Je souhaite utiliser le routage statique pour configurer une connexion AWS Site-to-Site VPN avec un routeur pfSense.
Résolution
Prérequis :
- Configurez un CIDR Virtual Private Cloud (VPC) Amazon associé à une passerelle privée virtuelle. Vous pouvez également connecter l'Amazon VPC à une passerelle de transit.
- Assurez-vous que le CIDR VPC Amazon ne chevauche pas le CIDR du réseau sur site.
Créer un AWS Site-to-Site VPN
Pour utiliser le routage statique afin de créer un AWS Site-to-Site VPN avec un routeur pfSense, procédez comme suit :
- Suivez les étapes 1 à 5 de la section Commencer avec AWS Site-to-Site VPN pour configurer le côté AWS de la connexion VPN.
Remarque : Sélectionnez l'option de routage comme statique à l’étape 5.
- Ouvrez la console Amazon VPC, puis accédez à Connexions Site-to-VPN.
- Sélectionnez votre connexion VPN, puis téléchargez l'exemple de fichier de configuration pour le routeur.
**Remarque :**Utilisez ce fichier d'exemple pour configurer l’AWS Site-to-Site VPN sur le routeur.
- Connectez-vous au routeur PfSense depuis votre navigateur :
Dans l'URL de votre navigateur, saisissez l'adresse IP de gestion du routeur pfSense.
Lorsque la page de connexion s'affiche, entrez le nom d'utilisateur et le mot de passe.
Configurer les paramètres de la proposition de phase 1
Configurez les paramètres de la proposition de phase 1 ou de la proposition IKE (Internet Key Exchange). Une proposition de phase 1 définit les paramètres IKE pour le chiffrement, l'authentification, le groupe Diffie-Hellman et la durée de vie.
Pour configurer les paramètres de la phase 1, procédez comme suit :
- Accédez à VPN, puis choisissez IPsec.
- Choisissez Tunnels, sélectionnez Ajouter P1, puis entrez les informations suivantes :
Dans la section Informations générales, pour la Description, entrez une description. Par exemple, saisissez « AWS Tunnel 1 ».
- Sous Configuration du point de terminaison IKE, entrez les informations suivantes :
Pour la version Key Exchange, sélectionnez IKEv1 ou IKEv2.
Pour le protocole Internet, sélectionnez IPv4.
Pour Interface, entrez l'interface extérieure du routeur pfSense.
Pour Passerelle distante, entrez l'adresse IP publique d'AWS Tunnel.
- Sous la section Proposition de phase 1 (Authentification), entrez les informations suivantes :
Pour la Méthode d'authentification, saisissez PSK.
Pour le Mode de négociation, choisissez Principal.
Pour Mon identifiant, entrez l'adresse IP publique du pfSense.
Pour la Clé pré-partagée, entrez la clé pré-partagée à partir de l'exemple de fichier de configuration.
- Dans la section Proposition de phase 1 (algorithme de chiffrement), sélectionnez l'algorithme de chiffrement, la longueur de clé, l'algorithme de hachage et le groupe Diffie-Hellman.
- Dans la section Expiration et remplacement, pour Durée de vie, saisissez 28 800 secondes (8 heures).
- Pour les Options avancées, activez DPR, puis saisissez les informations suivantes :
Dans la section Retard, saisissez 10 sec.
Pour Nombre maximum de défaillances, saisissez 3.
- Choisissez Enregistrer.
Configurer les paramètres de la proposition de phase 2
Configurez la proposition de phase 2 ou la proposition IPsec pour le tunnel. Une proposition de phase 2 définit les paramètres IPsec pour le chiffrement, l'authentification, le groupe Diffie-Hellman et la durée de vie.
Pour configurer la proposition de phase 2, procédez comme suit :
- Accédez à VPN, puis choisissez IPsec.
- Choisissez Tunnels, sélectionnez Ajouter P2, puis entrez les informations suivantes :
Dans la section Informations générales, pour la Description, entrez une description. Par exemple, saisissez « AWS Tunnel 1\ _Phase2 ».
- Sous Réseaux, entrez les informations suivantes :
Pour Réseau local, entrez le CIDR privé sur site.
Pour Réseau distant, entrez l'adresse CIDR VPC Amazon.
- Pour la proposition de phase 2 (SA/Key Exchange), sélectionnez l'algorithme de chiffrement, la longueur de la clé, l'algorithme de hachage et le groupe Diffie-Hellman.
- Dans la section Expiration et remplacement, pour la Durée de vie, entrez 3 600 secondes (1 heure).
(Facultatif) Pour KeepAlive, entrez l'adresse IP privée spécifique à travers le tunnel pour maintenir la phase 2 active.
Activer l'interface du tunnel
Pour activer l'interface du tunnel, procédez comme suit :
- Accédez à VPN, puis choisissez IPsec.
- Choisissez Tunnels.
- Sélectionnez le bouton Désactiver sur le tunnel que vous avez créé.
Démarrer le processus de lancement du tunnel
Pour démarrer le processus de lancement du tunnel, procédez comme suit :
- Accédez à la liste déroulante Statut et choisissez IPsec.
- Choisissez ensuite Vue d'ensemble.
- Trouvez AWS Tunnel 1. Notez qu'il affiche le statut Déconnecté.
- Pour Statut déconnecté, sélectionnez l'option Connecter P1 et P2 pour lancer les négociations sur le tunnel.
**Remarque :**Lorsque les négociations sur le tunnel aboutissent, le statut du tunnel AWS passe à Établi.
Informations connexes
Options de tunnel pour votre connexion Site-to-Site VPN