Блог

Главная - Вопросы по программированию - Клиентская VPN-сеть AWS с фиксированным IP-адресом

Клиентская VPN-сеть AWS с фиксированным IP-адресом

#amazon-web-services #vpn #amazon-vpc #aws-vpn

#amazon-web-services #vpn #amazon-vpc #aws-vpn

Вопрос:

Чтобы предоставить нашим разработчикам доступ к внутренним и партнерским приложениям с ограниченным доступом по IP, я настраиваю AWS Client VPN. Мне удалось запустить все даже при наличии доступа в Интернет. Как и ожидалось, общедоступный IP-адрес меняется.

Я создал шлюз NAT, назначил эластичный IP-адрес и изменил маршрут подсети, чтобы использовать шлюз NAT вместо интернет-шлюза для доступа к Интернету (0.0.0.0 / 0).

Проблема в том, что клиенты вообще не могут выйти в Интернет после подключения к VPN. Какую часть мне не хватает, чтобы снова получить доступ в Интернет и использовать шлюз NAT со статическим IP-адресом?

Настройка абсолютно простая. 1 новый VPC, 1 подсеть, 1 клиентская конечная точка VPN, 1 группа безопасности.

Ответ №1:

Ваша настройка очень распространена, и, вероятно, это просто ошибка. Шаблон, которому вы следуете, — это частная / общедоступная подсеть, хотя эти термины не так часто используются в AWS.

Если у вас есть подсеть, настроенная на использование шлюза NAT (в качестве 0.0.0.0/0 маршрута в таблице маршрутов), эта подсеть может называться «частной подсетью», поскольку к ней не будет прямого доступа из Интернета.

Но сам шлюз NAT должен быть размещен в «общедоступной подсети», то есть должен находиться в подсети, где маршрут по умолчанию 0.0.0.0/0 идет к интернет-шлюзу. (Не входит в сферу вашего вопроса, но это та же распространенная ошибка, которая совершается с балансировщиками нагрузки. Если у вас есть LB, который должен обслуживать пользователей в Интернете, даже если ваши серверы находятся в частной подсети, LB необходимо развернуть в общедоступной подсети).

Итак, подведем итог:

 | Subnet # | Type    | Default Route (route table)   | What to place here? |
|----------|---------|-------------------------------|---------------------|
| 1        | Public  | 0.0.0.0/0 -> Internet Gateway | NAT Gateway         |
| 2        | Private | 0.0.0.0/0 -> NAT Gateway      | Users' applications |

Комментарии:

1. отлично! Это решило проблему! Большое вам спасибо.

Ответ №2:

У вас должен быть маршрут от вашего шлюза NAT до вашего интернет-шлюза, иначе тот, кто направляет трафик на шлюз NAT, на самом деле не достигает Интернета.

Пожалуйста, ознакомьтесь с шаблоном на https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html#VPC_Scenario2_Routing для доступа к Интернету.