我们在 AWS 上的 Ubuntu 20.04 上有一个 Strongswan VPN 服务器。它用于与客户端建立站点到站点的 VPN 隧道。
这是一个简单的拓扑图:
我们的 VPN 服务器将终止通往 RDS 数据库服务器的 VPN 和 NAT 流量。为了使其正确响应,我们的 VPN 服务器将使用其地址对数据包进行 SNAT,因此我们基本上无法跟踪客户端计算机的 IP 地址。并且有多台客户端计算机。
在这种情况下,我们如何正确地将响应 NAT 到客户端?
感谢您的时间。
答案1
我想你是想使用反向分割隧道 VPN?还是反向全隧道到你的客户端?这样负载和 Nat 就会在你的客户端。
你用的是哪种 vpn?Site To Site?
答案2
SNAT 将在连接跟踪表中为其转换的每个流创建一个条目。此表中的数据会自动应用于返回流量。
单个连接由第一个数据包的 NAT 转换分配给流的临时端口号来标识,并且 DB 服务器将其答复发送到该端口,这足以找到原始连接数据。