Configuration de la propagation de route pour les serveurs VPN
Un pool d'adresses IPv4 client configuré pour un serveur VPN est divisé en plusieurs plages CIDR de sous-ensemble, puis ajouté aux tables de routage VPC en tant que destination. La zone de table de routage VPC Accepte les routes à partir de contrôle si une table de routage accepte les routes qui ont été ajoutées par le serveur VPN. Vous configurez le serveur VPN pour propager les routes vers cette table de routage.
Lorsque vous créez une table de routage, sélectionnez Serveur VPN dans la zone Accepte les routes à partir de de sorte que les routes du serveur VPN soient propagées. Pour la table de routage par défaut, Serveur VPN est sélectionné par défaut. Vous devez effectuer cette opération dans les cas suivants:
-
Si vous souhaitez accéder à une instance de serveur virtuel dans un sous-réseau à partir d'un client VPN, sélectionnez Serveur VPN pour la table de routage associée à ce sous-réseau.
-
Si vous souhaitez configurer des tables de routage Ingress pour accepter des routes à partir d'un serveur VPN afin que vos clients VPN puissent accéder aux VPC qui sont connectés aux sources de trafic Ingress, sélectionnez Serveur VPN et procédez comme suit:
- Basculez le commutateur Advertise to sur On lors de la sélection d'une source de trafic entrant, telle que Direct Link ou Transit Gateway.
- Lorsque vous créez une route VPN, vous pouvez utiliser l'action Distribuer ou Traduire pour cette route.
A des fins de traitement des incidents, vous pouvez sélectionner ou désélectionner le commutateur Serveur VPN pour vérifier les routes qui ont été ajoutées par le serveur VPN.
Migration VPN for VPC client pour annoncer les routes
Lorsque vous souhaitez vous connecter à partir de votre client VPN à plusieurs VPC connectés via Transit Gateway, vous pouvez définir une route de serveur VPN vers le VPC de destination. Ensuite, vous pouvez utiliser l'action translate
pour convertir l'adresse IP source en adresse IP privée du serveur VPN, ce qui rend l'adresse IP du client VPN invisible. Toutefois, cette action peut introduire un problème de sécurité si vous souhaitez surveiller ou auditer toutes les adresses
IP client qui se connectant.
A partir du 3 mai 2024, ce problème est résolu avec l'utilisation de l'annonce de route pour les serveurs VPN.
Les clients de serveur VPN existants qui utilisent une route de serveur VPN translate
peuvent choisir parmi les options suivantes:
-
Continuez à utiliser l'action
translate
pour votre route de serveur VPN. Il n'y a rien de plus à faire. -
Utilisez l'action
deliver
pour votre route de serveur VPN. Après avoir activé le commutateur Advertise to pour votre serveur VPN, procédez comme suit:- Accédez à la table de routage Ingress dans le VPC où se trouve le serveur VPN.
- Dans la section Source de trafic, basculez Advertise to sur On.
- Supprimez la route de serveur VPN avec l'action
translate
. - Créez une route de serveur VPN avec l'action
deliver
. - Attendez que le statut Advertise de la route indique On dans la table.
Il y a une brève interruption du trafic au cours de ce processus. Par conséquent, vous devez coordonner la migration avec une fenêtre de maintenance afin de réduire les interruptions.