如何使用静态路由在虚拟 PfSense 路由器与 AWS 托管的 VPN 端点之间建立 IPsec VPN？

解决方法

先决条件

在开始之前，请确保满足以下条件：

• 您配置了与虚拟专用网关关联的虚拟私有云（VPC）CIDR，或者您已连接到中转网关。
• VPC CIDR 与本地网络 CIDR 不重叠。

创建使用 PfSense 路由器的 AWS Site-to-Site VPN，采用静态路由：

1. 按照 AWS Site-to-Site VPN 入门中第 1 步到第 5 步的说明配置 VPN 连接的 AWS 端。
   注意：在第 5 步中将路由选项选择为静态。
2. 打开 Amazon VPC 控制台。导航到站点到 VPN 连接。
3. 选择您的 VPN 连接，然后下载该路由器的示例配置文件。
   **注意：**使用此示例文件在路由器上配置 AWS Site-to-Site VPN。
4. 从您的浏览器登录到 PfSense 路由器：
   在浏览器的 URL 中，输入 PfSense 路由器的管理 IP 地址。
   出现登录页面时，输入用户名和密码。

配置第 1 阶段提案参数

配置第 1 阶段提案或互联网密钥交换（IKE）提案参数。
**注意：**第 1 阶段提案为加密、身份验证、Diffie-Hellman 组和生命周期定义了 IKE 参数。

1. 前往 VPN 并选择 IPsec。然后，选择隧道。选择添加 P1。然后，输入以下详细信息：
   对于一般信息：
   描述：<例如，AWS Tunnel 1 或任何合适的名称>
2. 对于 IKE 端点配置：
   **密钥交换版本：**IKEv1 或 IKEv2
   **互联网协议：**IPv4
   接口： <outside interface of PfSense router>
   远程网关： <Public IP of AWS Tunnel>
3. 对于第 1 阶段提案（身份验证）：
   身份验证方法： <PSK>
   **协商模式：**主要
   我的标识符： <My IP address>
   预共享密钥：<输入您在第 3 步中下载的示例配置文件中的预共享密钥。>
4. 对于第 1 阶段提案（加密算法）：
   选择加密算法、密钥长度、哈希算法、Diffie-Hellman 组
   注意： 确保选择了上述选项。有关详细信息，请参阅 Site-to-Site VPN 连接的 AWS 隧道选项。
5. 对于过期和更换：
   生命周期： 28800 秒（8 小时）
6. 对于高级选项：
   启用 DPD
   延迟： 10 秒
   最大失败次数： 3 次
   选择保存。

配置第 2 阶段提案参数

为隧道配置第 2 阶段提案或 IPsec 提案。
**注意：**第 2 阶段提案为加密、身份验证、Diffie-Hellman 组和生命周期定义了 IPsec 参数。

1. 前往 VPN 并选择 IPsec。然后，选择隧道。
   选择添加 P2。然后，输入以下详细信息：
   对于一般信息：
   描述：<例如，AWS Tunnel 1_Phase2 或任何合适的名称>
2. 对于网络：
   本地网络： <Enter the private CIDR on on-premises network>**
   远程网络：** <AWS VPC CIDR>
3. 对于第 2 阶段提案（SA/密钥交换）：
   选择加密算法、密钥长度、哈希算法、Diffie-Hellman 组
   **注意：**确保选择了上述选项。有关详细信息，请参阅 Site-to-Site VPN 连接的 AWS 隧道选项。
4. 对于过期和替换：
   使用寿命：3600 秒（1 小时）
   KeepAlive（可选）：<隧道对面的特定私有 IP 地址，以保持第 2 阶段处于激活状态>

启用隧道接口

在配置第 1 阶段（IKE）和第 2 阶段（IPsec）参数后，启用隧道接口，如下所示：

1. 前往 VPN 并选择 IPsec。然后，选择隧道。
   在之前创建的新配置的隧道上选择禁用切换按钮。

启动隧道启动过程

触发隧道启动过程，如下所示：

1. 前往状态下拉列表并选择 IPsec。然后，选择概览。
   找到 AWS 隧道 1。会显示已断开连接状态。
   在已断开连接的状态中，选择“连接 P1 和 P2”选项以启动隧道协商。
   注意：在成功完成隧道协商后，AWS 隧道状态会变为已建立。