具有固定 IP 的 AWS 客戶端 VPN

Question

為了讓我們的開發人員能夠訪問受 IP 限制的內部和合作伙伴應用程序，我正在設置 AWS Client VPN。 即使可以訪問 Internet，我也設法讓一切正常運行。 正如預期的那樣，公共 IP 正在發生變化。

我創建了一個 NAT 網關，分配了一個彈性 IP 並更改了子網的路由以使用 NAT 網關而不是 Internet 網關來訪問 Internet (0.0.0.0/0)。

現在的問題是，一旦連接到 VPN，客戶端就根本無法訪問 Internet。 我缺少什么部分才能讓互聯網訪問再次正常工作並使用帶有靜態 IP 的 NAT 網關？

安裝程序絕對是基本的。 1 個新 VPC、1 個子網、1 個客戶端 VPN 端點、1 個安全組。

Answer 1

您的設置很常見，可能只是一個簡單的錯誤。 您遵循的模式是私有/公共子網，即使這些術語在 AWS 中使用得並不多。

當您的子網配置為使用 NAT 網關（作為路由表上的0.0.0.0/0路由）時，該子網可以稱為“私有子網”，因為將無法從Internet 直接訪問它。

但是 NAT 網關本身需要放置在“公共子網”上，即需要位於默認路由0.0.0.0/0到 Internet 網關的子網中。 （不在您的問題范圍內，但這與負載均衡器所犯的常見錯誤相同。如果您有一個應該為 Internet 上的用戶提供服務的 LB，即使您的服務器位於私有子網中，也需要將 LB 部署到公共子網）。

所以總結一下：

| Subnet # | Type    | Default Route (route table)   | What to place here? |
|----------|---------|-------------------------------|---------------------|
| 1        | Public  | 0.0.0.0/0 -> Internet Gateway | NAT Gateway         |
| 2        | Private | 0.0.0.0/0 -> NAT Gateway      | Users' applications |

Answer 2

您需要有一條從 NAT 網關到 Internet 網關的路由，否則將流量路由到 NAT 網關的人不會真正到達 Internet。

請查看https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html#VPC_Scenario2_Routing 上用於訪問 Internet 的模式。

Answer 3

托馬斯 - 查看以下鏈接。 您需要使用 Internet 網關，而不是 NAT 網關。

https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/scenario-internet.html