amazon virtual private cloud · amazon virtual private cloud guía para administradores de red...
TRANSCRIPT
Amazon Virtual Private CloudGuía para administradores de red
Amazon Virtual Private CloudGuía para administradores de red
Amazon Virtual Private Cloud: Guía para administradores de redCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
Amazon Virtual Private CloudGuía para administradores de red
Table of ContentsBienvenido ......................................................................................................................................... 1Su dispositivo de gateway de cliente ..................................................................................................... 2
¿Qué es un dispositivo de gateway de cliente? ............................................................................... 2Su función ......................................................................................................................... 4
Información general de configuración de una conexión VPN .............................................................. 4Información de red .............................................................................................................. 4Información de enrutamiento ................................................................................................ 5
AWS VPN CloudHub y gateways de cliente redundantes .................................................................. 5Configuración de varias conexiones de VPN en su VPC ................................................................... 6Dispositivos de gateway de cliente que hemos probado ................................................................... 7Requisitos para el dispositivo de gateway de cliente ........................................................................ 8Configuración de un firewall entre Internet y el dispositivo de gateway de cliente ................................. 11
Ejemplo: dispositivo Check Point que utiliza BGP .................................................................................. 13Vista general de la gateway de cliente ......................................................................................... 13Archivo de configuración ............................................................................................................ 14Configuración de dispositivo Check Point ..................................................................................... 15
Paso 1: Configuración de las interfaces del túnel ................................................................... 15Paso 2: Configuración de BGP ........................................................................................... 16Paso 3: Creación de objetos de red .................................................................................... 17Paso 4: Creación de una comunidad de VPN y configuración de IKE e IPsec ............................. 18Paso 5: Configuración del firewall ....................................................................................... 19Paso 6: Activación de la detección de pares muertos y del bloqueo de TCP MSS ........................ 20
Cómo probar la configuración de la gateway de cliente ................................................................... 21Ejemplo: dispositivo Check Point (sin BGP) .......................................................................................... 24
Vista general de la gateway de cliente ......................................................................................... 24Archivo de configuración ............................................................................................................ 25Configuración de dispositivo Check Point ..................................................................................... 26
Paso 1: Configuración de interfaz de túnel ............................................................................ 26Paso 2: Configuración de la ruta estática ............................................................................. 28Paso 3: Creación de objetos de red .................................................................................... 29Paso 4: Creación de una comunidad de VPN y configuración de IKE e IPsec ............................. 30Paso 5: Configuración del firewall ....................................................................................... 32Paso 6: Activación de la detección de pares muertos y del bloqueo de TCP MSS ........................ 33
Cómo probar la configuración de la gateway de cliente ................................................................... 34Ejemplo: dispositivo Cisco ASA ........................................................................................................... 37
Vista general de la gateway de cliente ......................................................................................... 37configuración de ejemplo ........................................................................................................... 38Cómo probar la configuración de la gateway de cliente ................................................................... 42
Ejemplo: dispositivo Cisco ASA con VTI y BGP ..................................................................................... 44Vista general de la gateway de cliente ......................................................................................... 44Ejemplo de configuración ........................................................................................................... 45Cómo probar la configuración de la gateway de cliente ................................................................... 51
Ejemplo: dispositivo Cisco ASA con VTI (sin BGP) ................................................................................ 53Vista general de la gateway de cliente ......................................................................................... 53Ejemplo de configuración ........................................................................................................... 54Cómo probar la configuración de la gateway de cliente ................................................................... 59
Ejemplo: dispositivo Cisco IOS ........................................................................................................... 61Vista general de la gateway de cliente ......................................................................................... 61Vista detallada de la gateway de cliente y configuración de ejemplo ................................................. 62Cómo probar la configuración de la gateway de cliente ................................................................... 69
Ejemplo: dispositivo Cisco IOS (sin BGP) ............................................................................................. 71Vista general de la gateway de cliente ......................................................................................... 71Vista detallada de la gateway de cliente y configuración de ejemplo ................................................. 72Cómo probar la configuración de la gateway de cliente ................................................................... 78
iii
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo: dispositivo SonicWALL .......................................................................................................... 80Vista general del dispositivo de gateway de cliente ........................................................................ 80Archivo de configuración de ejemplo ............................................................................................ 81Configuración del dispositivo SonicWALL mediante la interfaz de administración ................................. 84Cómo probar la configuración de la gateway de cliente ................................................................... 85
Ejemplo: dispositivo SonicWALL (sin BGP) ........................................................................................... 87Vista general del dispositivo de gateway de cliente ........................................................................ 87Archivo de configuración de ejemplo ............................................................................................ 88Configuración del dispositivo SonicWALL mediante la interfaz de administración ................................. 91Cómo probar la configuración de la gateway de cliente ................................................................... 93
Ejemplo: dispositivo Fortinet Fortigate .................................................................................................. 95Vista general del dispositivo de gateway de cliente ........................................................................ 95Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ................................. 96Cómo probar la configuración de la gateway de cliente ................................................................. 104
Ejemplo: dispositivo Juniper J-Series JunOS ....................................................................................... 106Vista general del dispositivo de gateway de cliente ...................................................................... 106Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 107Cómo probar la configuración de la gateway de cliente ................................................................. 114
Ejemplo: dispositivo Juniper SRX JunOS ............................................................................................ 116Vista general del dispositivo de gateway de cliente ...................................................................... 116Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 117Cómo probar la configuración de la gateway de cliente ................................................................. 124
Ejemplo: dispositivo Juniper ScreenOS ............................................................................................... 126Vista general del dispositivo de gateway de cliente ...................................................................... 126Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 127Cómo probar la configuración de la gateway de cliente ................................................................. 133
