我有一个VPC“公共和私人子网的VPC”通过VPC向导创build,其中应该包括专用子网VPC的NAT,但它不工作。 他们无法浏览互联网,parsing互联网名称和ping互联网IP。
这是一个股票标准的conf,我很确定,所以我不确定为什么它不起作用。 也许还有什么额外的我应该做的,我不知道?
谢谢,
泽维尔。
使用默认的vpc,amazon dhcp为这些实例提供了一个私有ip,它不能从aws Internet网关(通过控制台看起来像IGW-xxxxxxx)路由出去。 所以除非aws实例通过ipsec隧道网关路由到互联网(看起来像VGW-xxxxxx),否则有两种方式允许连接到互联网。
1)给vpc实例public elastic ip,确保到达amazon互联网网关的默认路由,然后为你的专用局域网添加一条路由到ipsecterminal网关
2)用iptables masquerading设置第二个实例,然后有到该设备的默认路由,同时将私有局域网路由保留到ipsec终止点(回到你的办公室)
与#1,如果有实例有公共eip,则可能从互联网连接,如果你不小心安全组。
与#2,所有的stream量都受到masquarading实例,这是一个失败点的限制。 (通过使用亚马逊互联网网关,我确定他们使用VRRP / HSRP / CARP / ETC,所以它的HA)。 另外,尽pipe我个人没有发生这种情况,masq'ing的私人IP地址可能会改变,所以您需要更新dhcp lease info,然后强制/等待续订实例租约。