Hej! Jag har ett Transit Gateway satt upp och fungerar över flera konton. Jag har också ett VPN-anslutning för on-premises som funkar bra.
Jag försöker att definiera en AWS Client VPN och min testning har inte fungerat. Jag skapade slutpunkten i ett konto och medan jag är ansluten till VPN kan jag bara komma åt resurser i den specifika VPC:n. Jag har manuellt skapat rutter, ändrat säkerhetsgrupper och testat allt detta. Det verkar bara fungera för resurser i den specifika VPC:n.
Mitt huvudfråga är- Behöver jag göra konfigurationen av Client VPN-endpoints i VPC:n och kontot där Transit GW är? Jag har inte gjort det eftersom jag har federerat OKTA och vill inte ångra det om jag inte måste. Jag har också inte hittat några specifika detaljer om var VPN-anslutningen bör finnas. Jag har bara sett dokument som säger att man ska lägga till rutter etc.
Någon med erfarenhet av den här typen av setup? Jag är öppen för förslag!
Tack!
Jag tror att vi gör detta genom att peera våra VPC:er och skapa rutter till VPN-subnäten. Det kanske inte är tillräcklig info men kan hjälpa
Vad sägs om VPN-rutter-konfigurationen i VPN-klienten? De på bärbara exempelvis.
Jag hade äntligen ett genombrott på detta!! Jag saknade standardrutterna i VPC:n där klient-VPN var placerad. Jag hade alla rutterna för subnäten i alla konton som gick genom transit-gw men inte standardrutterna. Jag lade till 0.0.0.0/0 till NAT-gw i mitt privata subnet och riktade 0.0.0.0/0 till internet-gw i min publika routningstabell.
Det fixade det! Nu fungerar allt. 
Jag testade precis samma setup för en vecka sedan. I mitt snabba test fungerade allt som förväntat. Jag kunde ansluta till min klient-VPN via split tunneln kopplat till en privat subnet i ett konto, och efter att ha lagt till rutter till VPN-konfigurationen för en privat subnet i ett annat konto kunde jag pinga en EC2-instans via tgwroutingen.
Ja, min bärbara dator visar rutterna på min dator. Jag körde route print och kan se AWS-subnäten pekar till CIDR-GW för klient-VPN-subnätet.
Visar den CIDR för mål-VPC:n? Den i annat konto?
Ja, det gör den. Det är super konstigt. Jag har kollat rutningstabeller, SG och så många andra saker. Det känns som att allt är där, men jag kan inte nå något annat nätverk än klient-VPN VPC.
Visar den CIDR för målvpc:n? Den i annat konto?
Ja, det gör den. Det är super konstigt. Jag har kollat rutningstabeller, SG och så många andra saker. Det känns som att allt är där, men jag kan inte nå något annat nätverk än klient-VPN VPC.
Jag körde wireshark och det verkar som att pingbegäran inte når de andra subnäten. Jag trodde först att den nådde dit men inte kunde svara tillbaka, men det är som om den inte ens gör det.. 