Ejemplo: dispositivo Netgate PfSense (sin BGP) .................................................................................. 135Vista general del dispositivo de gateway de cliente ...................................................................... 135Ejemplo de configuración ......................................................................................................... 136Cómo probar la configuración de la gateway de cliente ................................................................. 139
Ejemplo: dispositivo de Palo Alto Networks ......................................................................................... 141Vista general del dispositivo de gateway de cliente ...................................................................... 141Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 142Cómo probar la configuración de la gateway de cliente ................................................................. 149
Ejemplo: dispositivo Yamaha ............................................................................................................ 151Vista general del dispositivo de gateway de cliente ...................................................................... 151Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 152Cómo probar la configuración de la gateway de cliente ................................................................. 158
Ejemplo: dispositivo de gateway de cliente genérico con BGP ................................................................ 160Vista general del dispositivo de gateway de cliente ...................................................................... 160Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 161Cómo probar la configuración de la gateway de cliente ................................................................. 166
Ejemplo: dispositivo de gateway de cliente genérico (sin BGP) ............................................................... 168Vista general del dispositivo de gateway de cliente ...................................................................... 168Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo ............................... 169Cómo probar la configuración de la gateway de cliente ................................................................. 174
Solución de problemas ..................................................................................................................... 176Conectividad de gateway de cliente de Cisco ASA ....................................................................... 176
IKE ............................................................................................................................... 176IPsec ............................................................................................................................. 177Direccionamiento ............................................................................................................. 178
Conectividad de gateway de cliente de Cisco IOS ........................................................................ 179IKE ............................................................................................................................... 179IPsec ............................................................................................................................. 180Túnel ............................................................................................................................. 181BGP .............................................................................................................................. 182Conexión de la gateway privada virtual .............................................................................. 183
iv
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway de cliente de Cisco IOS (sin BGP) .......................................................... 183IKE ............................................................................................................................... 184IPsec ............................................................................................................................. 184Túnel ............................................................................................................................. 186Conexión de la gateway privada virtual .............................................................................. 188
Conectividad de gateway de cliente de Juniper JunOS ................................................................. 188IKE ............................................................................................................................... 188IPsec ............................................................................................................................. 189Túnel ............................................................................................................................. 189BGP .............................................................................................................................. 190Conexión de la gateway privada virtual .............................................................................. 191
Conectividad de gateway de cliente de Juniper ScreenOS ............................................................. 191IKE e IPsec .................................................................................................................... 191Túnel ............................................................................................................................. 192BGP .............................................................................................................................. 193Conexión de la gateway privada virtual .............................................................................. 194
Conectividad de gateway de cliente de Yamaha .......................................................................... 194IKE ............................................................................................................................... 194IPsec ............................................................................................................................. 195Túnel ............................................................................................................................. 196BGP .............................................................................................................................. 196Conexión de la gateway privada virtual .............................................................................. 197
Conectividad de gateway de cliente de dispositivos genéricos ........................................................ 197Conectividad de gateway de cliente de dispositivos genéricos (sin BGP) .......................................... 200
Configuración de Windows Server 2008 R2 como dispositivo de gateway de cliente ................................... 203Configuración de Windows Server ............................................................................................. 203Paso 1: Crear una conexión de VPN y configurar la VPC ............................................................. 204Paso 2: Descarga del archivo de configuración de la conexión de VPN ............................................ 205Paso 3: Configuración de Windows Server .................................................................................. 207Paso 4: Configuración del túnel de VPN ..................................................................................... 208
Opción 1: Ejecución del script netsh .................................................................................. 208Opción 2: Utilización de la interfaz de usuario de Windows Server .......................................... 209
Paso 5: Habilitación de la detección de gateways inactivas ............................................................ 215Paso 6: Comprobación de la conexión de VPN ............................................................................ 215
Configuración de Windows Server 2012 R2 como gateway de cliente ...................................................... 217Configuración de Windows Server ............................................................................................. 217Paso 1: Crear una conexión de VPN y configurar la VPC ............................................................. 218Paso 2: Descarga del archivo de configuración de la conexión de VPN ............................................ 219Paso 3: Configuración de Windows Server .................................................................................. 221Paso 4: Configuración del túnel de VPN ..................................................................................... 222
Opción 1: Ejecución del script netsh .................................................................................. 222Opción 2: Utilización de la interfaz de usuario de Windows Server .......................................... 2222.4: Configuración del firewall de Windows ......................................................................... 226
Paso 5: Habilitación de la detección de gateways inactivas ............................................................ 227Paso 6: Comprobación de la conexión de VPN ............................................................................ 227
Historial de revisión ......................................................................................................................... 229
v
Amazon Virtual Private CloudGuía para administradores de red
BienvenidoLe damos la bienvenida a la Guía para administradores de red de AWS Site-to-Site VPN. Esta guía vadirigida a clientes que tienen intención de utilizar una conexión de AWS Site-to-Site VPN con su nubevirtual privada (VPC). Los temas tratados en esta guía le ayudarán a configurar su dispositivo de gatewayde cliente, que es el dispositivo de su extremo de la conexión de VPN.
