。

如果您尝试从172.16.0.0/24发送数据包到本地，则它们将被丢弃。

如果您尝试从192.168.0.0/16发送数据包到172.16.0.0/24，则它们将被丢弃。

您需要在VPC侧运行一个虚拟网关，以连接到直接连接另一侧的网关。这将让您“越过”AWS VGW限制。

如果您的OpenVPN实例上安装了strongswan/libreswan IPsec（使用Linux），则可以连接到Direct Connect上的IPsec设备。您将定义两侧之间的“隧道”，即192.168.0.0/16 - 172.16.0.0/24。然后您的本地可以路由到您的VPN。

如果您的OpenVPN服务器是Linux，则可以使用GRE创建隧道（Layer 2隧道）到Direct Connect对面的路由器/网关，并且两侧都设置指向GRE隧道的静态路由。（请注意，此隧道未加密）

或者使用AWS Marketplace上的任何设备供应商-根据您需要的VPN凭据数量。