静的ルーティングを使用して、PfSense ルーターで AWS Site-to-Site VPN 接続を設定したいと考えています。
解決策
前提条件
- 仮想プライベートゲートウェイに関連付けられた Amazon Virtual Private Cloud (Amazon VPC) CIDR を設定します。または、Amazon VPC をトランジットゲートウェイにアタッチします。
- Amazon VPC CIDR がオンプレミスネットワーク CIDR と重複していないことを確認します。
AWS Site-to-Site VPN を作成する
静的ルーティングを使用して pfSense ルーターで AWS Site-to-Site VPN を作成するには、次の手順を実行します。
- AWS Site-to-Site VPN 入門のステップ 1 から 5 に従って、VPN 接続の AWS 側を設定します。
注: ステップ 5 でルーティングオプションを固定として選択します。
- Amazon VPC コンソールを開き、サイトと VPN の接続に移動します。
- VPN 接続を選択し、ルーターの構成ファイルの例をダウンロードします。
注: このサンプルファイルを使用して、ルータに AWS Site-to-Site VPN を設定します。
- ブラウザから PfSense ルーターにログインします。
ブラウザの URL に、PfSense ルーターの管理 IP アドレスを入力します。
ログインページが表示されたら、ユーザー名とパスワードを入力します。
フェーズ 1 提案パラメータを設定する
フェーズ 1 提案またはインターネットキー交換 (IKE) 提案パラメータを設定します。フェーズ 1 の提案では、暗号化、認証、Diffie-Hellman グループ、およびライフタイムの IKE パラメータを定義します。
フェーズ 1 のパラメータを設定するには、次の手順を実行します。
- VPN に移動し、IPsec を選択します。
- 次に、トンネルを選択します。P1 を追加を選択し、次の詳細を入力します。
一般情報の説明に説明を入力します。たとえば、「AWS Tunnel 1」と入力します。
- IKE エンドポイント設定 で、次の情報を入力します。
キー交換バージョンで、IKEv1 または IKEv2 を選択します。
インターネットプロトコル で IPv4 を選択します。
インターフェイスには、pfSenseルーターの外部インターフェイスを入力します。
リモートゲートウェイには、AWS トンネルのパブリック IP アドレスを入力します。
- **フェーズ 1 提案 (認証) ** で、次の情報を入力します。
認証方法 に PSK と入力します。
ネゴシエーション・モード で、メインを選択します。
私の識別子に、pfSenseのパブリックIPアドレスを入力します。
事前共有キーには、サンプル設定ファイルから事前共有キーを入力します。
- フェーズ 1 提案 (暗号化アルゴリズム) で、暗号化アルゴリズム、キー長、ハッシュアルゴリズム、Diffie-Hellman グループを選択します。
- 有効期限と交換の有効期間に 28800 秒 (8 時間) と入力します。
- 詳細オプション で DPD をオンにし、次の情報を入力します。
遅延に 10 秒と入力します。
最大失敗数に 3 と入力します。
- 保存 を選択します。
フェーズ 2 提案パラメータを設定する
トンネルのフェーズ 2 提案または IPsec 提案を設定します。フェーズ 2 の提案では、暗号化、認証、Diffie-Hellman グループ、およびライフタイムの IPsec パラメータを定義します。
フェーズ 2 提案を設定するには、次の手順を実行します。
- VPN に移動し、IPsec を選択します。
- トンネルを選択し、P2 を追加を選択します。次に、次の詳細を入力します。
一般情報の説明に説明を入力します。たとえば、「AWS Tunnel 1_Phase2」と入力します。」
- ネットワークで、次の情報を入力します。
ローカルネットワークには、オンプレミスネットワークのプライベート CIDR を入力します。
リモートネットワークには、Amazon VPC CIDR を入力します。
- フェーズ2の提案 (SA/キー交換) では、暗号化アルゴリズム、キー長、ハッシュアルゴリズム、Diffie-Hellman グループを選択します。
- 有効期限と交換の有効期間に 3600 秒 (1 時間) と入力します。
KeepAlive (オプション) で、 フェーズ 2 をアクティブに保つために、トンネル全体の特定のプライベート IP アドレスを入力します。
トンネルインターフェイスをアクティブにする
トンネルインターフェイスを有効にするには、次の手順を実行します。
- VPN に移動し、IPsec を選択します。
- トンネルを選択します。
- 前に作成したトンネルの 無効切り替えボタンを選択します。
トンネル開始プロセスを開始する
トンネル開始プロセスを開始するには、次の手順を実行します。
- ステータスドロップダウンリストに移動し、IPsecを選択します。
- 次に、概要を選択します。
- AWS トンネル 1 を探します。接続解除ステータスが表示されます。
- 切断状態では、P1 と P2 を接続オプションを選択してトンネルネゴシエーションを開始します。
注:トンネルのネゴシエーションが完了すると、AWS Tunnel のステータスが確立済みに変わります。
関連情報
Tunnel options for your Site-to-Site VPN connection