Tengo una conexión VPN a AWS que funciona bien. Esta es una VPN de sitio a sitio. Puedo enrutar subredes locales desde AWS a la oficina y desde la oficina a AWS. Lo que intento lograr ahora es enviar todo el tráfico de Internet fuera de AWS.
Puse rutas estáticas predeterminadas en mi enrutador y todo el tráfico de Internet llega a AWS. Simplemente no estoy seguro de cómo configurar AWS para esto. Solo veo opciones en la puerta de enlace NAT para permitir subredes locales de AWS, no veo una opción para agregar otras redes. La tabla de enrutamiento está bien porque nuevamente puedo acceder a los recursos locales de AWS.
¿Alguna sugerencia sobre cómo lograr esto?
Respuesta1
La VPN de sitio a sitio está destinada a permitirle acceder a recursos en la VPC, no más allá de ella. Tiene razón al suponer que lo que desea sería una puerta de enlace NAT, excepto que no fue diseñada para funcionar de esta manera.
No puede enrutar el tráfico a una puerta de enlace NAT a través de una conexión de intercambio de tráfico de VPC, una conexión VPN de sitio a sitio o AWS Direct Connect. Los recursos del otro lado de estas conexiones no pueden utilizar una puerta de enlace NAT.
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
Se necesita una entrada de la tabla de rutas que apunte a su VPN para que las instancias sean accesibles a través de la VPN, pero las tablas de rutas de su VPC solo se aplican a los paquetes que se originan dentro de la VPC. No existe una tabla de rutas (incluida la predeterminada para la VPC) que se aplique a los paquetes que se originan en el extremo exterior de la VPN. Los paquetes entrantes de VPN se enrutan implícitamente a todas las subredes de VPC.