使用 VPN 以将 LoRa 网关连接到Amazon Web Services 账户。 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 VPN 以将 LoRa 网关连接到Amazon Web Services 账户。

要将本地部署网关连接到您的Amazon Web Services 账户,可以使用 Site-to-Site VPN 连接或 Client VPN 端点。

在连接本地部署网关之前,您必须已创建 VPC 终端节点,并配置私有托管区域和入站解析程序,以避免来自网关的流量通过公共互联网。有关更多信息,请参阅 创建 VPC 接口端点和私有托管区域

Site-to-Site VPN 端点

如果您没有网关硬件或希望使用其它Amazon Web Services 账户测试 VPN 连接,则可以使用 Site-to-Site VPN 连接。您可以使用 Site-to-Site VPN 连接来自同一个Amazon Web Services 账户的 VPC 终端节点;或如果您打算在不同Amazon Web Services 区域中使用,则可以选择来自其它Amazon Web Services 账户的 VPC 终端节点。

注意

如果您拥有网关硬件并希望建立 VPN 连接,我们建议您改用 Client VPN。有关说明,请参阅Client VPN 终端节点

要设置 Site-to-Site VPN:

  1. 在要从中设置连接的站点中创建另一个 VPC。对于 VPC-A,您可以重复使用之前创建的 VPC。要创建另一个 VPC(例如,VPC-B),请使用与您之前创建的 VPC 的 CIDR 块不重叠的 CIDR 块。

    有关设置 VPC 的信息,请按照Amazon设置 Site-to-Site VPN 连接中所述操作执行。

    注意

    文档中描述的 Site-to-Site VPN VPN 方法使用 OpenSWAN 进行 VPN 连接,该连接仅支持一个 VPN 隧道。如果您为 VPN 使用了不同的商业软件,则可在站点之间设置两个通道。

  2. 设置 VPN 连接后,请添加您的Amazon Web Services 账户中的入站解析程序 IP 地址,以更新 /etc/resolv.conf 文件。您将为名称服务器使用此 IP 地址。有关如何获取此 IP 地址的信息,请参阅 配置 Route 53 入站解析程序。在这个示例中,我们可以使用您在创建 Route 53 Resolver 时分配的 IP 地址 10.100.0.145

    options timeout:2 attempts:5 ; generated by /usr/sbin/dhclient-script search region.compute.internal nameserver 10.100.0.145
  3. 现在,我们可以测试 VPN 连接是否使用了 Amazon PrivateLink 端点,而无需使用 nslookup 命令经由公共互联网进行测试。以下是运行命令的示例。

    nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com

    下面显示了运行命令的示例输出,该输出显示了一个私有 IP 地址,表示与 Amazon PrivateLink LNS 端点的连接已建立。

    Server: 10.100.0.145 Address: 10.100.0.145 Non-authoritative answer: Name: https://xxxxx.lns.lorawan.region.amazonaws.com Address: 10.100.0.204

有关使用 Site -to-Site VPN 连接的信息,请参阅 Site-to-Site VPN 的工作原理

Client VPN 终端节点

Amazon Client VPN 是一种基于客户端的托管 VPN 服务,让您能够安全地访问 Amazon 资源和本地网络中的资源。下面显示了 Client VPN 服务的架构。


                            图片显示了如何使用 Amazon Client VPN 在本地连接您的 LoRa 网关。

要建立到 Client VPN 端点的 VPN 连接:

  1. 按照 Amazon Client VPN 入门中描述的说明创建 Client VPN 端点。

  2. 使用该路由器的访问 URL(例如 192.168.1.1)登录您的本地部署网络(例如,),然后查找 根名和密码。

  3. 按照网关文档中的说明设置 LoRaWAN 网关,然后将您的网关添加到 Amazon IoT Core for LoRaWAN。有关如何添加网关的信息,请参阅 将您的网关搭载到 Amazon IoT Core for LoRaWAN

  4. 检查您的网关固件是否为最新版本。如果固件过期,您可以按照本地部署网络中提供的说明更新网关的固件。有关更多信息,请参阅 使用 Amazon IoT Core for LoRaWAN 的 CUPS 服务更新网关固件

  5. 检查 OpenVPN 是否已启用。如果已启用,请跳到下一步以配置本地部署网络中的 OpenVPN 客户端。如果尚未启用,请遵循为 OpenWrt 安装 OpenVPN 的指南

    注意

    在此示例中,我们使用 OpenVPN。您可以使用其它 VPN 客户端,例如 Amazon VPN 或者 Amazon Direct Connect 以设置 Client VPN 连接。

  6. 根据客户端配置中的信息配置 OpenVPN 客户端,并了解您可以如何使用使用 LuCi 的 OpenVPN 客户端

  7. 将入站解析程序的 IP 地址添加到Amazon Web Services 账户 (10.100.0.145),从而 SSH 连接到您的本地部署网络,并更新/etc/resolv.conf文件。

  8. 对于要使用Amazon PrivateLink连接到端点的网关流量,请将网关的第一个 DNS 条目替换为入站解析程序的 IP 地址。

有关使用 Site-to-Site VPN 连接的信息,请参阅 Client VPN 入门

连接到 LNS 和 CUPS VPC 终端节点

下面显示了如何测试与 LNS 和 CUPS VPC 终端节点的连接。

测试 CUPS 端点

要测试您的 LoRa 网关与 CUPS 端点的 Amazon PrivateLink 连接,请运行以下命令:

curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" --data '{ "router": "xxxxxxxxxxxxx", "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443", "cupsCredCrc":1234, "tcCredCrc":552384314 }' —output cups.out

测试 LNS 端点

要测试您的 LNS 端点,请首先预置一个可与您的无线网关配合使用的 LoRaWAN 设备。然后,您可以添加您的设备并执行加入流程,随后您便可以开始发送上行链路消息了。