Site-to-site vpn med én region men med forbindelse til forskellige regioner

VPN
1

Jeg har sat en site-to-site vpn op til en transit gateway i us-east-1 og en transit gateway i eu-west-2 med en VPC tilknyttet. Jeg har de to gateways peered, ruten til mit interne netværk er defineret på eu-west-2 VPC’ens routing tabel og på begge transit gateway routing tabeller. Sikkerhedsgrupper er alle konfigureret til at tillade den nødvendige trafik fra mit interne netværk, men jeg kan ikke forbinde til en EC2 instans, jeg har implementeret i eu-west-2 via min site-to-site vpn. Hvis jeg distribuerer en VPC med en EC2-instans i us-east-1 og tilknytter den til transit gatewayen og opsætter de tilsvarende sikkerhedsgrupper og ruter, kan jeg kommunikere med EC2-instansen i eu-west-2. Så jeg formoder, at problemet kan være med site-to-site vpn-konfigurationen, men er ikke sikker. Der er helt sikkert trafik fra mit interne netværk, der går ud via ipsec-interfacet på min firewall, og der er ingen regler, der blokerer for trafik inde i ipsec-tunnelen. Min firewall er opnsense. Ikke sikker på, hvad jeg ellers skal tjekke.

2

Jeg vil tjekke TGW-rutetabellerne ved hvert hop. Min gæt er, at der mangler en rute.

  • Har Transit Gateway Route Table i us-east-1 den rute, der beskriver eu-west-2 VPC’en (med routingmålet, der er den anden eu-west-2 TGW)?
  • Har Transit Gateway Route Table i eu-west-2 den rute, der beskriver dine on-premises netværk (med routingmålet, der er den anden us-east-1 TGW)?
3
  1. transit gateway i us-east-1 har tre ruter
    1. rute 1 er en propagateret rute, der er tilknyttet en VPC i samme region
    2. rute 2 er en statisk rute, tilknyttet den peered transit gateway i EU-west-2
    3. rute 3 er ruten over VPN, der forbinder tilbage til mit interne netværk
  2. transit gateway i eu-west-2 har også tre ruter
    1. rute 1 er en propagateret rute, der er tilknyttet en VPC i samme region
    2. rute 2 er en statisk rute, tilknyttet den peered transit gateway i us-east-1
    3. rute 3 er ruten tilbage til mit interne netværk via den peered transit gateway i us-east-1
4

Baseret på beskrivelsen er den eneste rute, der ikke er eksplicit nævnt, us-east-1 TGW med en rute til eu VPC’en, der peger til den anden TGW. Jeg mistænker, at dit første punkt er det.