如何使用静态路由在虚拟 pfSense 路由器与 AWS 托管的 VPN 端点之间建立 IPsec VPN？

解决方法

先决条件：

• 配置与虚拟专用网关关联的 Amazon Virtual Private Cloud（Amazon VPC）CIDR。或者，将 Amazon VPC 附加到中转网关。
• 确保 Amazon VPC CIDR 与本地网络 CIDR 不重叠。

创建 AWS Site-to-Site VPN

要使用静态路由为 pfSense 路由器创建 AWS Site-to-Site VPN，请完成以下步骤：

1. 要配置 VPN 连接的 AWS 端，请完成 Getting started with AWS Site-to-Site VPN 中的步骤 1 到 5。
   注意：在第 5 步中将路由选项选择为静态。
2. 打开 Amazon VPC 控制台，然后导航到站点到 VPN 连接。
3. 选择您的 VPN 连接，然后下载该路由器的示例配置文件。
   **注意：**使用此示例文件在路由器上配置 AWS Site-to-Site VPN。
4. 从浏览器登录到 pfSense 路由器：
   在浏览器的 URL 中，输入 pfSense 路由器的管理 IP 地址。
   出现登录页面时，输入用户名和密码。

配置第 1 阶段提案参数

配置第 1 阶段提案或互联网密钥交换（IKE）提案参数。第 1 阶段提案为加密、身份验证、Diffie-Hellman 组和生命周期定义了 IKE 参数。

要配置第 1 阶段参数，请完成下面的步骤：

1. 转到 VPN，然后选择 IPsec。
2. 选择隧道，选择添加 P1，然后输入下面的详细信息：
   在一般信息下的描述中，输入描述。例如，输入“AWS 隧道 1”。
3. 在 IKE 端点配置下，输入以下信息：
   对于密钥交换版本，选择 IKEv1 或 IKEv2。
   对于互联网协议，选择 IPv4。
   对于接口，输入 pfSense 路由器的外部接口。
   对于远程网关，输入 AWS 隧道的公有 IP 地址。
4. 在第 1 阶段提案（身份验证）下，输入以下信息：
   对于身份验证方法，输入 PSK。
   对于协商模式，选择主。
   对于我的标识符，输入 pfSense 的公有 IP 地址。
   对于预共享密钥，输入示例配置文件中的预共享密钥。
5. 在**第 1 阶段提案（加密算法）**下，选择加密算法、密钥长度、哈希算法和 Diffie-Hellman 组。
6. 在过期和更换下，对于存在期输入 28800 秒（8 小时）。
7. 在高级选项下，打开 DPD，然后输入以下信息：
   对于延迟，输入 10 秒。
   对于最大失败次数，输入 3。
8. 选择保存。

配置第 2 阶段提案参数

为隧道配置第 2 阶段提案或 IPsec 提案。第 2 阶段提案为加密、身份验证、Diffie-Hellman 组和生命周期定义了 IPsec 参数。

要配置第 2 阶段提案，请完成下面的步骤：

1. 转到 VPN，然后选择 IPsec。
2. 选择隧道，选择添加 P2，然后输入下面的详细信息：
   在一般信息下的描述中，输入描述。例如，输入“AWS Tunnel 1_Phase2”。
3. 在网络下，输入以下信息：
   对于本地网络，输入本地网络上的私有 CIDR。
   对于远程网络，输入 Amazon VPC CIDR。
4. 对于第 2 阶段提案（SA/密钥交换），选择加密算法、密钥长度、哈希算法和 Diffie-Hellman 组。
5. 在过期和更换下，对于存在期输入 3600 秒（1 小时）。
   （可选）对于 KeepAlive，输入隧道的特定私有 IP 地址以保持第 2 阶段处于活动状态。

激活隧道接口

要启用隧道接口，请完成下面的步骤：

1. 转到 VPN，然后选择 IPsec。
2. 选择隧道。
3. 在您创建的隧道上选择禁用切换按钮。

启动隧道启动过程

要启动隧道启动过程，请完成下面的步骤：

1. 前往状态下拉列表，然后选择 IPsec。
2. 选择概览。
3. 查找 AWS 隧道 1。请注意，它显示已断开连接状态。
4. 对于已断开连接状态，选择连接 P1 和 P2 选项以启动隧道协商。
   注意：隧道协商完成后，AWS 隧道状态会更改为已建立。

相关信息

Tunnel options for your Site-to-Site VPN connection