Tenho uma conexão VPN com a AWS que funciona bem. Esta é uma VPN site a site. Posso rotear sub-redes locais da AWS para o escritório e do escritório para a AWS. O que estou tentando realizar agora é enviar todo o tráfego da Internet para fora da AWS.
Coloquei rotas estáticas padrão em meu roteador e todo o tráfego da Internet está atingindo a AWS. Só não tenho certeza de como configurar o AWS para isso. Vejo apenas opções no gateway NAT para permitir sub-redes locais da AWS, não vejo uma opção para adicionar outras redes. A tabela de roteamento está correta porque novamente consigo acessar recursos locais da AWS.
Alguma sugestão sobre como fazer isso?
Responder1
A VPN site a site tem como objetivo permitir que você acesse recursos na VPC, e não além dela. Você está certo ao presumir que um gateway NAT seria o que você deseja, exceto que ele não foi projetado para funcionar dessa maneira.
Não é possível rotear o tráfego para um gateway NAT por meio de uma conexão de peering de VPC, de uma conexão Site-to-Site VPN ou do AWS Direct Connect. Um gateway NAT não pode ser usado por recursos do outro lado dessas conexões.
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
Uma entrada de tabela de rotas apontando para sua VPN é necessária para que as instâncias possam ser acessadas pela VPN, mas suas tabelas de rotas de VPC se aplicam apenas a pacotes originados dentro da VPC. Não há nenhuma tabela de rotas – incluindo a padrão para a VPC – que seja aplicada aos pacotes originados na extremidade externa da VPN. Os pacotes de entrada da VPN são roteados implicitamente para todas as sub-redes VPC.