Come posso configurare NAT sul mio VPC CIDR per il traffico che attraversa una connessione VPN?

3 minuti di lettura

Ho una connessione VPN AWS a un VPC gestito da Amazon Virtual Private Cloud (Amazon VPC) in cui i CIDR di rete si sovrappongono. Voglio configurare NAT per la mia VPN AWS.

Breve descrizione

AWS VPN non fornisce un'opzione gestita per applicare il NAT al traffico VPN. Configura invece manualmente il NAT utilizzando una soluzione VPN basata su software. Esistono molte di queste soluzioni VPN in AWS Marketplace.

NAT può anche essere configurato manualmente sull'istanza Linux di Amazon Elastic Compute Cloud (EC2) che esegue una soluzione VPN basata su software insieme a iptables.

Risoluzione

Questa configurazione di esempio utilizza due VPC. La prima è una VPN gestita da AWS e la seconda è una soluzione VPN basata su software che viene utilizzata come gateway del cliente.

Prima di iniziare, conferma di aver configurato una connessione VPN da sito a sito AWS. Quindi, installa la soluzione VPN selezionata sull'istanza Linux EC2 utilizzando il gestore di pacchetti della tua distribuzione.

Consenti il traffico VPN

Configura la tabella di routing VPC, i gruppi di sicurezza e gli ACL di rete per consentire il traffico VPN:

Inserisci il percorso verso la rete di destinazione nella tabella di routing. Imposta come destinazione l'interfaccia di rete elastica dell'istanza EC2 VPN del tuo software.
Verifica che la tabella di routing abbia un percorso predefinito con come destinazione un gateway Internet.
Consenti il traffico in entrata utilizzando la porta UDP 500 (ISAKMP) e 4500 (attraversamento NAT IPsec) nelle regole del gruppo di sicurezza dell'istanza.
Disattiva i controlli di origine/destinazione per consentire all'istanza di inoltrare pacchetti IP.

Configurazione della connessione VPN

Configura la connessione VPN da sito a sito per la tua soluzione pertinente. AWS offre file di configurazione di esempio scaricabili in base al fornitore e al modello del dispositivo.

Configurare iptables

Configura le tue regole iptables per il NAT di origine o il NAT di destinazione.

Per il NAT di origine, usa la seguente stringa, inserendo i valori appropriati al posto delle parentesi:

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

Per il NAT di destinazione, usa la seguente stringa, inserendo i valori appropriati al posto delle parentesi:

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

Per salvare la configurazione di iptables in esecuzione in un file, usa il seguente comando:

sudo iptables-save > /etc/iptables.conf

Per caricare questa configurazione all'avvio, inserisci la riga seguente in /etc/rc.local prima dell'istruzione exit 0:

iptables-restore < /etc/iptables.conf

Facoltativo:Testa la tua connessione VPN da sito a sito di AWS. Se il test ha esito positivo, il traffico viene tradotto in modo appropriato in base alla configurazione di iptables.

Informazioni correlate

Istanze NAT

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Il tunnel VPN tra il gateway del mio cliente e il mio gateway privato virtuale è attivo, ma non riesco a far passare il traffico attraverso di esso. Cosa posso fare?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a trovare i principali generatori del traffico verso il gateway NAT nel mio Amazon VPC?
AWS UFFICIALEAggiornata 6 mesi fa
Riscontro del traffico in entrata nei log di flusso VPC per il mio gateway NAT pubblico. Il mio gateway NAT pubblico accetta il traffico in entrata da Internet?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi di connettività quando utilizzo il gateway NAT sul mio Amazon VPC privato?
AWS UFFICIALEAggiornata 6 mesi fa