Aunque el término conexión de VPN es un término general, en esta documentación, la conexión de VPNhace referencia a la conexión entre su VPC y su red local. VPN de sitio a sitio admite conexiones de VPNcon cifrado Internet Protocol Security (IPsec). Para obtener una lista de dispositivos de gateways de clienteprobadas, consulte the section called “Dispositivos de gateway de cliente que hemos probado” (p. 7).
La conexión de VPN le permite conectar su VPC con su infraestructura de TI. Puede aplicar sus políticasde seguridad y administración existentes a las instancias EC2 de su VPC como si las estuviera ejecutandoen su propia infraestructura.
Para obtener más información, consulte los siguientes temas:
• Su dispositivo de gateway de cliente (p. 2)• Ejemplo: dispositivo Check Point con protocolo de gateway fronteriza (BGP) (p. 13)• Ejemplo: dispositivo Check Point sin protocolo de gateway fronteriza (p. 24)• Ejemplo: dispositivo Cisco ASA (p. 37)• Ejemplo: dispositivo Cisco IOS (p. 61)• Ejemplo: dispositivo Cisco IOS sin protocolo de gateway fronteriza (BGP) (p. 71)• Ejemplo: dispositivo Cisco ASA con una interfaz de túnel virtual y protocolo de gateway
fronteriza (p. 44)• Ejemplo: dispositivo Cisco ASA con una interfaz de túnel virtual (sin protocolo de gateway
fronteriza) (p. 53)• Ejemplo: dispositivo SonicWALL SonicOS sin protocolo de gateway fronteriza (p. 87)• Ejemplo: dispositivo SonicWALL (p. 80)• Ejemplo: dispositivo Juniper J-Series JunOS (p. 106)• Ejemplo: dispositivo Juniper SRX JunOS (p. 116)• Ejemplo: dispositivo Juniper ScreenOS (p. 126)• Ejemplo: dispositivo Netgate PfSense sin protocolo de gateway fronteriza (p. 135)• Ejemplo: dispositivo de Palo Alto Networks (p. 141)• Ejemplo: dispositivo Yamaha (p. 151)• Ejemplo: dispositivo de gateway de cliente genérico con protocolo de gateway fronteriza (p. 160)• Ejemplo: dispositivo de gateway de cliente genérico sin protocolo de gateway fronteriza (p. 168)• Configuración de Windows Server 2008 R2 como dispositivo de gateway de cliente (p. 203)• Configuración de Windows Server 2012 R2 como gateway de cliente (p. 217)
1
Amazon Virtual Private CloudGuía para administradores de red
¿Qué es un dispositivo de gateway de cliente?
Su dispositivo de gateway de clienteTemas
• ¿Qué es un dispositivo de gateway de cliente? (p. 2)• Información general de configuración de una conexión VPN (p. 4)• AWS VPN CloudHub y gateways de cliente redundantes (p. 5)• Configuración de varias conexiones de VPN en su VPC (p. 6)• Dispositivos de gateway de cliente que hemos probado (p. 7)• Requisitos para el dispositivo de gateway de cliente (p. 8)• Configuración de un firewall entre Internet y el dispositivo de gateway de cliente (p. 11)
¿Qué es un dispositivo de gateway de cliente?Una conexión VPN de Amazon VPC vincula el centro de datos (o red) a su Amazon Virtual Private Cloud(VPC). Un dispositivo de gateway de cliente es el delimitador de su lado de dicha conexión. Puede serun dispositivo físico o de software. El ancla en el lado de AWS de la conexión de VPN se denomina unagateway privada virtual.
El siguiente diagrama muestra su red, la gateway de cliente, la conexión de VPN que va a la gatewayprivada virtual, y la VPC. Hay dos líneas entre el dispositivo de gateway de cliente y la gateway privadavirtual, ya que la conexión de VPN consta de dos túneles para proporcionar una mayor disponibilidad parael servicio Amazon VPC. Si se produce un error del dispositivo en AWS, su conexión de VPN cambiaráautomáticamente al segundo túnel para que su acceso no se vea interrumpido. Cada cierto tiempo, AWStambién lleva a cabo mantenimiento rutinario en la gateway privada virtual, lo que podría deshabilitar unode los dos túneles de su conexión de VPN durante un breve periodo. Cuando esto ocurra, su conexiónde VPN cambiará automáticamente al segundo túnel mientras duren las tareas de mantenimiento. Alconfigurar su gateway de cliente, por tanto es importante que configure ambos túneles.
2
Amazon Virtual Private CloudGuía para administradores de red
¿Qué es un dispositivo de gateway de cliente?
Puede crear conexiones de VPN adicionales a otras VPC utilizando el mismo dispositivo de gateway decliente. Puede reutilizar la misma dirección IP de gateway de cliente para cada una de estas conexiones deVPN.
