Routovani v AWS VPC a Wireguard

Routovani v AWS VPC a Wireguard
« kdy: 30. 08. 2023, 15:24:42 »
Panove potreboval bych poradit, zdali jsem zvolil vhoddne nastaveni v AWS pro propojeni dvou VPC s Wireguard na Mikrotik.

V pronajate kancelari jsem pripojen na router pronajimatele kancelare, verejna IP by byla za priplatek.
Zkusil jsem si tedy zprovaoznit Wireguard mezi Mikrotikem a AWS, kdyz mi tam muze bezet mala instance zdarma.

Sitove jsem si to rozvrhl nasledovne.

Kancelar: 10.1.0.0/24
VPN tunel: 10.100.0.0/24
AWS VPC-wg: 10.2.0.0/16 rozdelene na 3 subnety 1a 10.2.1.0/24 1b 10.2.2.0/24 1c 10.2.3.0/24

V AWS jsem pridal do route table destinaci  10.1.0.0/24 a 10.100.0.0/24  a nastavil target na interface wireguardu.
V SG jsem povolil ping odkudkoliv.
Komunikace pomoci VPN mezi AWS a kancelari mi funguje. Z pocitace v kancelari se dostanu  na instance bezici ve VPC-wg tak i naopak.

Vytvoril jsem si novou VPC-test.
VPC-test: 10.10.0.0/16 rozdelene na 3 subnety 1a 10.10.1.0/24 1b 10.10.2.0/24 1c 10.10.3.0/24
Chtel jsem ji spojit s VPC-wg, abych mohl mit pristup z instance na pocitac v kancelari a naopak.
Pouzil jsem peering connection na propojeni VPC-wg a VPC-test.
Do route table VPC-test jsem pridal rozsahy kancelare a vpn tunelu s tim, ze target je ten ID peering connection.
Z VPC-test si pingnu na instaci v VPC-wg a naopak.

Nefungu je mi ale ping na IP v VPN tunelu ani na IP pocitace v kancelari. Stejne tak nejde ping z kancelare na instanci ve VPC-test.
Tcpdump na rozhranich wireguardu v AWS nezachyti zadny ping, pokud je cilova IP z rozsahu VPN nebo kancelare.

Muj dotaz je, pokud chci aby mi fungovala komunikace z VPC-test pres VPC-wg a wireguard na pocitac v kancelari zvolil jsem spravne pouziti peering connection nebo se to v AWS resi jinak?


Re:Routovani v AWS VPC a Wireguard
« Odpověď #1 kdy: 30. 08. 2023, 20:59:00 »
Vetsina VPN serveru v AWS narazi na to, ze nema nastavene tohle - https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck

Re:Routovani v AWS VPC a Wireguard
« Odpověď #2 kdy: 31. 08. 2023, 05:46:46 »
Vetsina VPN serveru v AWS narazi na to, ze nema nastavene tohle - https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck

To samozrejme mam vypnute, jinak by mi nefungovala komunikace mezi AWS a kancelari. Mam problem, ze mi nefunguje kumunikace z VPC-test do kancelare, pres VPC-wg. Coz bude tim, ze peering nepodporuje to co jsem chtel. V dokumentaci jsem narazil na toto: "VPC B and VPC C can't send traffic directly to each other through a VPC A, because VPC peering does not support transitive peering relationships." Takze ted resim jak to udelat jinak, coz me mrzi pomoci peeringu to vypadalo jako nejednodussi reseni.

Re:Routovani v AWS VPC a Wireguard
« Odpověď #3 kdy: 31. 08. 2023, 10:29:19 »
Píšeš, že si přidal subnet kanceláře v tom VPC test, ale přidal si naopak na tom Mikrotiku subnet VPC test do routingu a tunelu?

Re:Routovani v AWS VPC a Wireguard
« Odpověď #4 kdy: 31. 08. 2023, 13:28:27 »
Píšeš, že si přidal subnet kanceláře v tom VPC test, ale přidal si naopak na tom Mikrotiku subnet VPC test do routingu a tunelu?

Ano, ale bude tim, ze peering connection dle dokumentace: "VPC B and VPC C can't send traffic directly to each other through a VPC A, because VPC peering does not support transitive peering relationships." nepodporuje to co chci.