使用 VPN 以将 LoRa 网关连接到 Amazon Web Services 账户 。 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 VPN 以将 LoRa 网关连接到 Amazon Web Services 账户 。

要将本地部署网关连接到您的 Amazon Web Services 账户 ,可以使用 Site-to-Site VPN 连接或 Client VPN 端点。

在连接本地部署网关之前,您必须已创建 VPC 终端节点,并配置私有托管区域和入站解析程序,以避免来自网关的流量通过公共互联网。有关更多信息,请参阅 创建 VPC 接口端点和私有托管区域

Site-to-Site VPN 端点

如果您没有网关硬件或希望使用其他 Amazon Web Services 账户 测试 VPN 连接,则可以使用 Site-to-Site VPN 连接。您可以使用 Site-to-Site VPN 连接来自同一个 Amazon Web Services 账户 的 VPC 终端节点;或如果您打算在不同 Amazon Web Services 区域 中使用,则可以选择来自其他 Amazon Web Services 账户 的 VPC 终端节点。

注意

如果您拥有网关硬件并希望建立 VPN 连接,我们建议您改用 Client VPN。有关说明,请参阅客户端 VPN 终端节点

要设置 Site-to-Site VPN:

  1. 在要从中设置连接的站点中创建另一个 VPC。对于 VPC-A,您可以重复使用之前创建的 VPC。要创建另一个 VPC(例如,VPC-B),请使用与您之前创建的 VPC 的 CIDR 块不重叠的 CIDR 块。

    有关设置 VPC 的信息,请按照Amazon设置 Site-to-Site VPN 连接中所述操作执行。

    注意

    文档中描述的 Site-to-Site VPN VPN 方法使用 OpenSWAN 进行 VPN 连接,该连接仅支持一个 VPN 隧道。如果您为 VPN 使用了不同的商业软件,则可在站点之间设置两个通道。

  2. 设置 VPN 连接后,请添加您的 Amazon Web Services 账户 中的入站解析程序 IP 地址,以更新 /etc/resolv.conf 文件。您将为名称服务器使用此 IP 地址。有关如何获取此 IP 地址的信息,请参阅 配置 Route 53 入站解析程序。在这个示例中,我们可以使用您在创建 Route 53 Resolver 时分配的 IP 地址 10.100.0.145

    options timeout:2 attempts:5 ; generated by /usr/sbin/dhclient-script search region.compute.internal nameserver 10.100.0.145
  3. 现在,我们可以测试 VPN 连接是否使用了 Amazon PrivateLink 端点,而无需使用 nslookup 命令经由公共互联网进行测试。以下是运行命令的示例。

    nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com

    下面显示了运行命令的示例输出,该输出显示了一个私有 IP 地址,表示与 Amazon PrivateLink LNS 端点的连接已建立。

    Server: 10.100.0.145 Address: 10.100.0.145 Non-authoritative answer: Name: https://xxxxx.lns.lorawan.region.amazonaws.com Address: 10.100.0.204

有关使用 Site -to-Site VPN 连接的信息,请参阅Site-to-Site VPN 的工作原理

客户端 VPN 终端节点

Amazon Client VPN 是一种基于客户端的托管 VPN 服务,让您能够安全地访问 Amazon 资源和本地网络中的资源。下面显示了客户端 VPN 服务的架构。


                            图片显示了如何使用 Amazon Client VPN 在本地连接您的 LoRa 网关。

要建立到 Client VPN 端点的 VPN 连接:

  1. 按照 Amazon Client VPN 入门中描述的说明创建 Client VPN 端点。

  2. 使用该路由器的访问 URL(例如,192.168.1.1)登录到您的本地部署网络(例如,),然后查找根名和密码。

  3. 按照网关文档中的说明设置 LoRaWAN 网关,然后将您的网关添加到适用于 LoRaWAN 的 Amazon IoT Core 。有关如何添加网关的信息,请参阅 搭载您的网关以与适用于 LoRaWAN 的 Amazon IoT Core 通信

  4. 检查您的网关固件是否为最新版本。如果固件过期,您可以按照本地部署网络中提供的说明更新网关的固件。有关更多信息,请参阅 使用适用于 LoRaWAN 的 Amazon IoT Core 的 CUPS 服务更新网关固件

  5. 检查 OpenVPN 是否已启用。如果已启用,请跳到下一步以配置本地部署网络中的 OpenVPN 客户端。如果尚未启用,请遵循为 OpenWrt 安装 OpenVPN 的指南

    注意

    在此示例中,我们使用 OpenVPN。您可以使用其他 VPN 客户端,例如 Amazon VPN 或者 Amazon Direct Connect 以设置 Client VPN 连接。

  6. 根据客户端配置中的信息配置 OpenVPN 客户端,并了解您可以如何使用使用 LuCi 的 OpenVPN 客户端

  7. 将入站解析程序的 IP 地址添加到 Amazon Web Services 账户 (10.100.0.145),从而 SSH 连接到您的本地部署网络,并更新/etc/resolv.conf文件。

  8. 对于要使用 Amazon PrivateLink 连接到端点的网关流量,请将网关的第一个 DNS 条目替换为入站解析程序的 IP 地址。

有关使用 Site-to-Site VPN 连接的信息,请参阅 Client VPN 入门

连接到 LNS 和 CUPS VPC 终端节点

下面显示了如何测试与 LNS 和 CUPS VPC 终端节点的连接。

测试 CUPS 端点

要测试您的 LoRa 网关与 CUPS 端点的 Amazon PrivateLink 连接,请运行以下命令:

curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" --data '{ "router": "xxxxxxxxxxxxx", "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443", "cupsCredCrc":1234, "tcCredCrc":552384314 }' —output cups.out

测试 LNS 端点

要测试您的 LNS 端点,请首先预置一个可与您的无线网关配合使用的 LoRaWAN 设备。然后,您可以添加您的设备并执行加入流程,随后您便可以开始发送上行链路消息了。