如何在本地网络中使用 Site-to-Site VPN 访问互联网？

概述

AWS Site-to-Site VPN 允许 AWS 资源与本地网络（例如数据中心或分支机构）之间的安全连接。

AWS Site-to-Site VPN 使用虚拟私有网关或 AWS Transit Gateway 为每个连接提供两条隧道。虚拟私有网关提供与区域中单个 Amazon Virtual Private Cloud (Amazon VPC) 的连接。传输网关提供与一个区域中的多个 Amazon VPC 以及互联网的连接。

有关 AWS Site-to-Site VPN 工作原理的详细信息，请参阅什么是 AWS Site-to-Site VPN？

解决方案

通过传输网关建立 Site-to-Site VPN 连接，从本地网络集中访问互联网。这种集中式设置使用 AWS 网络转换服务（NAT 网关）连接到互联网。

请按照以下步骤从本地网络获得互联网访问权限：

1.    创建传输网关。

2.    使用传输网关创建 Site-to-Site VPN。

3.    将 Amazon VPC 连接到您所在地区的传输网关。

4.    在同一 Amazon VPC 的公有子网中创建公有 NAT 网关。

5.    在 VPC 的子网路由表中创建与传输网关关联的默认路由 0.0.0.0/0。此路由指向您之前创建的 NAT 网关。

Destination  Target
0.0.0.0/0    nat-12345678901234567

6.    在您之前使用的公有子网路由表中为本地 CIDR 创建路由。此路由指向传输网关。

Destination  Target
10.0.0.0/16  tgw-12345678909876543
0.0.0.0/0    igw-12345678901234567

7.    在传输网关路由表中创建与 VPN 连接关联的默认路由 0.0.0.0/0。然后，将其指向 Amazon VPC 连接：

CIDR        Attachment ID                  Resource ID        Resource type       Route type        Route state    Prefix list ID
0.0.0.0     tgw-attach-98765432109876      vpc-987654321      VPC                 Static            Active         -

8.    在与 Amazon VPC 连接关联的传输网关路由表中为本地 CIDR 创建路由（静态路由或传播）。然后，将其指向 VPN 连接：

CIDR          Attachment ID               Resource ID         Resource type      Route type       Route state     Prefix list ID
10.0.0.0/16   tgw-attach-1234567890123    vpn-1234567897      VPN                Static           Active          -

注意： Site-to-Site VPN 加密域必须允许本地 CIDR 和任何 (0.0.0.0) 目的地（基于策略的 VPN）之间的流量。

相关信息

创建传输网关 VPN 连接

传输网关路由表