Ho una connessione VPN AWS a un VPC gestito da Amazon Virtual Private Cloud (Amazon VPC) in cui i CIDR di rete si sovrappongono. Voglio configurare NAT per la mia VPN AWS.
Breve descrizione
AWS VPN non fornisce un'opzione gestita per applicare il NAT al traffico VPN. Configura invece manualmente il NAT utilizzando una soluzione VPN basata su software. Esistono molte di queste soluzioni VPN in AWS Marketplace.
NAT può anche essere configurato manualmente sull'istanza Linux di Amazon Elastic Compute Cloud (EC2) che esegue una soluzione VPN basata su software insieme a iptables.
Risoluzione
Questa configurazione di esempio utilizza due VPC. La prima è una VPN gestita da AWS e la seconda è una soluzione VPN basata su software che viene utilizzata come gateway del cliente.
Prima di iniziare, conferma di aver configurato una connessione VPN da sito a sito AWS. Quindi, installa la soluzione VPN selezionata sull'istanza Linux EC2 utilizzando il gestore di pacchetti della tua distribuzione.
Consenti il traffico VPN
Configura la tabella di routing VPC, i gruppi di sicurezza e gli ACL di rete per consentire il traffico VPN:
-
Inserisci il percorso verso la rete di destinazione nella tabella di routing. Imposta come destinazione l'interfaccia di rete elastica dell'istanza EC2 VPN del tuo software.
-
Verifica che la tabella di routing abbia un percorso predefinito con come destinazione un gateway Internet.
-
Consenti il traffico in entrata utilizzando la porta UDP 500 (ISAKMP) e 4500 (attraversamento NAT IPsec) nelle regole del gruppo di sicurezza dell'istanza.
-
Disattiva i controlli di origine/destinazione per consentire all'istanza di inoltrare pacchetti IP.
Configurazione della connessione VPN
Configura la connessione VPN da sito a sito per la tua soluzione pertinente. AWS offre file di configurazione di esempio scaricabili in base al fornitore e al modello del dispositivo.
Configurare iptables
Configura le tue regole iptables per il NAT di origine o il NAT di destinazione.
Per il NAT di origine, usa la seguente stringa, inserendo i valori appropriati al posto delle parentesi:
sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>
Per il NAT di destinazione, usa la seguente stringa, inserendo i valori appropriati al posto delle parentesi:
sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>
Per salvare la configurazione di iptables in esecuzione in un file, usa il seguente comando:
sudo iptables-save > /etc/iptables.conf
Per caricare questa configurazione all'avvio, inserisci la riga seguente in /etc/rc.local prima dell'istruzione exit 0:
iptables-restore < /etc/iptables.conf
Facoltativo:Testa la tua connessione VPN da sito a sito di AWS. Se il test ha esito positivo, il traffico viene tradotto in modo appropriato in base alla configurazione di iptables.
Informazioni correlate
Istanze NAT