︿
Top

AWS Site-to-Site VPN with Synology

什麼是Site-to-Site VPN呢?比如分處於台灣和美國的兩間分公司,其各自內部的私有區域網路並無法互通,有些資訊或業務行為要互通往來就變得困難,而S2SVPN正是這樣一種技術、透過網際網路加密通道串連起這些各自獨立的端點,讓他們成為共同的區域網路。

同樣的需求也可能發生在公司地端環境與AWS雲端環境的通訊需求,比如資安的規範或是一些混合雲的設計,地端的資源必須透過公司內部的區域網路來存取或管理雲端的資源,以AWS所提供的解決方案就是「AWS Site-to-Site VPN」,以下圖來說明,建置這個方案主要有三個重點步驟:

  • Customer Gateway(比如Fortiate、SonicWall等路由設備)
  • Virtual Private Gateway(AWS 雲路由設備)
  • Site-to-Site VPN Connection(加密通道相關參數配置)

整個過程可以粗略看成任何分公司之間的對外Gateway(Customer Gateway 和 Virtual Private Gateway)與其中間的「Site-to-Site VPN Connection」的參數設定。





建置Site to Site VPN 雲端部分


1. 建立客戶閘道(Customer Gateway),需要填上客戶端閘道的名稱和你地端路由器的IP



2. 建立虛擬私有閘道(Virtual Private Gateway),並將創建好的虛擬私有閘道綁定至你要連接的雲端區網(VPC)




3. 在雲路由表裡啟用路由傳播與建立靜態路由規則(確認通往地端區域網路CIDR的目的地為我們剛所建立的虛擬私有閘道)




4. 建立 Site-to-Site VPN 連線





建置Site to Site VPN 地端部分

本例以Synology RT2600AC 路由器為範例,使用「VPN Plus Server」套件來建立地端的Customer Gateway。


1. 先到AWS雲端下載VPN連線配置組態,並從組態檔案裡找到參數關鍵字,我們的Synology路由器並未在廠商列表之中,因此選擇通用的「Generic」即可



  - IKE version              : IKEv1
  - Authentication Method    : Pre-Shared Key
  - Pre-Shared Key           : 2PZYGVFbwWyvwc9bynPlVA69uBeuqV_o
  - Authentication Algorithm : sha1
  - Encryption Algorithm     : aes-128-cbc
  - Lifetime                 : 28800 seconds
  - Phase 1 Negotiation Mode : main
  - Diffie-Hellman           : Group 2

Outside IP Addresses:
  - Customer Gateway 		        : 88.198.208.220
  - Virtual Private Gateway	    : 51.69.65.208


2. 在本地路由器中新增 Site-to-Site VPN 連線,預先共用金鑰參閱組態檔中的「Pre-Shared Key」,其他參數依此類推






嘗試地端與雲端之間的區網互聯


1. 替AWS雲端區網環境的相關資源建立一個專用的安全群組




2. AWS雲端上準備一台ec2虛擬機器並套用上一步驟所建立的安全群組


3. 地端機器嘗試連線 AWS雲端區網中的機器


4. AWS雲端機器嘗試連線 地端區網內的機器




後話

過往在地端建置Site-to-Site VPN時,通常會取兩台或以上品牌型號相同的路由器來建置,以避免相容性的問題,而AWS Site-to-Site VPN採用的是標準的IPSec VPN,如無意外市面上多數的路由器都能支持。

另外要注意的是Site-to-Site VPN在AWS上是需要付費的功能,本次實驗的region選在東京,每小時連線價格為0.048 USD,相當於一個月需要支付1080元台幣,資料傳輸的計費另計。


tomy

來自台灣的系統工程師,一直熱衷於 Open source 相關技術的學習、建置、應用與分享。

  • Image
  • Image
  • Image
  • Image
  • Image

0 Comments:

張貼留言