Comment configurer la NAT sur mon CIDR VPC pour le trafic qui passe par une connexion VPN site à site ?

Brève description

AWS VPN ne propose pas d'option gérée pour appliquer une traduction d'adresses réseau (NAT) au trafic VPN.

Pour appliquer la NAT au trafic VPN, effectuez l'une des actions suivantes :

• Utilisez une solution VPN logicielle d'AWS Marketplace pour configurer manuellement la NAT.
• Configurez manuellement la NAT sur une instance Linux Amazon Elastic Compute Cloud (Amazon EC2) qui exécute une solution VPN logicielle et des iptables.

L'exemple de configuration présenté dans la résolution suivante utilise deux VPC. Le premier est un VPN géré par AWS et le second est une solution VPN logicielle que vous pouvez utiliser comme passerelle client.

Important : Pour résoudre le problème de chevauchement des adresses IP, vous devez disposer d'une solution pour la NAT source et la NAT de destination. Les passerelles NAT privées peuvent exécuter la NAT d'adresse IP source, mais elles ne peuvent pas effectuer à la fois la NAT source et la NAT de destination. Cependant, les instances NAT peuvent gérer la NAT source et la NAT de destination en même temps.

Résolution

Autoriser le trafic VPN

Configurez votre table de routage VPC, vos groupes de sécurité et votre liste de contrôle d'accès au réseau (ACL réseau) pour autoriser le trafic VPN.

Procédez comme suit :

1. Dans votre table de routage, créez un itinéraire pour diriger le trafic réseau vers votre réseau de destination. Définissez l'interface réseau Elastic comme destination de votre instance logicielle EC2 Linux.
2. Vérifiez que votre table de routage comporte un itinéraire par défaut avec pour destination une passerelle Internet.
3. Modifiez les règles du groupe de sécurité de votre instance pour autoriser le trafic entrant. Utilisez des paquets UDP sur les ports 500 (ISAKMP) et 4500 (IPsec NAT-Traversal).
4. Désactivez les vérifications de source/destination afin que l'instance puisse transférer des paquets d'adresses IP entre les sous-réseaux de votre VPN.

Configuration de la connexion VPN

1. Configurez une connexion VPN site à site pour votre solution pertinente, si vous n'en utilisez pas déjà une. Vous pouvez télécharger des exemples de fichiers de configuration de VPN site à site.
2. Utilisez le gestionnaire de packages de votre distribution pour installer votre solution VPN sur l'instance Linux EC2.

Remarque : Pour utiliser StrongSwan comme solution VPN, consultez la page vpn-gateway-strongswan sur le site Web de GitHub.

Configurer les iptables

Pour configurer les iptables pour la NAT source, exécutez la commande sudo iptables suivante :

sudo iptables -t nat -A POSTROUTING -d your_destination_address_or_CIDR -j SNAT --to-source your_IP_address

Remarque : Remplacez your_destination_address_or_CIDR par votre adresse de destination ou CIDR et your_IP_address par votre adresse IP.

Pour la NAT de destination, exécutez la commande sudo iptables suivante :

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination your_IP_address

Remarque : Remplacez your_IP_address par votre adresse IP.

Pour enregistrer votre configuration d’iptables en cours d'exécution dans un fichier, exécutez la commande sudo iptables-save suivante :

sudo iptables-save > /etc/iptables.conf

Pour charger votre configuration d’iptables au démarrage, saisissez la ligne suivante dans /etc/rc.local avant l'instruction exit 0 :

sudo iptables-restore < /etc/iptables.conf

Vous pouvez éventuellement tester votre connexion VPN site à site.