Ich habe eine AWS-VPN-Verbindung zu einer VPC, die von Amazon Virtual Private Cloud (Amazon VPC) verwaltet wird und in der sich die Netzwerk-CIDRs überschneiden. Ich möchte NAT für mein AWS-VPN konfigurieren.
Kurzbeschreibung
AWS VPN bietet keine verwaltete Option zur Anwendung von NAT auf den VPN-Verkehr. Konfigurieren Sie NAT stattdessen manuell mithilfe einer softwarebasierten VPN-Lösung. Es gibt viele dieser VPN-Lösungen im AWS Marketplace.
NAT kann auch manuell auf der Amazon Elastic Compute Cloud (EC2) Linux-Instance konfiguriert werden, auf der eine softwarebasierte VPN-Lösung zusammen mit iptables ausgeführt wird.
Auflösung
Diese Beispielkonfiguration verwendet zwei VPCs. Das erste ist ein von AWS verwaltetes VPN und das zweite ist eine softwarebasierte VPN-Lösung, die als Kunden-Gateway verwendet wird.
Bevor Sie beginnen, stellen Sie sicher, dass Sie eine AWS Site-to-Site VPN-Verbindung eingerichtet haben. Installieren Sie dann Ihre gewählte VPN-Lösung auf der EC2-Linux-Instance, indem Sie den Paketmanager Ihrer Distribution verwenden.
Zulassen von VPN-Verkehr
Konfigurieren Sie Ihre VPC-Routing-Tabelle, Sicherheitsgruppen und Netzwerk-ACLs, um VPN-Verkehr zuzulassen:
1.Geben Sie die Route zum Zielnetz in Ihre Routing-Tabelle ein. Legen Sie die elastische Netzwerkschnittstelle Ihrer Software-VPN-EC2-Instance als Ziel fest.
2.Stellen Sie sicher, dass Ihre Routing-Tabelle eine Standardroute mit dem Ziel eines Internet-Gateways enthält.
3.Lassen Sie eingehenden Datenverkehr mithilfe der UDP-Ports 500 (ISAKMP) und 4500 (IPSec NAT-Traversal) in den Sicherheitsgruppenregeln der Instance zu.
4.Schalten Sie die Quell-/Zielprüfungen aus, damit die Instance IP-Pakete weiterleiten kann.
Konfigurieren der VPN-Verbindung
Konfigurieren Sie die Site-to-Site VPN-Verbindung für Ihre entsprechende Lösung. AWS bietet herunterladbare Beispielkonfigurationsdateien, die auf dem Gerätehersteller und -modell basieren.
Konfigurieren von iptables
Konfigurieren Sie Ihre iptables-Regeln für Quell-NAT oder Ziel-NAT.
Verwenden Sie für Quell-NAT die folgende Zeichenfolge und geben Sie die entsprechenden Werte anstelle der Klammern ein:
sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>
Verwenden Sie für Ziel-NAT die folgende Zeichenfolge und geben Sie die entsprechenden Werte anstelle der Klammern ein:
sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>
Verwenden Sie den folgenden Befehl, um Ihre laufende iptables-Konfiguration in einer Datei zu speichern:
sudo iptables-save > /etc/iptables.conf
Um diese Konfiguration beim Systemstart zu laden, geben Sie vor der Anweisung exit 0 die folgende Zeile in /etc/rc.local ein:
iptables-restore < /etc/iptables.conf
Optional: Testen Sie Ihre AWS Site-to-Site VPN-Verbindung. Wenn der Test erfolgreich ist, wird der Datenverkehr auf der Grundlage der iptables-Konfiguration entsprechend übersetzt.
Verwandte Informationen
NAT-Instances