什麼是Site-to-Site VPN呢?比如分處於台灣和美國的兩間分公司,其各自內部的私有區域網路並無法互通,有些資訊或業務行為要互通往來就變得困難,而S2SVPN正是這樣一種技術、透過網際網路加密通道串連起這些各自獨立的端點,讓他們成為共同的區域網路。
同樣的需求也可能發生在公司地端環境與AWS雲端環境的通訊需求,比如資安的規範或是一些混合雲的設計,地端的資源必須透過公司內部的區域網路來存取或管理雲端的資源,以AWS所提供的解決方案就是「AWS Site-to-Site VPN」,以下圖來說明,建置這個方案主要有三個重點步驟:
- Customer Gateway(比如Fortiate、SonicWall等路由設備)
- Virtual Private Gateway(AWS 雲路由設備)
- Site-to-Site VPN Connection(加密通道相關參數配置)
整個過程可以粗略看成任何分公司之間的對外Gateway(Customer Gateway 和 Virtual Private Gateway)與其中間的「Site-to-Site VPN Connection」的參數設定。
建置Site to Site VPN 雲端部分
1. 建立客戶閘道(Customer Gateway),需要填上客戶端閘道的名稱和你地端路由器的IP
2. 建立虛擬私有閘道(Virtual Private Gateway),並將創建好的虛擬私有閘道綁定至你要連接的雲端區網(VPC)
3. 在雲路由表裡啟用路由傳播與建立靜態路由規則(確認通往地端區域網路CIDR的目的地為我們剛所建立的虛擬私有閘道)
4. 建立 Site-to-Site VPN 連線
建置Site to Site VPN 地端部分
本例以Synology RT2600AC 路由器為範例,使用「VPN Plus Server」套件來建立地端的Customer Gateway。
1. 先到AWS雲端下載VPN連線配置組態,並從組態檔案裡找到參數關鍵字,我們的Synology路由器並未在廠商列表之中,因此選擇通用的「Generic」即可
- IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : 2PZYGVFbwWyvwc9bynPlVA69uBeuqV_o - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2 Outside IP Addresses: - Customer Gateway : 88.198.208.220 - Virtual Private Gateway : 51.69.65.208
2. 在本地路由器中新增 Site-to-Site VPN 連線,預先共用金鑰參閱組態檔中的「Pre-Shared Key」,其他參數依此類推
嘗試地端與雲端之間的區網互聯
1. 替AWS雲端區網環境的相關資源建立一個專用的安全群組
2. AWS雲端上準備一台ec2虛擬機器並套用上一步驟所建立的安全群組
3. 地端機器嘗試連線 AWS雲端區網中的機器
4. AWS雲端機器嘗試連線 地端區網內的機器
後話
過往在地端建置Site-to-Site VPN時,通常會取兩台或以上品牌型號相同的路由器來建置,以避免相容性的問題,而AWS Site-to-Site VPN採用的是標準的IPSec VPN,如無意外市面上多數的路由器都能支持。
另外要注意的是Site-to-Site VPN在AWS上是需要付費的功能,本次實驗的region選在東京,每小時連線價格為0.048 USD,相當於一個月需要支付1080元台幣,資料傳輸的計費另計。
來自台灣的系統工程師,一直熱衷於 Open source 相關技術的學習、建置、應用與分享。
0 Comments:
張貼留言