aws配置点到点vpn隧道

1、创建客户网关
如下图所示：注意IP地址是本地（北京vpn设备防火墙）的固定出口ip地址。

image.png

2、创建 虚拟私有网关
如下图所示： 选择需要连接本地的aws上的vpc网络。其他默认即可。

image.png

3、创建 站点到站点vpn连接
如下图所示： 创建vpn连接，配置选项可按照如下配置，或者按照（https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html）括号内连接地址配置。

image.png

4、此时我们需要配置路由表，需要连接vpn的子网的路由需要添加一条规则：
如下图所示：我们需要将本地ip地址段目标配置为：虚拟私有网关。

image.png

5、下一步是配置安全组，我们必须让本地ip地址段可以通过安全组访问我们的实例资源。

image.png

——————我是分割线，下面配置是本地办公区的配置———————

1、配置本地vpn设备，使用华为防火墙作为vpn网关设备。
vpn隧道选项我们和aws上配置选项保持一致即可。

image.png

2、下面还有重要的一步，就是配置本地的路由表。
我们在核心交换机上配置172.40.0.0/16网段的路由吓一跳设备为：华为防火墙。

3、此时，我们所有vpn配置都已完成。
ipsec诊断所有结果都是通过：

image.png

隧道详情显示IKE协商成功。

image.png

我们本地ping远程aws上的服务器实例：显示ping可达。

image.png

4、本地和aws已建立完整的内网vpn连接。

—------------------------------—我是分割线——---------------------------------------------

下面介绍的是华为路由器建立点对点vpn隧道的过程

1、华为路由器AR6140H-S，配置点对点vpn使用命令行更合适。
参考华为文档：https://support.huawei.com/hedex/pages/EDOC1000163882DZG08147/14/EDOC1000163882DZG08147/14/resources/dc/dc_cfg_ipsec_0047.html?ft=0&fe=10&hib=7.1.10.6.12.4&id=dc_cfg_ipsec_0047&text=%25E9%2585%258D%25E7%25BD%25AE%25E6%2580%25BB%25E9%2583%25A8%25E9%2587%2587%25E7%2594%25A8%25E5%25AE%2589%25E5%2585%25A8%25E7%25AD%2596%25E7%2595%25A5%25E7%25BB%2584%25E6%2596%25B9%25E5%25BC%258F%25E4%25B8%258E%25E5%2588%2586%25E6%2594%25AF%25E5%25BB%25BA%25E7%25AB%258B%25E5%25A4%259A%25E6%259D%25A1IPSec%25E9%259A%25A7%25E9%2581%2593%25E7%25A4%25BA%25E4%25BE%258B&docid=EDOC1000163882