Eu tenho uma conexão do AWS VPN com uma VPC que é gerenciada pela Amazon Virtual Private Cloud (Amazon VPC), onde os CIDRs da rede se sobrepõem. Quero configurar o NAT para meu AWS VPN.
Breve descrição
O AWS VPN não fornece uma opção gerenciada para aplicar o NAT ao tráfego de VPN. Em vez disso, configure manualmente o NAT usando uma solução VPN baseada em software. Há muitas dessas soluções de VPN no AWS Marketplace.
O NAT também pode ser configurado manualmente na instância Linux do Amazon Elastic Compute Cloud (EC2) que está executando uma solução VPN baseada em software junto com o iptables.
Resolução
Esse exemplo de configuração usa duas VPCs. A primeira é uma VPN gerenciada pela AWS e a segunda é uma solução VPN baseada em software que é usada como gateway do cliente.
Antes de começar, confirme se você configurou uma conexão AWS Site-to-Site VPN. Em seguida, instale a solução VPN selecionada na instância Linux do EC2 usando o gerenciador de pacotes da sua distribuição.
Permitir tráfego de VPN
Configure sua tabela de rotas da VPC, grupos de segurança e ACLs de rede para permitir o tráfego de VPN:
1. Insira a rota em direção à rede de destino em sua tabela de rotas. Defina a interface de rede elástica da sua instância VPN EC2 de software como destino.
2. Confirme se sua tabela de rotas tem uma rota padrão com o destino de um gateway da Internet.
3. Permita o tráfego de entrada usando a porta UDP 500 (ISAKMP) e 4500 (IPsec NAT-traversal) nas regras do grupo de segurança da instância.
4. Desative as verificações de origem/destino para permitir que a instância encaminhe pacotes IP.
Configurar conexão VPN
Configure a conexão VPN site a site para sua solução relevante. A AWS oferece exemplos de arquivos de configuração que podem ser baixados com base no fornecedor e no modelo do dispositivo.
Configurar iptables
Configure suas regras de iptables para NAT de origem ou NAT de destino.
Para o NAT de origem, use a seguinte string, preenchendo os valores apropriados no lugar dos colchetes:
sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>
Para o NAT de destino, use a seguinte sequência de caracteres, preenchendo os valores apropriados no lugar dos colchetes:
sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>
Para salvar a configuração do iptables em execução em um arquivo, use o seguinte comando:
sudo iptables-save > /etc/iptables.conf
Para carregar essa configuração na inicialização, digite a seguinte linha em /etc/rc.local antes da instrução exit 0:
iptables-restore < /etc/iptables.conf
Opcional: Teste sua conexão AWS Site-to-Site VPN. Se o teste for bem-sucedido, o tráfego será traduzido adequadamente com base na configuração do iptables.
Informações relacionadas
Instâncias NAT