2 overlappende LAN subnets koppelen

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • DennusB
  • Registratie: Mei 2006
  • Niet online
Hey Tweakers & Netwerk Guru's,

Ik loop tegen een interessant probleempje aan en kom er niet helemaal uit, dus ik hoop dat hier iemand loopt die me een zetje de goede richting in kan geven.

Dit is wat ik heb :

AWS VPC in range 10.90.0.0/24
Machine in dat VPC : 10.90.0.5/32

Externe partner die moet kunnen verbinden met die machine in mijn VPC maar je raad het al : Hun interne range is OOK 10.90.0.0/24 dus een simpele Site2Site VPN gaat niet lukken.

Wat ik gisteren had bedacht maar wat toch niet blijkt te werken :

Nieuw VPC aanmaken met een ander subnet (192.168.10.0/24) met daarop een Customer Gateway, een Virtual Private Gateway en een AWS Site-To-Site VPN verbinding.
VPN werkt als een trein, de host aan de andere kant krijgt een IP in 192.168.10.0/24, ook dat gaat goed. De vraag is dan alleen, hoe kom ik dan in het 10.90.0.0/24 subnet in AWS? Want de routing tabel op het VPC zegt, al het 10.90.0.0/24 verkeer (van de partner) moet je terug routeren door de VPN tunnel, dus ik kan geen VPC peering neerleggen en het 10.90.0.0/24 AWS verkeer naar dat VPC sturen.

Toen dacht ik : Ik zet er een ALB voor, private pootje in 192.168.10.0/24 en dan maak ik een target group met het IP in 10.90.0.0/24, maar ook dat gaat stuk op routing, hij route het OF naar het andere VPC OF terug de tunnel in...

Iemand hier een fantastisch idee over hoe ik dit zo cloud-native mogelijk kan oplossen?

Alvast enorm bedankt! :>

Owner of DBIT Consultancy | DJ BassBrewer

Alle reacties


Acties:
  • +2 Henk 'm!

  • Equator
  • Registratie: April 2001
  • Laatst online: 15-10 15:45

Equator

Crew Council

#whisky #barista

Dubbele NAT? Dus je pakt een andere range tussen de site2site. Ideaal om aan beide kanten te kunnen bepalen waar de andere partij wel of niet naar toe kan.

Acties:
  • 0 Henk 'm!

  • DennusB
  • Registratie: Mei 2006
  • Niet online
Equator schreef op woensdag 6 maart 2019 @ 09:30:
Dubbele NAT? Dus je pakt een andere range tussen de site2site. Ideaal om aan beide kanten te kunnen bepalen waar de andere partij wel of niet naar toe kan.
Ja, maar volgens mij gaan we dat heel ingewikkeld maken als we dan de Cloud-Native AWS VPN gebruiken, right? Dus dan kunnen we misschien beter een Sophos/Pfsense opspinnen in AWS om dat af te handelen?

Owner of DBIT Consultancy | DJ BassBrewer


Acties:
  • +1 Henk 'm!

Verwijderd

Je zou op zich NAT aan beide kanten van je interconnect-LAN kunnen doen. In de klassieke zin, dus 1:1 adresrange op adresrange vertalen. En dan iets met DNS vertalen er nog tussen, of wilde je alles op IPadres gaan doen?

Maar let even op dat je complexiteit op complexiteit aan het stapelen bent. Ook met een load balancer ertussen. Steeds meer truuks en onderdelen die stuk kunnen gaan. Is het niet gewoon veel handiger om je machientjes naar 10.91.0.0/24 (of 10.90.1.0/24, of wat dan ook. 10/8 is GROOT.) om te nummeren? Of je partner, wie er het minste werk aan heeft. Hoeveel machines gaat het over?

Of je geeft een machine een publiek IPadres, want dat is dan je gegarandeerd uniek adresseerbare interconnect met externe partijen, en alles wat er ge-interconnect moet worden gaat dan via (een poort op) die machine. Daar hebben we publieke IPadressen voor.

Acties:
  • 0 Henk 'm!

  • DennusB
  • Registratie: Mei 2006
  • Niet online
Verwijderd schreef op woensdag 6 maart 2019 @ 09:50:
Je zou op zich NAT aan beide kanten van je interconnect-LAN kunnen doen. In de klassieke zin, dus 1:1 adresrange op adresrange vertalen. En dan iets met DNS vertalen er nog tussen, of wilde je alles op IPadres gaan doen?

Maar let even op dat je complexiteit op complexiteit aan het stapelen bent. Ook met een load balancer ertussen. Steeds meer truuks en onderdelen die stuk kunnen gaan. Is het niet gewoon veel handiger om je machientjes naar 10.91.0.0/24 (of 10.90.1.0/24, of wat dan ook. 10/8 is GROOT.) om te nummeren? Of je partner, wie er het minste werk aan heeft. Hoeveel machines gaat het over?

Of je geeft een machine een publiek IPadres, want dat is dan je gegarandeerd uniek adresseerbare interconnect met externe partijen, en alles wat er ge-interconnect moet worden gaat dan via (een poort op) die machine. Daar hebben we publieke IPadressen voor.
Alles op IP-adres is prima inderdaad. Helaas is ommummeren niet makkelijk te doen, er draait heel veel productie spul op en de partner weigert aan hun kant NAT te doen of hun range aan te passen. Dus we moeten wel iets.

Publiekelijk zou nog een optie zijn, maar dat is iets wat ik ook even moet dubbelchecken met die partner.

Owner of DBIT Consultancy | DJ BassBrewer


Acties:
  • 0 Henk 'm!

  • crazyme2
  • Registratie: Maart 2010
  • Laatst online: 12-10 22:21
Wanneer je slechts een paar doelen hebt kun je ook die doelen een tweede IP-adres geven ?

Acties:
  • +1 Henk 'm!

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 15-10 08:02
als het aantal adressen klein is dat over en weer benaderd moet worden: dubbel NAT + split-DNS, als het "veel" wordt: omnummeren.
en natuurlijk vergt dit een inspanning van beide kanten, als een partner niks wil, zou ik dat het probleem van het management maken ;-)

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

Pagina: 1