Comment configurer NAT sur mon CIDR VPC pour que le trafic traverse une connexion VPN ?

Dernière mise à jour : 17-07-2018

Brève description

Le VPN AWS ne fournit actuellement aucune option gérée pour appliquer NAT au trafic VPN. À la place, vous pouvez configurer NAT manuellement à l'aide d'une solution VPN basée sur un logiciel (plusieurs options sont disponibles sur AWS Marketplace). Vous pouvez également configurer NAT manuellement sur une instance Linux Amazon Elastic Compute Cloud (EC2) en exécutant une solution VPN basée sur un logiciel avec des iptables.

Résolution

Cet exemple de configuration utilise deux VPC. Le premier est un VPN géré par AWS et le second, une solution VPN basée sur un logiciel utilisée en tant que passerelle client.

Avant de commencer, assurez-vous d'avoir configuré votre connexion VPN AWS. Assurez-vous d'installer la solution VPN choisie sur l'instance Linux EC2 en utilisant votre gestionnaire de package de distribution.

Autoriser le trafic VPN

Configurez la table de routage VPC, les groupes de sécurité et les listes de contrôle d'accès réseau de manière à autoriser le trafic VPN : 

  1. Entrez la route vers le réseau de destination dans votre table de routage. Définissez l'interface réseau Elastic de votre instance EC2 de VPN logiciel en tant que cible.
  2. Assurez-vous que votre table de routage contient une route par défaut avec une passerelle Internet comme cible.
  3. Autorisez le trafic entrant via les ports UDP 500 (ISAKMP) et 4500 (NAT-Traversal IPsec) dans les règles du groupe de sécurité de l'instance.
  4. Désactivez les contrôles source/destination pour autoriser l'instance à faire suivre les paquets IP.

Configurez la connexion VPN

Configurez la connexion VPN en fonction de la solution que vous avez choisie. AWS offre plusieurs exemples de fichier de configuration que vous pouvez télécharger, basés sur le fournisseur et le modèle de périphérique.

Configurez les iptables

Configurez vos règles d'iptables en fonction du type de NAT que vous souhaitez réaliser.

Pour un NAT source, utilisez la chaîne suivante, en indiquant les valeurs appropriées à la place des crochets :

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

Pour un NAT de destination, utilisez la chaîne suivante, en indiquant les valeurs appropriées à la place des crochets :

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

Pour enregistrer votre configuration d'iptables en cours d'exécution dans un fichier, utilisez la commande suivante :

sudo iptables-save > /etc/iptables.conf

Pour charger cette configuration au démarrage, placez la ligne suivante dans /etc/rc.local avant l'instruction exit 0 :

iptables-restore < /etc/iptables.conf

Facultatif : Testez votre connexion VPN AWS. Vous devriez désormais voir que le trafic est traduit de manière appropriée en fonction de la configuration de vos iptables.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?