0

我的公司设备有一个专用的 M2M GSM 网络。我想将流量从我的设备发送到 AWS IOT,但 M2M 提供商不允许从其 sim 卡访问 Internet,它只提供与私有网络的 IPSec 连接。

我现在在将 IPSec 连接配置到 AWS VPC 时遇到问题,我的模拟人生可以成功 ping 我的 AWS VPC 中的所有实例。但是我想要的是让我的模拟市民访问 AWS IOT。

我做了什么:

  1. 我使用AWS 第三种方案配置了我的 VPN 。我有一个 CIDR 为 192.168.0.0/24 的公共网络和一个 CIDR 为 192.168.1.0/24 的专用网络。我的 VPN 有一个用于我的 M2M 网络的静态路由 CIDR 10.1.128.0/14。
  2. 然后我在我的公共网络中启动了一个 EC2 Nat 实例。
  3. 我向我的 VPC 主路由表添加了一个路由规则,以将流量路由到 0.0.0.0/0 到我的 NAT 实例。
  4. 我在我的 VPC 的私有网络中启动了一个 EC2 实例并尝试从它访问互联网,这项工作我可以看到流量通过我的 nat 实例。所以我假设我的 nat 和路由配置得很好。

但是我仍然无法从我的 sim 卡访问互联网,流量甚至没有路由到我的 NAT 实例。根据John Rotenstein 的回答VPN 流量不会使用我的路由规则。

AWS VPN 是否会丢弃未发往 VPC 或 VPN CIDR 的流量?这样做有安全原因吗?如果是这种情况,有没有办法为 VPN 的流量自定义路由规则?或者是在 EC2 实例中使用自定义 VPN 的唯一解决方案?

谢谢您的帮助。

4

1 回答 1

0

我向我的 VPC 主路由表添加了一个路由规则,以将流量路由到 0.0.0.0/0 到我的 NAT 实例。

一个可以理解的误解是,VPC 的“主要”路由表会影响来自 VPC 硬件 VPN 的流量。它没有。没有适用于此类流量的路由表,只有 VPC 子网的隐式目标。只能从这样的 VPN 访问分配的 CIDR 块。

AWS VPN 是否会丢弃未发往 VPC 或 VPN 的 CIDR 的流量?这样做有安全原因吗?

是的,该流量被丢弃。

它可能不是专门出于安全原因......这只是服务的设计方式。托管 VPN 连接旨在访问基于实例的服务,不支持我们通常分类为网关、边缘到边缘、对等互连或传输的流量。

如果您可以将边缘设备配置为使用 Web 代理,那么像 squid 这样的转发代理服务器可以处理设备的连接,因为设备和转发代理之间的 IP 路径是仅涉及设备和代理 IP 的连接。

一个更简单的解决方案是使用基于实例的防火墙来终止 VPN,而不是使用内置的 VPC VPN 服务,因为这样防火墙实例可以允许流量通过自身发夹,源伪装 (NAT) 后面的流量它自己的 EIP,这将是 VPC 基础设施轻松支持的东西。

当然,您可以自己构建基于实例的防火墙,但 AWS Marketplace 中也有一些产品提供 IPSec 隧道终止和 NAT 功能。有些有免费试用期,其中唯一的成本是实例的成本。

于 2018-04-17T12:29:04.807 回答