VPN 接続を使用するトラフィック用に VPC CIDR で NAT を設定するには、どうすればよいですか?

所要時間2分

ネットワーク CIDR が重複する Amazon Virtual Private Cloud (Amazon VPC) によって管理されている VPC への AWS VPN 接続があります。自分の AWS VPN 用に NAT を設定したいと考えています。

簡単な説明

AWS VPN は、VPN トラフィックに NAT を適用するマネージドオプションを提供していません。代わりに、ソフトウェアベースの VPN ソリューションを使用して NAT を手動で設定します。多くの VPN ソリューションが AWS Marketplace で提供されています。

NAT は、ソフトウェアベースの VPN ソリューションを実行する Amazon Elastic Compute Cloud (EC2) Linux インスタンスで iptables を使用して手動で設定することもできます。

次の設定例では 2 つの VPC を使用しています。最初のものは AWS マネージド VPN です。2 番目はソフトウェアベースの VPN ソリューションであり、カスタマーゲートウェイとして使用しています。

開始する前に、AWS Site-to-Site VPN 接続を設定していることを確認します。その後、選択した VPN ソリューションを EC2 Linux インスタンスにインストールするには、ディストリビューションのパッケージマネージャーを使用してください。

VPN トラフィックを許可するように VPC ルートテーブル、セキュリティグループ、ネットワーク ACL を設定します。

1. 送信先ネットワークへのルートをルートテーブルに入力します。ソフトウェア VPN EC2 インスタンスの Elastic Network Interface をターゲットとして設定します。

2. ルートテーブルに、インターネットゲートウェイをターゲットとするデフォルトルートがあることを確認します。

3. インスタンスのセキュリティグループルールで、UDP ポート 500 (ISAKMP) および 4500 (IPsec NAT-Traversal) を通じた着信トラフィックを許可します。

4. 送信元/送信先チェックをオフにして、IP パケットの転送をインスタンスに許可します。

関連するソリューションに合わせて Site-to-Site VPN 接続を設定します。AWS では、デバイスのベンダーとモデルに基づいてダウンロード可能なサンプル設定ファイルを提供しています。

送信元 NAT または送信先 NAT の iptables ルールを設定します。

送信元 NAT として、次の文字列を使用します。括弧の代わりに適切な値を入力してください。

sudo iptables -t nat -A POSTROUTING -d <Destination address or CIDR> -j SNAT --to-source <Your desired IP address>

[destination NAT] (送信先 NAT) として、次の文字列を使用します。括弧の代わりに適切な値を入力してください。

sudo iptables -t nat -A PREROUTING -j DNAT --to-destination <Your desired IP address>

実行中の iptables 設定をファイルに保存するには、次のコマンドを使用します。

sudo iptables-save > /etc/iptables.conf

この設定を起動時にロードするには、次の行を /etc/rc.local (exit 0 ステートメントの前) に入力します。

iptables-restore < /etc/iptables.conf

オプション: AWS Site-to-Site VPN 接続をテストします。テストが成功すると、トラフィックは iptables 設定に基づいて適切に変換されます。