Al crear una conexión de VPN, el túnel de VPN aparece cuando el tráfico se genera desde su lado de laconexión de VPN. La gateway privada virtual no es el iniciador; el dispositivo de gateway de cliente debeiniciar los túneles. Los puntos de enlace de VPN de AWS admiten el cambio de clave e inician las nuevasnegociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no haenviado tráfico de renegociación.
Para obtener más información acerca de los componentes de una conexión de VPN, consulte Conexionesde VPN en la Guía del usuario de AWS Site-to-Site VPN.
Para proteger frente a la pérdida de conectividad en caso de que el dispositivo de gateway de clientedeje de estar disponible, puede configurar una segunda conexión de VPN. Para obtener más informaciónacerca de las conexiones redundantes, consulte Utilización de conexiones de VPN redundantes para laconmutación por error en la Guía del usuario de AWS Site-to-Site VPN.
3
Amazon Virtual Private CloudGuía para administradores de red
Su función
Su funciónEsta guía está dirigida al equipo de integración de su compañía, formado por las personas que trabajanpara integrar su infraestructura con Amazon VPC. Este equipo (del que usted puede o no puede formarparte) debe utilizar la consola de administración de AWS para crear una conexión de VPN y obtener lainformación necesaria para configurar su gateway de cliente. Puede que su compañía tenga un equipoindependiente para cada tarea (un equipo de integración que utilice la Consola de administración deAWS). Podría tener un grupo de ingeniería de redes independiente que tenga acceso a los dispositivosde red y configure la gateway de cliente. En esta guía se da por sentado que usted forma parte del grupode ingeniería de redes que recibe la información del equipo de integración de su compañía para poderconfigurar el dispositivo de gateway de cliente.
Información general de configuración de unaconexión VPN
El proceso de configuración de la conexión de VPN en AWS se trata en la Guía del usuario de AWS Site-to-Site VPN. Una tarea del proceso global consiste en configurar la gateway de cliente. Para crear laconexión de VPN, AWS necesita información acerca de la gateway de cliente y debe configurar el propiodispositivo de gateway de cliente.
Para configurar una conexión de VPN, siga estos pasos generales:
1. Designe un dispositivo que actúe como el dispositivo de gateway de cliente. Para obtener másinformación, consulte Dispositivos de gateway de cliente que hemos probado (p. 7) y Requisitospara el dispositivo de gateway de cliente (p. 8).
2. Obtenga el Información de red (p. 4) necesario y proporcione esta información al equipo que crearála conexión de VPN en AWS.
3. Cree la conexión de VPN en AWS y obtenga el archivo de configuración para su gateway de cliente.Para obtener más información acerca de cómo configurar una conexión de VPN AWS, consulteConfiguración de una conexión de VPN AWS en la Guía del usuario de AWS Site-to-Site VPN.
4. Configure el dispositivo de gateway de cliente mediante la información del archivo de configuración. Seofrecen ejemplos en esta guía.
5. Genere tráfico desde su lado de la conexión de VPN para abrir el túnel de VPN.
Información de redPara crear una conexión de VPN en AWS, necesita la siguiente información.
Elemento Comentarios
El proveedor del gateway de cliente (por ejemplo,Cisco Systems), la plataforma (por ejemplo, ISRSeries Routers) y la versión de software (porejemplo, IOS 12.4)
Esta información se utiliza para generar un archivode configuración para el dispositivo de gateway decliente.
La dirección IP direccionable de Internet para lainterfaz externa del dispositivo de gateway decliente.
El valor debe ser estático. Si el dispositivo degateway de cliente reside detrás de un dispositivoque realiza la conversión de las direcciones de red(NAT), utilice la dirección IP pública del dispositivoNAT.
4
Amazon Virtual Private CloudGuía para administradores de red
Información de enrutamiento
Elemento ComentariosPara una instancia NAT de origen, no utilice ladirección IP pública del gateway de cliente comodirección IP de origen de los paquetes que seenvían a través de un túnel VPN. En su lugar,utilice otra dirección IP que no se esté utilizando.
(Opcional) Número de sistema autónomo (ASN)para protocolo de gateway fronteriza (BGP) de lagateway de cliente.
Puede utilizar un ASN existente asignado a sured. Si no tiene ninguno, puede utilizar un ASNprivado en el rango 64512–65534. De lo contrario,suponemos que el BGP ASN de la gateway decliente es 65000.
(Opcional) El ASN para el lado de Amazon de unasesión BGP.
Se especifica al crear una gateway privadavirtual. Si no especifica un valor, se aplica el ASNpredeterminado. Para obtener más información,consulte Gateway privada virtual.
(Opcional) Información de túnel para cada túnel deVPN
Puede configurar algunas de las opciones detúnel para la conexión de VPN. Para obtener másinformación, consulte Opciones de túnel de Site-to-Site VPN para su conexión de Site-to-Site VPN enla Guía del usuario de AWS Site-to-Site VPN.
(Opcional) Certificado privado de AWS CertificateManager Private Certificate Authority paraautenticar su VPN
Debe crear un certificado privado utilizando AWSCertificate Manager Private Certificate Authority.Para obtener información sobre la creaciónde un certificado privado, consulte Creación yadministración de una CA privada en la Guíadel usuario de AWS Certificate Manager PrivateCertificate Authority.
