具有固定 IP 的 AWS 客户端 VPN

AWS Client VPN with a Fixed IP

为了让我们的开发人员能够访问 IP 受限的内部和合作伙伴应用程序,我正在设置 AWS 客户端 VPN。即使可以访问 Internet,我也设法获得了所有内容 运行。正如预期的那样,Public IP 正在更改。

我已经创建了一个 NAT 网关,分配了一个弹性 IP 并将子网的路由更改为使用 NAT 网关而不是互联网网关来访问互联网 (0.0.0.0/0)。

现在的问题是,一旦连接到 VPN,客户端就根本无法访问互联网。我缺少什么部分才能使 Internet 访问再次工作并使用具有静态 ip 的 NAT 网关?

设置绝对是基本的。 1 个新 VPC、1 个子网、1 个客户端 VPN 端点、1 个安全组。

您需要有从 NAT 网关到 Internet 网关的路由,否则将流量路由到 NAT 网关的人并没有真正到达 Internet。

请查看 https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html#VPC_Scenario2_Routing 中用于访问 Internet 的模式。

您的设置很常见,可能只是一个简单的错误。您遵循的模式是 private/public 子网,即使这些术语在 AWS 中使用得不多。

当您有一个配置为使用 NAT 网关的子网(如路由 table 上的 0.0.0.0/0 路由)时,该子网可以称为“私有子网”,如 Internet 无法直接访问它。

但是 NAT 网关本身需要放置在“public 子网上”,即需要位于默认路由 0.0.0.0/0 到达 Internet 网关的子网上。 (不在您的问题范围内,但这与负载均衡器所犯的常见错误相同。如果您有一个负载均衡器应该为互联网上的用户提供服务,即使您的服务器位于私有子网中,也需要将负载均衡器部署到public 个子网)。

总结一下:

| Subnet # | Type    | Default Route (route table)   | What to place here? |
|----------|---------|-------------------------------|---------------------|
| 1        | Public  | 0.0.0.0/0 -> Internet Gateway | NAT Gateway         |
| 2        | Private | 0.0.0.0/0 -> NAT Gateway      | Users' applications |