Обновлять
AWS только что сняла требование устанавливать пиринг BGP, чтобы использовать встроенное VPN-подключение к Amazon Virtual Private Cloud (VPC) см. раздел Amazon VPC — дополнительные функции VPN:
Теперь вы можете создавать аппаратные VPN-подключения к своему VPC, используя статическую маршрутизацию. Это означает, что вы можете установить подключение с помощью VPN-устройств, не поддерживающих BGP, таких как Cisco ASA и Microsoft Windows Server 2008 R2. Вы также можете использовать Linux для установки аппаратного VPN-подключения к вашему VPC. На самом деле должна работать любая реализация IPSec VPN. [выделено мной]
Изложенная причина этого изменения особо выделяет BGP как прежнее препятствие для внедрения этого в остальном очень привлекательного VPN-подключения к VPC:
Во-первых, BGP может быть сложно настроить и управлять [...]. Во-вторых, некоторые брандмауэры и маршрутизаторы начального уровня поддерживают IPSec, но не поддерживают BGP. Эти устройства очень популярны в корпоративных филиалах. Как я упоминал выше, это изменение резко увеличивает количество VPN-устройств, которые можно использовать для подключения к VPC. [...]
Я не могу не согласиться — соответственно, теперь вы сможете облегчить Openswan (или встроенный стек Linux IPSec) для подключения к соответствующим встроенным функциям IPSec VPC.
Начальный ответ
Соответствующее руководство, основанное на Racoon, доступно по адресу Amazon VPC с Linux. Однако, прежде чем углубляться в это, я настоятельно рекомендую прочитать соответствующую статью Сначала подключитесь к Amazon VPC, хотя бы в разделе Использование Linux в качестве VPN-сервера:
Допустим, вы решили использовать Linux для своего VPN-сервера. Для новичка в IPSec нет очевидных причин, почему это плохая идея. И потому что вскоре можно найти учебник, например http://openfoo.org/blog/amazon_vpc_with_linux.html. кажется возможным выполнить эту задачу. Следуя этому руководству, вы сможете пропинговать два сервера BGP с вашего VPN-сервера. [...] Но после этого у вас начнутся проблемы. Возможно, вы сможете подключиться к серверу в своем VPC. Но есть одна вещь, с которой вы не сможете работать стабильно: подключение из VPC к какому-то серверу в вашей домашней сети 192.168.1.1/24. Это связано с тем, что в Linux реализована реализация IPSec на основе политик. [...]
Следовательно, автор делает вывод:
И последняя и самая важная причина заключается в том, что Openswan не предназначен для такого использования. Злоупотребление программным обеспечением в месте, имеющем отношение к безопасности, не кажется хорошей идеей. [выделено мной]
YMMV как обычно, но вас предупредили ;)
person
Steffen Opel
schedule
12.04.2012