Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

使用动态广域网地址(LTE、Starlink 等)的站点到站点VPN

0

【以下的问题经过翻译处理】 嗨!我正在尝试在两个没有静态广域网地址的站点之间创建站点到站点 VPN。我的备份计划是在一个具有静态外部IP的EC2实例上创建VPN服务器。

Client VPN端点似乎可行,但我不认为这会起作用,因为我需要在每个站点连接多个网络,无法通过Client VPN端点做NAT。我正在查看有关客户网关(CGW)的文档,并且注意到指定外部IP地址是可选的,所以我希望如果我不指定它,它可以作为客户端连接?如果是这样,我在证书方面遇到了一些问题,我需要帮助,也许我应该为此创建一个专门的帖子。

除了我尝试的方法,还有其他方法吗?还是我应该启动EC2实例,安装我选择的VPN服务器,并以这种方式来尝试?

非常感谢任何帮助!

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon VPCAWS Virtuelles Privates Netzwerk (VPN)
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten16 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 你好,

你是对的,如果你在VPN中使用基于证书的身份验证(而不是PSK),则CGW IP是可选的。也就是说,每次CGW外部(动态IP)更改时,隧道将被关闭,并且需要重新初始化。请注意,从CGW启动隧道仅支持IKEv2。 < https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-options.html>

(可选)客户网关设备外部接口的 IP 地址。

IP 地址必须是静态的。

如果您的客户网关设备位于网络地址转换(NAT)设备后面,请使用NAT设备的IP地址。此外,请确保允许端口500的UDP数据包(以及端口4500,如果正在使用 NAT-traversal)在您的网络和AWS站点到站VPN端点之间传递。有关更多信息,请参阅防火墙规则< https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html#FirewallRules>。

在使用AWS证书管理器Private Certificate Authority的私有证书时,不需要IP地址。

如果你可以进行静态 NAT(1:1)的话,这可能是一种更好的方法,这样CGW外部IP将是静态的。 https://aws.amazon.com/vpn/faqs/

问:我可以在路由器或防火墙后面基于NAT使用客户网关吗?

答:您将使用NAT设备的公共 IP 地址。

希望这对你有所帮助。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt