Comment configurer NAT sur mon CIDR VPC pour que le trafic traverse une connexion VPN ?

Brève description

Le VPN AWS ne fournit actuellement aucune option gérée pour appliquer NAT au trafic VPN. Configurez plutôt manuellement NAT à l'aide d'une solution VPN logicielle. Il existe de nombreuses solutions VPN sur AWS Marketplace.

Vous pouvez également configurer NAT manuellement sur une instance Linux Amazon Elastic Compute Cloud (EC2) en exécutant une solution VPN basée sur un logiciel avec des iptables.

Solution

Cet exemple de configuration utilise deux VPC. Le premier est un VPN géré par AWS et le second, une solution VPN basée sur un logiciel utilisée en tant que passerelle client.

Avant de commencer, vérifiez que vous avez configuré une connexion VPN AWS Site-to-Site. Ensuite, installez la solution VPN sélectionnée sur l'instance Linux EC2 en utilisant votre gestionnaire de package de distribution.

Autoriser le trafic VPN

Configurez la table de routage VPC, les groupes de sécurité et les listes de contrôle d'accès réseau de manière à autoriser le trafic VPN :

1.    Entrez la route vers le réseau de destination dans votre table de routage. Définissez l'interface réseau Elastic de votre instance EC2 de VPN logiciel en tant que cible.

2.    Confirmez que votre table de routage contient une route par défaut avec une passerelle Internet comme cible.

3.    Autorisez le trafic entrant via les ports UDP 500 (ISAKMP) et 4500 (NAT-Traversal IPsec) dans les règles du groupe de sécurité de l'instance.

4.    Désactivez les contrôles source/destination pour autoriser l'instance à faire suivre les paquets IP.

Configurer la connexion VPN

Configurez la connexion VPN de site à site pour votre solution appropriée. AWS offre des exemples de fichier de configuration que vous pouvez télécharger, basés sur le fournisseur et le modèle de périphérique.

Configurez les iptables

Configurez vos règles iptables pour le NAT source ou le NAT de destination.

Pour un NAT source, utilisez la chaîne suivante, en indiquant les valeurs appropriées à la place des crochets :

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

Pour un NAT de destination, utilisez la chaîne suivante, en indiquant les valeurs appropriées à la place des crochets :

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

Pour enregistrer votre configuration d'iptables en cours d'exécution dans un fichier, utilisez la commande suivante :

sudo iptables-save > /etc/iptables.conf

Pour charger cette configuration au démarrage, entrez la ligne suivante dans /etc/rc.local avant l'instruction exit 0 :

iptables-restore < /etc/iptables.conf

Facultatif : testez votre connexion AWS Site-to-Site VPN. Si le test est réussi, le trafic est correctement traduit en fonction de la configuration iptables.

---

Informations connexes

Instances NAT