El archivo de configuración del dispositivo de gateway de cliente incluye los valores que especifica para loselementos anteriores. También contiene los valores adicionales requeridos para configurar los túneles deVPN, incluida la dirección IP externa para la gateway privada virtual. Este valor es estático a menos querecree la conexión de VPN en AWS.
Información de enrutamientoAWS recomienda anunciar las rutas de BGP más específicas para influir en las decisiones de enrutamientode la gateway privada virtual. Compruebe la documentación de su proveedor acerca de los comandosespecíficos de su dispositivo.
Para obtener más información acerca de la prioridad de ruta, consulte Tablas de ruteo y prioridad de lasrutas de VPN en la Guía del usuario de AWS Site-to-Site VPN.
AWS VPN CloudHub y gateways de clienteredundantes
Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivosde gateway de cliente. Esta configuración se puede utilizar de distintas formas. Puede tener dispositivosde gateway de cliente redundantes entre su centro de datos y su VPC o puede tener varias ubicacionesconectadas al AWS VPN CloudHub.
5
Amazon Virtual Private CloudGuía para administradores de red
Configuración de varias conexiones de VPN en su VPC
Si tiene dispositivos de gateway de cliente redundantes, cada dispositivo anuncia el mismo prefijo (porejemplo, 0.0.0.0/0) a la gateway privada virtual. Utilizamos el direccionamiento de BGP para determinar laruta del tráfico. Si se produce un error en un dispositivo de gateway de cliente, la gateway privada virtualdirigirá todo el tráfico al dispositivo de gateway de cliente que sí funciona.
Si utiliza la configuración AWS VPN CloudHub, varios sitios pueden obtener acceso a su VPC u obteneracceso de forma segura entre sí utilizando un modelo radial sencillo. Configurará cada dispositivo degateway de cliente para que anuncie un prefijo específico del sitio (como 10.0.0.0/24, 10.0.1.0/24) ala gateway privada virtual. La gateway privada virtual direcciona el tráfico al sitio correcto y anuncia laaccesibilidad de un sitio para los demás.
Para configurar AWS VPN CloudHub, utilice la consola de Amazon VPC para crear varias gateways decliente, cada una con la dirección IP pública de la gateway. Debe utilizar un número único de sistemaautónomo (ASN) para protocolo de gateway fronteriza (BGP) para cada una. A continuación, creeuna conexión de VPN desde cada gateway de cliente a una gateway privada virtual común. Utilice lassiguientes instrucciones para configurar cada dispositivo de gateway de cliente y conectarlo a la gatewayprivada virtual.
Para permitir que las instancias de su VPC puedan conectar con la gateway privada virtual (y luego consus dispositivos de gateway de cliente), debe configurar las rutas en las tablas de ruteo de VPC. Paraobtener instrucciones completas, consulte Conexiones de VPN en la Guía del usuario de AWS Site-to-Site VPN. Para AWS VPN CloudHub, puede configurar una ruta adicional en su tabla de ruteo de VPC(por ejemplo, 10.0.0.0/16). Utilice prefijos más específicos entre los dispositivos de gateway de cliente y lagateway privada virtual.
Configuración de varias conexiones de VPN en suVPC
Puede crear hasta diez conexiones de VPN para su VPC. Puede utilizar varias conexiones de VPN paravincular sus oficinas remotas a la misma VPC. Por ejemplo, si tiene oficinas en Los Ángeles, Chicago,Nueva York y Miami, puede vincularlas a su VPC. También puede utilizar varias conexiones de VPN paraestablecer dispositivos de gateway de cliente redundantes desde una única ubicación.
Note
Si necesita más de diez conexiones VPN, envíe una solicitud para aumentar su cuota.
Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPNapropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, en función de cómose haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente a lasrutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual. Siselecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.
Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo deberíaanunciar un único conjunto de rangos IP específicos de la ubicación. Al establecer dispositivos de gatewayde cliente redundantes en una única ubicación, ambos dispositivos deberían anunciar los mismos rangosIP.
La gateway privada virtual recibe información de enrutamiento de todos los dispositivos de gateway decliente y calcula el conjunto de rutas preferidas mediante el mejor algoritmo de selección de ruta de BGP.Las reglas de ese algoritmo, aplicables a la VPC, son las siguientes:
1. Se prefiere el prefijo de IP más específico (por ejemplo, 10.0.0.0/24 es preferible a 10.0.0.0/16). Paraobtener más información, consulte Tablas de ruteo y prioridad de las rutas de VPN en la Guía delusuario de AWS Site-to-Site VPN.
6
Amazon Virtual Private CloudGuía para administradores de red
Dispositivos de gateway de cliente que hemos probado
2. Cuando los prefijos son los mismos, son preferibles las conexiones de VPN configuradas estáticamente,si existen. Para los prefijos que coinciden en los que cada conexión de VPN utiliza BGP, se comparala ruta AS PATH, y se prefiere el prefijo con la ruta AS PATH más corta. De forma alternativa, puedeanexar AS_PATH para que la ruta no tenga preferencia.
