使用动态广域网地址(LTE、Starlink 等)的站点到站点VPN
【以下的问题经过翻译处理】 嗨!我正在尝试在两个没有静态广域网地址的站点之间创建站点到站点 VPN。我的备份计划是在一个具有静态外部IP的EC2实例上创建VPN服务器。
Client VPN端点似乎可行,但我不认为这会起作用,因为我需要在每个站点连接多个网络,无法通过Client VPN端点做NAT。我正在查看有关客户网关(CGW)的文档,并且注意到指定外部IP地址是可选的,所以我希望如果我不指定它,它可以作为客户端连接?如果是这样,我在证书方面遇到了一些问题,我需要帮助,也许我应该为此创建一个专门的帖子。
除了我尝试的方法,还有其他方法吗?还是我应该启动EC2实例,安装我选择的VPN服务器,并以这种方式来尝试?
非常感谢任何帮助!
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 你好,
你是对的,如果你在VPN中使用基于证书的身份验证(而不是PSK),则CGW IP是可选的。也就是说,每次CGW外部(动态IP)更改时,隧道将被关闭,并且需要重新初始化。请注意,从CGW启动隧道仅支持IKEv2。 < https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-options.html>
(可选)客户网关设备外部接口的 IP 地址。
IP 地址必须是静态的。
如果您的客户网关设备位于网络地址转换(NAT)设备后面,请使用NAT设备的IP地址。此外,请确保允许端口500的UDP数据包(以及端口4500,如果正在使用 NAT-traversal)在您的网络和AWS站点到站VPN端点之间传递。有关更多信息,请参阅防火墙规则< https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html#FirewallRules>。
在使用AWS证书管理器Private Certificate Authority的私有证书时,不需要IP地址。
如果你可以进行静态 NAT(1:1)的话,这可能是一种更好的方法,这样CGW外部IP将是静态的。 https://aws.amazon.com/vpn/faqs/
问:我可以在路由器或防火墙后面基于NAT使用客户网关吗?
答:您将使用NAT设备的公共 IP 地址。
希望这对你有所帮助。
相关内容
AWS 官方已更新 8 个月前- AWS 官方已更新 3 年前
- AWS 官方已更新 7 个月前
- AWS 官方已更新 2 年前