Wie kann ich NAT auf meinem VPC-CIDR für Datenverkehr konfigurieren, der über eine VPN-Verbindung läuft?

Lesedauer: 3 Minute

Ich habe eine AWS-VPN-Verbindung zu einer VPC, die von Amazon Virtual Private Cloud (Amazon VPC) verwaltet wird und in der sich die Netzwerk-CIDRs überschneiden. Ich möchte NAT für mein AWS-VPN konfigurieren.

Kurzbeschreibung

AWS VPN bietet keine verwaltete Option zur Anwendung von NAT auf den VPN-Verkehr. Konfigurieren Sie NAT stattdessen manuell mithilfe einer softwarebasierten VPN-Lösung. Es gibt viele dieser VPN-Lösungen im AWS Marketplace.

NAT kann auch manuell auf der Amazon Elastic Compute Cloud (EC2) Linux-Instance konfiguriert werden, auf der eine softwarebasierte VPN-Lösung zusammen mit iptables ausgeführt wird.

Auflösung

Diese Beispielkonfiguration verwendet zwei VPCs. Das erste ist ein von AWS verwaltetes VPN und das zweite ist eine softwarebasierte VPN-Lösung, die als Kunden-Gateway verwendet wird.

Bevor Sie beginnen, stellen Sie sicher, dass Sie eine AWS Site-to-Site VPN-Verbindung eingerichtet haben. Installieren Sie dann Ihre gewählte VPN-Lösung auf der EC2-Linux-Instance, indem Sie den Paketmanager Ihrer Distribution verwenden.

Zulassen von VPN-Verkehr

Konfigurieren Sie Ihre VPC-Routing-Tabelle, Sicherheitsgruppen und Netzwerk-ACLs, um VPN-Verkehr zuzulassen:

1.Geben Sie die Route zum Zielnetz in Ihre Routing-Tabelle ein. Legen Sie die elastische Netzwerkschnittstelle Ihrer Software-VPN-EC2-Instance als Ziel fest.

2.Stellen Sie sicher, dass Ihre Routing-Tabelle eine Standardroute mit dem Ziel eines Internet-Gateways enthält.

3.Lassen Sie eingehenden Datenverkehr mithilfe der UDP-Ports 500 (ISAKMP) und 4500 (IPSec NAT-Traversal) in den Sicherheitsgruppenregeln der Instance zu.

4.Schalten Sie die Quell-/Zielprüfungen aus, damit die Instance IP-Pakete weiterleiten kann.

Konfigurieren der VPN-Verbindung

Konfigurieren Sie die Site-to-Site VPN-Verbindung für Ihre entsprechende Lösung. AWS bietet herunterladbare Beispielkonfigurationsdateien, die auf dem Gerätehersteller und -modell basieren.

Konfigurieren von iptables

Konfigurieren Sie Ihre iptables-Regeln für Quell-NAT oder Ziel-NAT.

Verwenden Sie für Quell-NAT die folgende Zeichenfolge und geben Sie die entsprechenden Werte anstelle der Klammern ein:

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

Verwenden Sie für Ziel-NAT die folgende Zeichenfolge und geben Sie die entsprechenden Werte anstelle der Klammern ein:

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

Verwenden Sie den folgenden Befehl, um Ihre laufende iptables-Konfiguration in einer Datei zu speichern:

sudo iptables-save > /etc/iptables.conf

Um diese Konfiguration beim Systemstart zu laden, geben Sie vor der Anweisung exit 0 die folgende Zeile in /etc/rc.local ein:

iptables-restore < /etc/iptables.conf

Optional: Testen Sie Ihre AWS Site-to-Site VPN-Verbindung. Wenn der Test erfolgreich ist, wird der Datenverkehr auf der Grundlage der iptables-Konfiguration entsprechend übersetzt.

Relevanter Inhalt

Ich sehe in den VPC-Flow-Protokollen für mein öffentliches NAT-Gateway eingehenden Datenverkehr. Akzeptiert mein öffentliches NAT-Gateway eingehenden Datenverkehr aus dem Internet?
AWS OFFICIALAktualisiert vor einem Jahr
Der VPN-Tunnel zwischen meinem Kunden-Gateway und meinem virtuelle privaten Gateway ist aktiv, aber ich kann keinen Datenverkehr durch ihn leiten. Was kann ich tun?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum kann meine Amazon EC2 Instance in einem privaten Subnetz über ein NAT Gateway keine Verbindung zum Internet herstellen?
AWS OFFICIALAktualisiert vor 2 Jahren
Kann ich eine Anwendung, die auf AWS läuft, an ein Zertifikat anheften, das von ACM ausgestellt wurde?
AWS OFFICIALAktualisiert vor einem Jahr