¿Cómo puedo configurar la NAT en mi CIDR de VPC para el tráfico que atraviesa una conexión VPN?

3 minutos de lectura

Tengo una conexión VPN de AWS a una VPC administrada por Amazon Virtual Private Cloud (Amazon VPC), donde los CIDR de la red se superponen. Quiero configurar la NAT para mi VPN de AWS.

Breve descripción

AWS VPN no ofrece una opción gestionada para aplicar la NAT al tráfico de VPN. En su lugar, configure la NAT manualmente mediante una solución de VPN basada en software. Hay muchas de estas soluciones de VPN en AWS Marketplace.

La NAT también se puede configurar manualmente en la instancia de Linux de Amazon Elastic Compute Cloud (EC2) que ejecuta una solución de VPN basada en software junto con iptables.

Resolución

En este ejemplo de configuración se utilizan dos VPC. La primera es una VPN gestionada por AWS y la segunda es una solución de VPN basada en software que se utiliza como puerta de enlace de cliente.

Antes de empezar, confirme que ha configurado una conexión de AWS Site-to-Site VPN. A continuación, instale la solución VPN seleccionada en la instancia de Linux de EC2 mediante el administrador de paquetes de su distribución.

Permitir tráfico de VPN

Configure la tabla de enrutamiento de VPC, los grupos de seguridad y las ACL de red para permitir el tráfico de VPN:

1. Introduzca la ruta hacia la red de destino en la tabla de enrutamiento. Configure la interfaz de red elástica de la instancia EC2 de VPN de su software como destino.

2. Confirme que su tabla de enrutamiento tenga una ruta predeterminada con el destino de una puerta de enlace de Internet.

3. Permita el tráfico entrante mediante los puertos UDP 500 (ISAKMP) y 4500 (IPsec NAT-Traversal) en las reglas del grupo de seguridad de la instancia.

4. Desactive las comprobaciones de origen/destino para permitir que la instancia reenvíe paquetes IP.

Configuración de la conexión VPN

Configure la conexión de Site-to-Site VPN para su solución correspondiente. AWS ofrece archivos de configuración de ejemplo descargables según el proveedor y el modelo del dispositivo.

Configuración de iptables

Configure las reglas de iptables para la NAT de origen o la NAT de destino.

Para la NAT de origen, utilice la siguiente cadena y rellene los valores apropiados en lugar de los corchetes:

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

Para la NAT de destino, utilice la siguiente cadena y rellene los valores apropiados en lugar de los corchetes:

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

Para guardar la configuración de iptables en ejecución en un archivo, utilice el siguiente comando:

sudo iptables-save > /etc/iptables.conf

Para cargar esta configuración al arrancar, introduzca la siguiente línea en /etc/rc.local antes de la instrucción exit 0:

iptables-restore < /etc/iptables.conf

Opcional:Pruebe su conexión AWS Site-to-Site VPN. Si la prueba se realiza correctamente, el tráfico se traduce correctamente según la configuración de iptables.

Información relacionada

Instancias NAT

Temas

Redes y entrega de contenido

Etiquetas

AWS Virtual Private Network (VPN)

Idioma

Español

OFICIAL DE AWSActualizada hace 2 años

Contenido relevante

¿Cómo configuro una puerta de enlace de NAT para una subred privada en Amazon VPC?
OFICIAL DE AWSActualizada hace 7 meses
¿Cómo puedo solucionar el error «ErrorPortAllocation» en mi puerta de enlace NAT en Amazon VPC?
OFICIAL DE AWSActualizada hace 6 meses
El túnel VPN entre la puerta de enlace de cliente y la puerta de enlace privada virtual está activo, pero el tráfico no pasa por él. ¿Qué puedo hacer?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo encontrar los principales contribuyentes al tráfico a través de la puerta de enlace NAT en mi Amazon VPC?
OFICIAL DE AWSActualizada hace 6 meses