3. Si las rutas AS PATH tienen la misma longitud, se compara el origen de la ruta. Los prefijos con unorigen de protocolo de gateway interior (IGP) son preferibles a los de origen de protocolo gatewayexterior (EGP), que son preferibles a los orígenes desconocidos.
El siguiente diagrama muestra la configuración de varias VPN.
Dispositivos de gateway de cliente que hemosprobado
El dispositivo de gateway de cliente puede ser un dispositivo físico o de software.
Esta guía incluye información acerca de cómo configurar los siguientes dispositivos que hemos probadocon:
• Software Check Point Security Gateway con la versión R77.10 (o posterior)• Software Cisco ASA con la versión Cisco ASA 8.2 (o posterior)• Software Cisco IOS con la versión Cisco IOS 12.4 (o posterior)• Software SonicWALL con la versión SonicOS 5.9 (o posterior)• Software Fortinet Fortigate 40+ Series con la versión FortiOS 4.0 (o posterior)
7
Amazon Virtual Private CloudGuía para administradores de red
Requisitos para el dispositivo de gateway de cliente
• Software Juniper J-Series con la versión JunOS 9.5 (o posterior)• Software Juniper SRX con la versión JunOS 11.0 (o posterior)• Software Juniper SSG con la versión ScreenOS 6.1 o 6.2 (o posterior)• Software Juniper ISG con la versión ScreenOS 6.1 o 6.2 (o posterior)• Netgate pfSense con la versión OS 2.2.5 (o posterior).• Software Palo Alto Networks PANOS 4.1.2 (o posterior)• Enrutadores Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 y SRT100• Software Microsoft Windows Server 2008 R2 (o posterior)• Software Microsoft Windows Server 2012 R2 (o posterior)• Software Zyxel Zywall Series 4.20 (o una versión posterior) para conexiones de VPN direccionadas
estáticamente o software 4.30 (o una versión posterior) para conexiones de VPN direccionadasdinámicamente
Si tiene uno de estos dispositivos, pero lo configura para IPsec de una forma distinta a la presentadaen esta guía, siéntase libre de alterar nuestra configuración sugerida en función de sus necesidadesparticulares.
Requisitos para el dispositivo de gateway de clienteHay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. En esta guía,utilizamos un símbolo para cada uno de estos puntos, con el fin de ayudarle a saber lo que debe hacer encada caso. La siguiente tabla muestra estos cuatro puntos y sus símbolos correspondientes.
Asociación de seguridad de IKE (necesaria para intercambiar claves utilizadas paraestablecer la asociación de seguridad de IPsec)
Asociación de seguridad de IPsec (gestiona el cifrado del túnel, la autenticación, etc.)
Interfaz del túnel (recibe el tráfico entrante y saliente del túnel)
Opcional Intercambio de tráfico BGP (intercambia rutas entre el dispositivo de gateway de cliente yla gateway privada virtual) para dispositivos que utilizan BGP
Si tiene un dispositivo que no aparece en la lista anterior de dispositivos probados, esta sección describelos requisitos que debe cumplir su dispositivo para poder utilizarlo con Amazon VPC. La siguiente tablaenumera los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (amodo de referencia) y comentarios acerca del requisito. Para obtener un ejemplo de la informaciónde configuración en caso de que su dispositivo no sea uno de los dispositivos probados de Ciscoo Juniper, consulte Ejemplo: dispositivo de gateway de cliente genérico con protocolo de gatewayfronteriza (p. 160).
Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación deseguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitaciónes de 1 única pareja de asociación de seguridad (SA) por túnel (1 entrante y 1 saliente) y, por lo tanto, 2
8
Amazon Virtual Private CloudGuía para administradores de red
Requisitos para el dispositivo de gateway de cliente
únicas parejas de SA en total para los 2 túneles (4 SA). Algunos dispositivos utilizan una VPN basada enpolíticas y crean tantas SA como entradas de ACL. Por lo tanto, puede que necesite consolidar sus reglasy luego filtrar para no permitir el tráfico no deseado.
El túnel de VPN aparece cuando el tráfico se genera desde su lado de la conexión de VPN. El punto deenlace de AWS no es el iniciador; el dispositivo de gateway de cliente debe iniciar los túneles.
Requisito RFC Comentarios
Establecer la asociación deseguridad de IKE utilizandoclaves compartidaspreviamente
RFC 2409
RFC 7296
La asociación de seguridad de IKE se establece primeroentre la gateway privada virtual y el dispositivo de gatewayde cliente mediante la clave compartida previamente oun certificado privado utilizando AWS Certificate ManagerPrivate Certificate Authority como autenticador. En elmomento de establecer la conexión, IKE negocia unaclave efímera para proteger los mensajes futuros deIKE. El correcto establecimiento de una asociación deseguridad de IKE requiere que haya un acuerdo total entrelos parámetros, incluidos los parámetros de autenticación yde cifrado.
Al crear una conexión de VPN en AWS, puede especificarsu propia clave previamente compartida para cada túnelo puede dejar que AWS genere una automáticamente.Como opción alternativa, puede especificar el certificadoprivado mediante AWS Certificate Manager PrivateCertificate Authority para utilizarlo para el dispositivo degateway de cliente. Para obtener más información sobre laconfiguración de túneles de VPN, consulte Configuraciónde los túneles de VPN para la conexión de VPN en la Guíadel usuario de AWS Site-to-Site VPN.
