配置使用 PfSense 路由器的 AWS Site-to-Site VPN 连接,采用静态路由。
解决方法
先决条件
在开始之前,请确保满足以下条件:
- 您配置了与虚拟专用网关关联的虚拟私有云(VPC)CIDR,或者您已连接到中转网关。
- VPC CIDR 与本地网络 CIDR 不重叠。
创建使用 PfSense 路由器的 AWS Site-to-Site VPN,采用静态路由:
- 按照 AWS Site-to-Site VPN 入门中第 1 步到第 5 步的说明配置 VPN 连接的 AWS 端。
注意:在第 5 步中将路由选项选择为静态。
- 打开 Amazon VPC 控制台。导航到站点到 VPN 连接。
- 选择您的 VPN 连接,然后下载该路由器的示例配置文件。
**注意:**使用此示例文件在路由器上配置 AWS Site-to-Site VPN。
- 从您的浏览器登录到 PfSense 路由器:
在浏览器的 URL 中,输入 PfSense 路由器的管理 IP 地址。
出现登录页面时,输入用户名和密码。
配置第 1 阶段提案参数
配置第 1 阶段提案或互联网密钥交换(IKE)提案参数。
**注意:**第 1 阶段提案为加密、身份验证、Diffie-Hellman 组和生命周期定义了 IKE 参数。
- 前往 VPN 并选择 IPsec。然后,选择隧道。选择添加 P1。然后,输入以下详细信息:
对于一般信息:
描述:<例如,AWS Tunnel 1 或任何合适的名称>
- 对于 IKE 端点配置:
**密钥交换版本:**IKEv1 或 IKEv2
**互联网协议:**IPv4
接口: <outside interface of PfSense router>
远程网关: <Public IP of AWS Tunnel>
- 对于第 1 阶段提案(身份验证):
身份验证方法: <PSK>
**协商模式:**主要
我的标识符: <My IP address>
预共享密钥:<输入您在第 3 步中下载的示例配置文件中的预共享密钥。>
- 对于第 1 阶段提案(加密算法):
选择加密算法、密钥长度、哈希算法、Diffie-Hellman 组
注意: 确保选择了上述选项。有关详细信息,请参阅 Site-to-Site VPN 连接的 AWS 隧道选项。
- 对于过期和更换:
生命周期: 28800 秒(8 小时)
- 对于高级选项:
启用 DPD
延迟: 10 秒
最大失败次数: 3 次
选择保存。
配置第 2 阶段提案参数
为隧道配置第 2 阶段提案或 IPsec 提案。
**注意:**第 2 阶段提案为加密、身份验证、Diffie-Hellman 组和生命周期定义了 IPsec 参数。
- 前往 VPN 并选择 IPsec。然后,选择隧道。
选择添加 P2。然后,输入以下详细信息:
对于一般信息:
描述:<例如,AWS Tunnel 1_Phase2 或任何合适的名称>
- 对于网络:
本地网络: <Enter the private CIDR on on-premises network>**
远程网络:** <AWS VPC CIDR>
- 对于第 2 阶段提案(SA/密钥交换):
选择加密算法、密钥长度、哈希算法、Diffie-Hellman 组
**注意:**确保选择了上述选项。有关详细信息,请参阅 Site-to-Site VPN 连接的 AWS 隧道选项。
- 对于过期和替换:
使用寿命:3600 秒(1 小时)
KeepAlive(可选):<隧道对面的特定私有 IP 地址,以保持第 2 阶段处于激活状态>
启用隧道接口
在配置第 1 阶段(IKE)和第 2 阶段(IPsec)参数后,启用隧道接口,如下所示:
- 前往 VPN 并选择 IPsec。然后,选择隧道。
在之前创建的新配置的隧道上选择禁用切换按钮。
启动隧道启动过程
触发隧道启动过程,如下所示:
- 前往状态下拉列表并选择 IPsec。然后,选择概览。
找到 AWS 隧道 1。会显示已断开连接状态。
在已断开连接的状态中,选择“连接 P1 和 P2”选项以启动隧道协商。
注意:在成功完成隧道协商后,AWS 隧道状态会变为已建立。