VPC CIDR에서 VPN 연결을 통과하는 트래픽에 대해 NAT를 구성하려면 어떻게 해야 하나요?

2분 분량

네트워크 CIDR이 겹치는 Amazon Virtual Private Cloud(VPC)에서 관리하는 VPC에 대한 AWS VPN 연결이 있습니다. AWS VPN용 NAT를 구성하고 싶습니다.

간략한 설명

AWS VPN은 VPN 트래픽에 NAT를 적용하는 관리형 옵션을 제공하지 않습니다. 대신 소프트웨어 기반 VPN 솔루션을 사용하여 NAT를 수동으로 구성하면 됩니다. AWS Marketplace에 이러한 VPN 솔루션이 많습니다.

NAT는 iptables와 함께 소프트웨어 기반 VPN 솔루션을 실행하는 Amazon Elastic Compute Cloud(EC2) Linux 인스턴스에서 수동으로 구성할 수도 있습니다.

다음 예제 구성에서는 두 VPC를 사용합니다. 첫 번째는 AWS 관리형 VPN이며 두 번째는 고객 게이트웨이로 사용되는 소프트웨어 기반 VPN 솔루션입니다.

시작하기 전에 AWS Site-to-Site VPN 연결을 설정했는지 확인하세요. 그런 다음, 배포의 패키지 관리자를 사용하여 EC2 Linux 인스턴스에 선택한 VPN 솔루션을 설치합니다.

VPN 트래픽을 허용하도록 VPC 라우팅 테이블, 보안 그룹 및 네트워크 ACL을 구성합니다.

1. 대상 네트워크를 향하는 경로를 라우팅 테이블에 입력합니다. 소프트웨어 VPN EC2 인스턴스의 탄력적 네트워크 인터페이스를 대상으로 설정합니다.

2. 라우팅 테이블에 대상이 인터넷 게이트웨이인 기본 경로가 있는지 확인합니다.

3. 인스턴스의 보안 그룹 규칙에서 UDP 포트 500(ISAKMP) 및 4500(IPsec NAT-Traversal)을 사용하여 인바운드 트래픽을 허용합니다.

4. 인스턴스가 IP 패킷을 전달하도록 소스/대상 확인을 끕니다.

관련 솔루션에 맞게 Site-to-Site VPN 연결을 구성합니다. AWS는 디바이스 공급업체 및 모델에 따라 다운로드 가능한 예제 구성 파일을 제공합니다.

소스 NAT 또는 대상 NAT에 대한 iptables 규칙을 구성합니다.

source NAT에 다음 문자열을 사용하여 괄호 대신에 적절한 값을 입력합니다.

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

destination NAT에 다음 문자열을 사용하여 괄호 대신에 적절한 값을 입력합니다.

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

실행 중인 iptables 구성을 파일에 저장하려면 다음 명령을 사용합니다.

sudo iptables-save > /etc/iptables.conf

부팅 시 이 구성을 로드하려면 /etc/rc.local에서 exit 0 문 앞에 다음 줄을 입력합니다.

iptables-restore < /etc/iptables.conf

선택 사항: AWS Site-to-Site VPN 연결을 테스트합니다. 테스트가 성공하면 iptables 구성에 따라 트래픽이 적절하게 변환됩니다.