Las siguientes versiones son compatibles: IKEv1 e IKEv2.El modo principal solo se admite con IKEv1.
Establecimiento deasociaciones de seguridadde IPsec en modo de túnel
RFC 4301 Utilizando la clave efímera de IKE, se establecen lasclaves entre la gateway privada virtual y el dispositivo degateway de cliente para crear una asociación de seguridad(SA) de IPsec. El tráfico entre las gateways se cifra y sedescifra mediante esta SA. IKE cambia automáticamentelas claves efímeras utilizadas para cifrar el tráfico dentrode la SA de IPsec de forma periódica para garantizar laconfidencialidad de las comunicaciones.
Uso del cifrado AES de 128bits o la función de cifradoAES de 256 bits
RFC 3602 La función de cifrado se utiliza para garantizar laprivacidad entre las asociaciones de seguridad de IKE y deIPsec.
Uso de la función de hashSHA-1 o SHA-256
RFC 2404 Esta función de hash se utiliza para autenticar lasasociaciones de seguridad de IKE y de IPsec.
Uso de la confidencialidaddirecta total Diffie-HellmanSe admiten los siguientesgrupos:
• Grupos de fase 1: 2,14-18, 22, 23 y 24
RFC 2409 IKE utiliza Diffie-Hellman para establecer claves efímeraspara proteger todas las comunicaciones entre losdispositivos de gateway de cliente y las gateways privadasvirtuales.
9
Amazon Virtual Private CloudGuía para administradores de red
Requisitos para el dispositivo de gateway de cliente
Requisito RFC Comentarios• Grupos de fase 2: 2, 5,
14-18, 22, 23 y 24
Uso de la detección depares muertos de IPsec
RFC 3706 La utilización de la detección de pares muertos permitea los dispositivos de VPN identificar rápidamente cuándouna condición de red impide la entrega de paquetes através de Internet. Cuando esto sucede, las gatewayseliminan las asociaciones de seguridad e intentan crearnuevas asociaciones. Durante este proceso, se utiliza eltúnel IPsec alternativo, si es posible.
Vinculación del túnel con lainterfaz lógica (VPN basadaen ruta)
Ninguno Su gateway debe permitir enlazar el túnel IPsec a unainterfaz lógica. La interfaz lógica contiene una dirección IPutilizada para establecer el intercambio de tráfico BGP conla gateway privada virtual. Esta interfaz lógica no deberíarealizar ninguna encapsulación adicional (por ejemplo,GRE, IP en IP). Su interfaz debería configurarse en unaunidad de transmisión máxima (MTU) de 1399 bytes.
Fragmentación de paquetesIP antes del cifrado
RFC 4459 Cuando los paquetes son demasiado grandes paratransmitirse, deben fragmentarse. No vuelva a ensamblarlos paquetes cifrados fragmentados. Por lo tanto, sudispositivo VPN debe fragmentar los paquetes antesde encapsularse con los encabezados de VPN. Losfragmentos se transmiten individualmente al host remoto,que los vuelve a unir. Para obtener más informaciónacerca de la fragmentación, consulte el artículo deWikipedia IP fragmentation.
(Opcional) Establecimientode intercambio de tráficoBGP
RFC 4271 BGP se utiliza para intercambiar rutas entre el dispositivode gateway de cliente y la gateway privada virtual paradispositivos que utilizan BGP. Todo el tráfico BGP secifra y se transmite mediante la asociación de seguridadde IPsec. BGP es necesario para que ambas gatewaysintercambien los prefijos IP, a los que se obtiene accesomediante la SA de IPsec.
Le recomendamos que utilice las técnicas que se indican en la siguiente tabla. De esta forma, reducirá losproblemas relacionados con la cantidad de datos que se pueden transmitir mediante el túnel IPsec. Puestoque la conexión encapsula los paquetes con encabezados de red adicionales (incluido IPsec), se reduce lacantidad de datos que se pueden transmitir en un solo paquete.
Técnica RFC Comentarios
Ajuste del tamaño máximode segmento de lospaquetes TCP que entranen el túnel de VPN
RFC 4459 Los paquetes TCP suelen ser el tipo más prevalentede paquetes en los túneles IPsec. Algunas gatewayspueden cambiar el parámetro de tamaño de segmentomáximo de TCP. Esto hace que los puntos de conexiónTCP (clientes, servidores) reduzcan la cantidad de datosenviados con cada paquete. Este es un enfoque ideal,ya que los paquetes que llegan a los dispositivos VPNson lo suficientemente pequeños para encapsularse ytransmitirse.
