•
SG는 inbound tcp 443
•
Subnet은 VPN Subnet
•
패키지 설치를 위해 임시적으로 Spoke3-IDC vpc에 igw 할당 및 vpn subnet route table에 igw 추가
•
VPN 인스턴스에 임시 EIP 할당
•
VPN 인스턴스 SG에 UDP 4500, 500 port open
Site to Site VPN 구성 후 진행
•
VPN EC2에 libreswan 설치
sudo yum install libreswan -y
sudo systemctl enable ipsec --now
Shell
복사
•
site-to-site에서 VPN Confing Download
•
VPN 인스턴스에서 설정
sudo vim /etc/sysctl.conf
# 맨 아래에 아래 내용 추가
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
Shell
복사
•
파일 적용
sudo sysctl -p
Shell
복사
•
다운로드한 파일에서 아래 내용 가져오기
◦
아래 내용에서 auth=esp 줄은 지워야함
◦
LOCAL NETWORK 에는 10.3.0.0/16, REMOTE NETWORK에는 0.0.0.0/0 입력
◦
modp1024 라고 되어있는 부분 전부다 modp2048로 변경
sudo mkdir -p /etc/ipsec.d
sudo vim /etc/ipsec.d/aws.conf
Shell
복사
sudo vim /etc/ipsec.d/aws.secrets
Shell
복사
•
파일에 있는 아래 secret 부분 입력
•
libreswan 재시작 및 상태 확인
sudo systemctl restart ipsec
Shell
복사
•
VPN Instance Source / destination check stop 활성화
•
Site-to-Site VPN Tunnel Status 확인 (조금 걸릴수도 있음)
•
TGW에서 10.3.0.0/16에 대한 routing이 전부 blackhole에서 active 상태인지 확인
Routing Table Update
•
SpokeVPC3-VPN-rt (각 vpc cidr에 대해 VPN Instance로 라우팅)
•
SpokeVPC3-Private-rt (0.0.0.0/0에 대해 VPN instance로 라우팅)
•
Main Public a,b 에 10.3.0.0/16에 대해 GWLB endpoint routing 추가
