Ich habe eine VPN-Verbindung zu AWS, die einwandfrei funktioniert. Dies ist ein Site-to-Site-VPN. Ich kann lokale Subnetze von AWS zum Büro und vom Büro zu AWS routen. Was ich jetzt erreichen möchte, ist, den gesamten Internetverkehr über AWS zu senden.
Ich habe statische Standardrouten auf meinem Router eingerichtet und der gesamte Internetverkehr geht an AWS. Ich bin mir nur nicht sicher, wie ich AWS dafür einrichte. Ich sehe auf dem NAT-Gateway nur Optionen zum Zulassen lokaler AWS-Subnetze, aber keine Option zum Hinzufügen anderer Netzwerke. Die Routing-Tabelle ist in Ordnung, da ich wieder auf lokale AWS-Ressourcen zugreifen kann.
Irgendwelche Vorschläge, wie dies erreicht werden kann?
Antwort1
Site-to-Site-VPN soll Ihnen den Zugriff auf Ressourcen im VPC ermöglichen – nicht darüber hinaus. Sie gehen richtig davon aus, dass ein NAT-Gateway das Richtige für Sie ist, allerdings wurde es nicht für diese Funktion konzipiert.
Sie können den Datenverkehr nicht über eine VPC-Peering-Verbindung, eine Site-to-Site-VPN-Verbindung oder AWS Direct Connect an ein NAT-Gateway weiterleiten. Ein NAT-Gateway kann nicht von Ressourcen auf der anderen Seite dieser Verbindungen verwendet werden.
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
Damit Instanzen über das VPN erreichbar sind, ist ein Routing-Tabelleneintrag erforderlich, der auf Ihr VPN verweist. Ihre VPC-Routing-Tabellen gelten jedoch nur für Pakete, die innerhalb des VPC entstehen. Es gibt keine Routing-Tabelle – einschließlich der Standardtabelle für das VPC –, die auf Pakete angewendet wird, die am äußeren Ende des VPN entstehen. Eingehende VPN-Pakete werden implizit an alle VPC-Subnetze weitergeleitet.