使用动态广域网地址(LTE、Starlink 等)的站点到站点VPN

0

【以下的问题经过翻译处理】 嗨!我正在尝试在两个没有静态广域网地址的站点之间创建站点到站点 VPN。我的备份计划是在一个具有静态外部IP的EC2实例上创建VPN服务器。

Client VPN端点似乎可行,但我不认为这会起作用,因为我需要在每个站点连接多个网络,无法通过Client VPN端点做NAT。我正在查看有关客户网关(CGW)的文档,并且注意到指定外部IP地址是可选的,所以我希望如果我不指定它,它可以作为客户端连接?如果是这样,我在证书方面遇到了一些问题,我需要帮助,也许我应该为此创建一个专门的帖子。

除了我尝试的方法,还有其他方法吗?还是我应该启动EC2实例,安装我选择的VPN服务器,并以这种方式来尝试?

非常感谢任何帮助!

profile picture
专家
已提问 3 个月前4 查看次数
1 回答
0

【以下的回答经过翻译处理】 你好,

你是对的,如果你在VPN中使用基于证书的身份验证(而不是PSK),则CGW IP是可选的。也就是说,每次CGW外部(动态IP)更改时,隧道将被关闭,并且需要重新初始化。请注意,从CGW启动隧道仅支持IKEv2。 < https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-options.html>

(可选)客户网关设备外部接口的 IP 地址。

IP 地址必须是静态的。

如果您的客户网关设备位于网络地址转换(NAT)设备后面,请使用NAT设备的IP地址。此外,请确保允许端口500的UDP数据包(以及端口4500,如果正在使用 NAT-traversal)在您的网络和AWS站点到站VPN端点之间传递。有关更多信息,请参阅防火墙规则< https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html#FirewallRules>。

在使用AWS证书管理器Private Certificate Authority的私有证书时,不需要IP地址。

如果你可以进行静态 NAT(1:1)的话,这可能是一种更好的方法,这样CGW外部IP将是静态的。 https://aws.amazon.com/vpn/faqs/

问:我可以在路由器或防火墙后面基于NAT使用客户网关吗?

答:您将使用NAT设备的公共 IP 地址。

希望这对你有所帮助。

profile picture
专家
已回答 3 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则