场景描述

默认情况下，您在 Amazon VPC 中启动的实例无法与您自己的（远程）网络进行通信。您可以通过创建 AWS Site-to-Site VPN（Site-to-Site VPN）连接并将路由配置为通过该连接传输流量，从而启用从您的 VPC 访问远程网络的权限。

尽管 VPN 连接 术语是一个泛指术语，但是在本文档中，VPN 连接是指您的 VPC 和您自己的本地网络之间的连接。站点到站点 VPN 支持 Internet 协议安全 (IPsec) VPN 连接。

官网地址：https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/VPC_VPN.html

需求描述

本地测试环境与生产环境实现内网相互访问(借助于开源软件openswan和aws的点到点vpn打通)

本地测试环境

AWS的北京区域，里面作为我的测试站点（172.31.0.0/16）Region：cn-north-1

生产环境

一个是在AWS的弗吉尼亚北部作为生产环境（10.0.0.0/16）Region：us-east-1

需求：本地测试环与生产环境之间的vpc互通（内网连接）

架构图如下：（该图片来自于互联网）

测试环境站点（北京区域）

主机一

主机名：openswan
内网IP：172.31.9.78
公网IP：52.81.54.134
描述：需要安装openswan软件进行打通

有一台Openswan的主机，这个主机的公网IP地址，稍后我们会使用到。在弗吉尼亚添加客户网关的时候会使用到这个IP（52.81.54.134）

主机二

主机名：test
内网IP：172.31.11.131
公网IP：54.223.248.166
描述：运行一个web服务，方便测试

生产环境站点（弗吉尼亚）

主机一

主机名：lemon-01
内网IP：10.0.2.166
描述：会运行一个web服务

主机二

主机名：lemon-02
内网IP：10.0.2.170
描述：会运行一个web服务

VPN搭建

弗吉尼亚区域操作

客户网关--->虚拟私有网关--->站点到站点网关

创建客户网关

创建虚拟私有网关

创建完成之后，需要绑定对应的VPC。这里绑定的VPC是绑定的弗吉尼亚生产环境所在的这个VPC

创建点到点VPN连接

下载对应的配置，然后按照配置文件去到对应的北京区域openswan这个服务器上面去操作。

北京区域操作

下载下来的配置文件解析：

连接OpenSwan的EC2主机

安装openswan软件

###yum安装
yum update
yum -y install openswan

写配置文件

/etc/ipsec.d/aws.conf 文件路径，配置来资源在弗吉尼亚下载的字段

配置验证信息

启动Openswan

查看点到点vpn的信息

可以看到是已经UP了的

打通网络连接

弗吉尼亚

找到vpc所对应的路由表

弗吉尼亚的云主机，安装web

###主机一 10.0.2.166
yum update
yum -y install httpd
systemctl start httpd && systemctl enable httpd
echo "lemon01" >/var/www/html/index.html

###主机二 10.0.2.170
yum update
yum -y install httpd
systemctl start httpd && systemctl enable httpd
echo "lemon02" >/var/www/html/index.html

测试访问

北京区域：openswan主机访问弗吉尼亚的主机

北京区域同一个vpc访问弗吉尼亚网络（需要配置路由表）

让10.0.0.0/16然后找这个openswan所在的实例出去。这个时候需要把openswan所在这个ec2关闭源和目标检查

配置路由表（北京区域）

关闭源和目标检查

在北京区域的另一台机器测试（test）

至此：北京区域到弗吉尼亚区域打通网络访问