Como posso configurar o NAT no meu VPC CIDR para tráfego que atravessa uma conexão VPN?

3 minuto de leitura
0

Eu tenho uma conexão do AWS VPN com uma VPC que é gerenciada pela Amazon Virtual Private Cloud (Amazon VPC), onde os CIDRs da rede se sobrepõem. Quero configurar o NAT para meu AWS VPN.

Breve descrição

O AWS VPN não fornece uma opção gerenciada para aplicar o NAT ao tráfego de VPN. Em vez disso, configure manualmente o NAT usando uma solução VPN baseada em software. Há muitas dessas soluções de VPN no AWS Marketplace.

O NAT também pode ser configurado manualmente na instância Linux do Amazon Elastic Compute Cloud (EC2) que está executando uma solução VPN baseada em software junto com o iptables.

Resolução

Esse exemplo de configuração usa duas VPCs. A primeira é uma VPN gerenciada pela AWS e a segunda é uma solução VPN baseada em software que é usada como gateway do cliente.

Antes de começar, confirme se você configurou uma conexão AWS Site-to-Site VPN. Em seguida, instale a solução VPN selecionada na instância Linux do EC2 usando o gerenciador de pacotes da sua distribuição.

Permitir tráfego de VPN

Configure sua tabela de rotas da VPC, grupos de segurança e ACLs de rede para permitir o tráfego de VPN:

1.    Insira a rota em direção à rede de destino em sua tabela de rotas. Defina a interface de rede elástica da sua instância VPN EC2 de software como destino.

2.    Confirme se sua tabela de rotas tem uma rota padrão com o destino de um gateway da Internet.

3.    Permita o tráfego de entrada usando a porta UDP 500 (ISAKMP) e 4500 (IPsec NAT-traversal) nas regras do grupo de segurança da instância.

4.    Desative as verificações de origem/destino para permitir que a instância encaminhe pacotes IP.

Configurar conexão VPN

Configure a conexão VPN site a site para sua solução relevante. A AWS oferece exemplos de arquivos de configuração que podem ser baixados com base no fornecedor e no modelo do dispositivo.

Configurar iptables

Configure suas regras de iptables para NAT de origem ou NAT de destino.

Para o NAT de origem, use a seguinte string, preenchendo os valores apropriados no lugar dos colchetes:

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

Para o NAT de destino, use a seguinte sequência de caracteres, preenchendo os valores apropriados no lugar dos colchetes:

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

Para salvar a configuração do iptables em execução em um arquivo, use o seguinte comando:

sudo iptables-save > /etc/iptables.conf

Para carregar essa configuração na inicialização, digite a seguinte linha em /etc/rc.local antes da instrução exit 0:

iptables-restore < /etc/iptables.conf

Opcional: Teste sua conexão AWS Site-to-Site VPN. Se o teste for bem-sucedido, o tráfego será traduzido adequadamente com base na configuração do iptables.


Informações relacionadas

Instâncias NAT

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos