我的公司设备有一个专用的M2M GSM网络。 我希望将流量从我的设备发送到AWS IOT,但M2M提供商不允许从其SIM卡进行互联网访问,它只提供与专用网络的IPSec连接。
我现在遇到了将IPSec连接配置到AWS VPC的问题,我的SIM卡可以成功ping我的AWS VPC中的所有实例。但是我想要的是我的SIM卡访问AWS IOT。
我做了什么:
但是我仍然无法通过我的SIM卡访问互联网,流量甚至无法路由到我的NAT实例。根据{{3}},VPN流量不会使用我的路由规则。
AWS VPN是否会丢弃未指定给VPC或VPN的CIDR的流量?有安全理由吗? 如果是这样的话,是否有办法为VPN的流量自定义路由规则?或者是在EC2实例中使用自定义VPN的唯一解决方案?
感谢您的帮助。
答案 0 :(得分:0)
我在我的VPC主路由表中添加了路由规则,以便将流量路由到0.0.0.0/0到我的NAT实例。
这是一个可以理解的错误观念,即"主要" VPC的路由表会影响来自VPC硬件VPN的流量。它没有。没有适用于此类流量的路由表,只有VPC子网的隐式目标。只能从这样的VPN到达分配的CIDR块。
AWS VPN是否会丢弃未指定给VPC或VPN的CIDR的流量?有安全理由吗?
是的,流量被丢弃了。
这可能不是出于安全原因......它只是服务的设计方式。托管VPN连接旨在访问基于实例的服务,并且不支持我们通常可归类为网关,边缘到边缘,对等或传输的流量。
如果您可以将边缘设备配置为使用Web代理,那么像squid这样的转发代理服务器可以处理设备的连接,因为设备和转发代理之间的IP路径是仅涉及设备和代理IP。
更简单的解决方案是使用基于实例的防火墙终止VPN,而不是内置的VPC VPN服务,因为防火墙实例可以允许流量通过自身发送,源伪装(NAT)自己的EIP背后的流量,这将是VPC基础设施轻松支持的东西。
当然,您可以自己构建基于实例的防火墙,但AWS Marketplace中还有一些产品可提供IPSec隧道终止和NAT功能。有些人有免费试用期,其中唯一的费用是实例的费用。