정적 라우팅을 사용하여 pfSense 라우터와 AWS Site-to-Site VPN 연결을 구성하고 싶습니다.
해결 방법
사전 요구 사항:
- 가상 프라이빗 게이트웨이와 연결된 Amazon Virtual Private Cloud(VPC) CIDR을 구성합니다. 또는 Amazon VPC를 트랜짓 게이트웨이에 연결합니다.
- Amazon VPC CIDR이 온프레미스 네트워크 CIDR과 겹치지 않는지 확인합니다.
AWS 사이트 간 VPN 생성
정적 라우팅을 사용하여 pfSense 라우터로 AWS Site-to-Site VPN을 만들려면 다음 단계를 완료하세요.
- VPN 연결의 AWS 측을 구성하려면 AWS Site-to-Site VPN 시작하기의 1~5단계를 완료합니다.
참고: 5단계에서 라우팅 옵션을 정적으로 선택합니다.
- Amazon VPC 콘솔을 연 다음 Site-to-VPN 연결로 이동합니다.
- VPN 연결을 선택한 다음 라우터의 예제 구성 파일을 다운로드합니다.
참고: 이 예제 파일을 사용하여 라우터에서 AWS Site-to-Site VPN을 구성합니다.
- 브라우저에서 pfSense 라우터에 로그인합니다.
브라우저의 URL에 pfSense 라우터의 관리 IP 주소를 입력합니다.
로그인 페이지가 나타나면 사용자 이름과 암호를 입력합니다.
1단계 제안 파라미터 구성
1단계 제안 또는 IKE(인터넷 키 교환) 제안 파라미터를 구성합니다. 1단계 제안에서는 암호화, 인증, Diffie-Hellman 그룹 및 수명에 대한 IKE 파라미터를 정의합니다.
1단계 파라미터를 구성하려면 다음 단계를 완료하세요.
- VPN으로 이동한 다음 IPsec을 선택합니다.
- 터널을 선택하고 P1 추가를 선택한 후 다음 세부 정보를 입력합니다.
일반 정보의 설명에 설명을 입력합니다. 예를 들어, "AWS 터널 1"을 입력합니다.
- IKE 엔드포인트 구성에 다음 정보를 입력합니다.
키 교환 버전에서 IKEv1 또는 IKEv2을 선택합니다.
인터넷 프로토콜에 IPv4를 선택합니다.
인터페이스에 pfSense 라우터의 외부 인터페이스를 입력합니다.
원격 게이트웨이에 AWS 터널의 공인 IP 주소를 입력합니다.
- **1단계 제안(인증)**에 다음 정보를 입력합니다.
인증 방법에 PSK를 입력합니다.
협상 모드에 기본을 선택합니다.
내 식별자에 pfSense의 공인 IP 주소를 입력합니다.
사전 공유 키에 예제 구성 파일에 있는 사전 공유 키를 입력합니다.
- **1단계 제안(암호화 알고리즘)**에서 암호화 알고리즘, 키 길이, 해싱 알고리즘 및 Diffie-Hellman 그룹을 선택합니다.
- 만료 및 교체에서 수명에 28800초(8시간)을 입력합니다.
- 고급 옵션에서 DPD를 켜고 다음 정보를 입력합니다.
지연에 10초를 입력합니다.
최대 실패 횟수에 3을 입력합니다.
- 저장을 선택합니다.
2단계 제안 파라미터 구성
터널에 대한 2단계 제안 또는 IPsec 제안을 구성합니다. 2단계 제안에서는 암호화, 인증, Diffie-Hellman 그룹 및 수명에 대한 IPsec 파라미터를 정의합니다.
2단계 제안을 구성하려면 다음 단계를 완료하세요.
- VPN으로 이동한 다음 IPsec을 선택합니다.
- 터널을 선택하고, P2 추가를 선택한 후, 다음 세부 정보를 입력합니다.
일반 정보의 설명에 설명을 입력합니다. 예를 들어, "AWS Tunnel 1_Phase2"를 입력합니다.
- 네트워크에 다음 정보를 입력합니다.
로컬 네트워크에 온프레미스 네트워크의 프라이빗 CIDR을 입력합니다.
원격 네트워크의 경우 Amazon VPC CIDR을 입력합니다.
- **2단계 제안(SA/키 교환)**에서 암호화 알고리즘, 키 길이, 해싱 알고리즘 및 Diffie-Hellman 그룹을 선택합니다.
- 만료 및 교체에서 수명에 3600초(1시간)을 입력합니다.
(선택 사항) KeepAlive에 터널의 특정 사설 IP 주소를 입력하여 2단계를 활성 상태로 유지합니다.
터널 인터페이스 활성화
터널 인터페이스를 켜려면 다음 단계를 완료하세요.
- VPN으로 이동한 다음 IPsec을 선택합니다.
- 터널을 선택합니다.
- 생성한 터널에서 사용 안 함 토글 버튼을 선택합니다.
터널 시작 프로세스 시작
터널 시작 프로세스를 시작하려면 다음 단계를 완료하세요.
- 상태 드롭다운 목록으로 이동한 다음 IPsec을 선택합니다.
- 개요를 선택합니다.
- AWS 터널 1을 찾습니다. 연결 끊김 상태가 표시되는지 확인합니다.
- 연결 끊김 상태인 경우, P1 및 P2 연결 옵션을 선택하여 터널 협상을 시작합니다.
참고: 터널 협상이 완료되면 AWS 터널 상태가 설정됨으로 변경됩니다.
관련 정보
Site-to-Site VPN 연결을 위한 터널 옵션