У меня есть VPN-подключение к AWS, которое отлично работает. Это VPN типа site-to-site. Я могу маршрутизировать локальные подсети из AWS в офис и из офиса в AWS. Сейчас я пытаюсь отправить весь интернет-трафик из AWS.
Я установил статические маршруты по умолчанию на своем маршрутизаторе, и весь интернет-трафик попадает в AWS. Просто не уверен, как настроить AWS для этого. Я вижу только опции на шлюзе NAT, чтобы разрешить локальные подсети AWS, я не вижу опции для добавления других сетей. Таблица маршрутизации в порядке, потому что я снова могу получить доступ к локальным ресурсам AWS.
Есть ли у вас предложения, как этого добиться?
решение1
Site to site VPN предназначен для того, чтобы вы могли получить доступ к ресурсам в VPC, а не за его пределами. Вы правы, предполагая, что шлюз NAT — это то, что вам нужно, за исключением того, что он не был разработан для работы таким образом.
Вы не можете направлять трафик на шлюз NAT через пиринговое соединение VPC, соединение Site-to-Site VPN или AWS Direct Connect. Шлюз NAT не может использоваться ресурсами на другой стороне этих соединений.
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
Запись в таблице маршрутизации, указывающая на ваш VPN, необходима для того, чтобы экземпляры были доступны через VPN, но ваши таблицы маршрутизации VPC применяются только к пакетам, исходящим из VPC. Не существует таблицы маршрутизации — включая таблицу по умолчанию для VPC — которая применяется к пакетам, исходящим с внешнего конца VPN. Входящие пакеты VPN неявно маршрутизируются во все подсети VPC.