OpenBGPD + NAT - Как правильно?

warpil

Как можно сделать следующее:
У меня есть АС , бегущая на pFsense - обмен приватными сетями между моей сетью и AWS через DirectConnect
Через нее анонсируются сейчас только приватные сети (ко мне 172.32.0.0.16), от меня мои приватные (10.9.15.0/24, 10.9.107.0/24)
Я хочу сделать публичные сети амазона через этот же дайрект коннект.
Но, т.к. это паблик сети - мне нужно НАТить.
Я не совсем понимаю на какой интерфес и что натить? Т.е. если просто указать весь траффик уходящий с интерфейса, который подключен к AWS - bce2 - то тогда не будут работать приватные сети …
Я думал указать как исключение - НЕ натить то, что идет в прайват сеть - в 172.32.0.0/16 , а все остальное да ...
Есть какой-то более правильный вариант? Может есть какие-то настройки для опенбгпд ?

werter

Добрый.
Как я понял, вы же добиваетесь шифрования трафика, к-ый идет из ваших сетей в сеть AWS?
Настройте ipsec\openvpn между пф и AWS (в AWS есть готовый образ pfsense\opnsense, если надо)
После настройте quagga на пф, к-ая будет автоматом заворачивать трафик, идущий из локал. сетей в AWS в этот туннель.

https://forum.pfsense.org/index.php?topic=147257.0

warpil

Нет, это идет напрямую, через DirectConnect - обычная связность двух АС и BGP

Просто мне, для доступа к публичной части амазона через DirectConnect вначале занатить. Но, я не знаю какие сети там лежат на том конце, я их получаю по BGP.
Соответсвенно я не могу сказать - что для 0.0.0.0 (интернета) натить на публичный айпи провайдера и интерфейс bce2 , а для всего что получаю от амазона под айпи который выдал мне амазон ..

werter

Как я понял, здесь http://www.1strategy.com/blog/2017/08/29/tutorial-using-pfsense-as-a-vpn-to-your-vpc/ настроено так, что в туннель уходят только приватные сети, к-ые вещает AWS. Все остальное уходит в шлюз по умолчанию.

warpil

У меня не туннелем, у меня DirectConnect - напрямую мимо интернета сразу в VPC амазона.
Они поверх этого соединения умеют и паблик и прайват пробрасывать. Но на моей стороне есть только прайват сети . И мне нужно натиться, но не под паблик айпи, а под паблик айпи, который выдал амазон

ComProf

сети которые лежат на том конце
разберетесь, думаю.
после того как закончите, прошу модераторов убить ссылку.
она кстати есть в оф мануале.
курим
ну а это после того как разберетесь с айпи
рус частично
в принципе все более менее хорошо документировано. дел с амазоном не имел, тонкостей не знаю но и их очень много в мануале.

Вопрос: Какие технические требования предъявляются к виртуальным интерфейсам для VPC?

Данное подключение требует использования протокола пограничной маршрутизации (BGP). Для совершения подключения вам потребуется следующая информация.

    Публичный или частный ASN. Если вы используете публичный ASN, вы должны быть его владельцем. Если вы используете частный ASN, он должен находиться в диапазоне от 64512 до 65535.
    Новый неиспользованный тег VLAN по вашему выбору.
    ID виртуального частного шлюза (VGW) VPC

AWS выделит частные IP-адреса (/30) в диапазоне 169.x.x.x для сеанса BGP и будет транслировать блок бесклассовой адресации VPC через BGP. Вы можете транслировать маршрут по умолчанию через BGP.

То есть создаем новій вирт. интерфейс, настраиваем опен бгп на свой диапазон адресов. На чужой не выйдет. шлюз по умолчанию и вперед… если нужно указать определенные сети ходящие через этот интерфейс то придется долго писать кучу правил с алиасами сетей