pfSense到AWS的IPSec 虚拟专用网络连接

AWS体系结构

该设计具有两个子网和一个到远程办公室的×××连接。第一个子网是一个公共子网（192.168.91.0/24），为其分配公有和私有IP地址的主机。第二个子网（192.168.90.0/24）将被用作后端子网，该子网将只能分配私有IP地址的主机 ，不能直接连接外部网络。假设他们已被分配公有IP，公共子网中的主机将能够通过互联网使用AWS Internet Gateway访问和联系。私有子网中的主机将使用公共子网内的NAT网关，允许它们访问互联网来获取软件包和进行补丁更新。公共子网和私有子网可以相互通信。

创建VPC

使用VPC向导可以在AWS中执行几乎所有的设置。 如果你想要将现有的VPC适配到此模型或更好地了解向导正在执行的操作，则基本VPC设置将遵循使用公共和专用子网创建VPC中讨论的步骤。

使用向导

转到VPC仪表板，然后选择“Start VPC Wizard（启动VPC向导）”，它将引导你进入一个可以选择要创建的VPC类型的页面。对于本教程的要求，你应该选择“VPC with Public and Private Subnets and Hardware ××× Access”。如下图所示，下图中的值是这个教程应用的示例。

第2步 - VPC配置选项

Setp 3 - 配置×××

根据提示填写对话框中的值。在Customer Gateway IP中填入你的PFSense的WAN IP地址。无论出于何种原因，AWS都不会让我拥有分配给多个VPC连接的相同IPSec Customer Gateway IP。对于PFSense，Routing Type需要选择Static。这将调出IP前缀表。将你要在PFSense端连接到AWS的内部办公室网络添加到AWS，然后点击创建VPC。该向导会使用不同的组件来设置子网，网关，路由等。

公共子网配置

公共子网将由向导配置，如下图所示。



公有子网带有配置的igw，因此假设它具有分配的公共IP地址，其中的任何内容都能够访问互联网。如果没有通往办公网络的路由，你将无法访问子网中的系统。通过单击Edit按钮右侧的Route Table跳转到路由表部分来修复此问题。选择有问题的路由表，点击“Edit”，然后“Add Another Route”添加路由。在Destination中输入office network，然后在目标字段的方便下拉菜单中选择您的虚拟专用网关，如下图所示。

专用子网配置

下面我们来设置NAT网关，以便私有子网可以获得软件包和更新。

NAT网关

转到NAT Gateway关部分，为私有子网创建一个NAT网关。在NAT网关对话框中，选择公共子网。你希望私有子网能够访问外部网络，但是NAT网关必须是公共的，因此它有一个出路。你还需要将EIP与NAT网关相关联。

添加虚拟专用网关路由

创建NAT网关后，选择Route Table部分。找到与你的私有子网关联的路由表。选择此项，然后在下方的窗格中选择“ Routes”选项卡。编辑路由以将默认路由添加到NAT网关。

下载×××配置信息

现在大部分AWS配置都已完成。现在
38f8
我们将下载pfSense配置文件。选择××× Connections部分，然后选择你的×××连接。


点击“Download Configuration”按钮。然后从供应商选择框中选择pfSense，然后单击Download以下载文件。

PFSense IPSEC ×××配置

本文档的其余部分将介绍PFSense防火墙的配置，以便与使用AWS控制台配置的×××端点进行通信。

阶段1

在这个阶段，防火墙使用这些参数相互认证并建立一个安全的控制通道。在此配置中，此阶段使用预共享密钥来进行×××对等方的相互认证。
AWS目前仅支持IKEv1，因此你可以在 Key Exchange Version（密钥交换版本）中选择该选项。我们只会对IPv4进行隧道传输，以方便选择互联网协议。我们的IPSec端点绑定到WAN地址。在Remote Gateway(远程网关)字段输入你的AWS ×××端点的IP地址，这可以在我们上述步骤中下载的配置文件中找到。在Description输入描述内容。


身份验证下的选项使用默认值，需要做的唯一事情就是填写你在配置上述×××端点时设置的预共享密钥。可以在下载的配置中找到。



阶段1的算法与下载的配置建议中的默认值不同。通过试用，使用AES 256作为加密算法比下载的配置指定的要好。Hash Algorithm（哈希算法）选择SHA256。对于DH Group，选择24，为我们的密钥交换提供较高的安全级别。



下面的高级选项使用默认值就可以了。单击保存并返回到IPSec隧道表。单击添加P2来进行阶段2配置。

阶段2

阶段1确保隧道的安全，在阶段2中我们选择使用的信道在网络之间交换数据更加安全。IKE阶段2使用在流程的阶段1中建立的密钥，以及我们将在下面指定的其他加密选项。
填写网络端点信息。Local Network(本地网络)选择“LAN subnet”。远程网络类型选择“Network”，并填写你配置的AWS子网。在本教程中，为192.168.90.0/23。



接下来我们将配置阶段2，我们配置额外的IPSec加密选项来进一步保护网络之间的数据交换。协议选择ESP，加密算法使用AES 256，哈希算法使用SHA 256。PFS密钥组选16，随着时间的推移，可以为我们提供最大的保护。



下面部分留空。



点击保存，返回到IPSec隧道表。

启动×××连接

导航到Status/IPsec，查看IPSec状态表。如果你的×××尚未连接，请按连接按钮，状态应快速更新为已建立。


这个教程的连接实际上来自NAT网关后面的pfSense测试机，因此你可以在上面的图中看到pfSense WAN地址的NAT IP和使用NAT-T的NAT IP。你还可以看到我们上面选择的加密参数，并且×××已启动并正在运行。
同样，我们可以扩展SA条目以查看阶段2连接信息：

故障排查

如果遇到问题，pfsense中的IPSec ×××将生成有用的日志，这些日志可以帮助找出可能无法正常工作的原因。在Status/IPsec/页面上，你可以选择“相关日志”按钮，或者导航至Status/System Logs/IP Sec。IPSec进程是charon。这些消息可以为你找出问题线索。

防火墙规则

你需要创建允许IPSec ×××到你的网络的流量规则。可以在pfSense中创建别名，以方便记住范围。导航到Firewall/Aliases/IP并创建一个新条目。如下图所示：



同样，对专用网络执行相同操作：



现在，导航到 Firewall/Rules/IPSec 部分。首先，我们将创建一个规则来阻止从公有子网到我们内部网络的所有访问。向表中添加一条规则并填写如下所示的值：



如果您希望私人AWS范围内的计算机能够访问LAN网络中的系统，则必须创建规则以允许访问。在下面的例子中我设置允许使用SSH，但你应该根据自己的需要进行调整：



最后，添加block规则，以阻止从IPSec隧道到LAN网络的所有流量：



配置的规则顺序如下所示：



原文件地址