Вопросы Теги

Как настроить AWS VPN <-> Подсеть <-> NAT <-> Интернет

Я установил VPN типа "сеть-сеть" для провайдера связи (для передачи данных по мобильной сети).

У них подсеть 192.168.0.0/21. Он подключен через vgw (виртуальный шлюз) к подсети 10.0.1.0/24. Подсеть подключена к Интернету через igw (Интернет-шлюз).

Таблица маршрутизации подсети теперь выглядит следующим образом: 

10.0.0.0/16 local
0.0.0.0/0 igw-xxx
192.168.0.0/21 vgw-xxx

Пока работает следующее:

  • подключение экземпляров ec2 к Интернету и наоборот
  • подключение экземпляров ec2 к мобильным конечным устройствам и наоборот

Теперь мне нужно разрешить конечному устройству доступ в Интернет.

Я подумал, что мне понадобится шлюз NAT. Поэтому я добавил в подсеть шлюз NAT и заменил igw на nat. Но это привело к исчезновению связи с экземплярами, поскольку он направляет только исходящий трафик (который я позже прочитал в руководстве).

Так какие еще варианты у меня есть?Как мне настроить конечные устройства (Linux) для использования этого шлюза nat.

0
задан 14 June 2019 в 17:29
1 ответ

VPN-подключения VPC не предназначены для такой работы.

Вы не можете направлять трафик на шлюз NAT через пиринговое соединение VPC, соединение Site-to-Site VPN или AWS Прямое соединение. Шлюз NAT не может использоваться ресурсами на другой стороне этих подключений.

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html

Единственный способ все, что находится на другой стороне VPN-соединения, может проходить через VPC, и доступ в Интернет предназначен для реализации решения без сквозного трафика.

Примером этого может быть прокси-сервер Squid HTTP, настроенный на настройки HTTP-прокси клиента. Используя прокси-сервер HTTP, клиент устанавливает соединение с прокси-сервером (на экземпляре EC2) и запрашивает второе соединение с местом назначения. Это два независимых TCP-соединения - устройство на другой стороне VPN, подключающееся к экземпляру EC2, и экземпляр EC2, подключающийся к Интернету. Это работает благодаря двум независимым соединениям. Невозможно направить трафик напрямую от VPN-подключения к шлюзу любого другого типа в VPC - только к целевым объектам EC2 и другим службам на основе ENI, которые явно поддерживают его.

0
ответ дан 23 November 2019 в 23:24

Теги

Похожие вопросы