10
Amazon Virtual Private CloudGuía para administradores de red
Configuración de un firewall entre Internety el dispositivo de gateway de cliente
Técnica RFC Comentarios
Restablecimiento de lamarca "Don't Fragment" enlos paquetes
RFC 791 Algunos paquetes llevan una marca, conocida como lamarca "Don't Fragment" (DF) que indica que el paqueteno debe fragmentarse. Si los paquetes llevan la marca,las gateways generan un mensaje "ICMP Path MTUExceeded". En algunos casos, las aplicaciones nocontienen los mecanismos suficientes para procesar estosmensajes ICMP y reducir la cantidad de datos transmitidosen cada paquete. Algunos dispositivos VPN puedenanular la marca DF y fragmentar los paquetes de formaincondicional según sea necesario. Si el dispositivo degateway de cliente tiene esta capacidad, recomendamosque la utilice según corresponda.
Una conexión de VPN de AWS no es compatible con la detección de la MTU de la ruta (RFC 1191).
Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Configuración de unfirewall entre Internet y el dispositivo de gateway de cliente (p. 11).
Configuración de un firewall entre Internet y eldispositivo de gateway de cliente
Para utilizar este servicio, debe tener una dirección IP direccionable de Internet para utilizarla como puntode enlace para los túneles IPsec que conectan el dispositivo de gateway de cliente a la gateway privadavirtual. Si hay un firewall entre Internet y su gateway, se deben aplicar las reglas de las siguientes tablaspara establecer los túneles IPsec. Las direcciones de la gateway privada virtual se encuentran en lainformación de configuración que le proporciona el equipo de integración.
Entrante (de Internet)
Regla de entrada I1
IP de origen Gateway privada virtual 1
IP destino Gateway de cliente
Protocolo UDP
Puerto de origen 500
Destino 500
Regla de entrada I2
IP de origen Gateway privada virtual 2
IP destino Gateway de cliente
Protocolo UDP
Puerto de origen 500
Puerto de destino 500
Regla de entrada I3
11
Amazon Virtual Private CloudGuía para administradores de red
Configuración de un firewall entre Internety el dispositivo de gateway de cliente
IP de origen Gateway privada virtual 1
IP destino Gateway de cliente
Protocolo IP 50 (ESP)
Regla de entrada I4
IP de origen Gateway privada virtual 2
IP destino Gateway de cliente
Protocolo IP 50 (ESP)
Saliente (a Internet)
Regla de salida O1
IP de origen Gateway de cliente
IP destino Gateway privada virtual 1
Protocolo UDP
Puerto de origen 500
Puerto de destino 500
Regla de salida O2
IP de origen Gateway de cliente
IP destino Gateway privada virtual 2
Protocolo UDP
Puerto de origen 500
Puerto de destino 500
Regla de salida O3
IP de origen Gateway de cliente
IP destino Gateway privada virtual 1
Protocolo IP 50 (ESP)
Regla de salida O4
IP de origen Gateway de cliente
IP destino Gateway privada virtual 2
Protocolo IP 50 (ESP)
Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten latransmisión de paquetes IPsec que contienen el tráfico de red cifrado.
Si va a utilizar NAT Traversal (NAT-T) en su dispositivo, debe incluir reglas que permitan el acceso de UDPa través del puerto 4500. Compruebe si su dispositivo anuncia NAT-T.
12
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Check Pointcon protocolo de gateway fronteriza(BGP)
Esta sección contiene información de configuración de ejemplo proporcionada por su equipo de integraciónsi su gateway de cliente es un dispositivo Check Point Security Gateway que ejecuta la versión R77.10 oposteriores y que utiliza el sistema operativo Gaia.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 13)• Archivo de configuración (p. 14)• Configuración de dispositivo Check Point (p. 15)• Cómo probar la configuración de la gateway de cliente (p. 21)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
13
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración
Archivo de configuraciónSu equipo de integración puede proporcionarle un archivo de configuración con los valores que necesitapara configurar cada túnel, así como la configuración de IKE e IPsec para su dispositivo VPN. El archivode configuración incluye instrucciones acerca de cómo utilizar el portal web de Gaia y Check PointSmartDashboard para configurar su dispositivo. En la siguiente sección se proporcionan los mismos pasos.
A continuación se muestra un extracto de un archivo de configuración de ejemplo. El archivo contiene dossecciones: IPSec Tunnel #1 y IPSec Tunnel #2. Debe utilizar los valores proporcionados en cadasección para configurar cada túnel.
! Amazon Web Services! Virtual Private Cloud
! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!
! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------
14
Amazon Virtual Private CloudGuía para administradores de red
Configuración de dispositivo Check Point
! #1: Tunnel Interface Configuration
... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
...
Configuración de dispositivo Check PointLos siguientes procedimientos demuestran cómo configurar los túneles de VPN, los objetos de red y laseguridad de su conexión de VPN. Debe sustituir los valores de ejemplo en los procedimientos por losvalores proporcionados en el archivo de configuración.
Note
Para obtener más información, consulte el artículo Amazon Web Services (AWS) VPN BGP, en elcentro de soporte técnico de Check Point.
Temas• Paso 1: Configuración de las interfaces del túnel (p. 15)• Paso 2: Configuración de BGP (p. 16)• Paso 3: Creación de objetos de red (p. 17)• Paso 4: Creación de una comunidad de VPN y configuración de IKE e IPsec (p. 18)• Paso 5: Configuración del firewall (p. 19)• Paso 6: Activación de la detección de pares muertos y del bloqueo de TCP MSS (p. 20)
Paso 1: Configuración de las interfaces del túnelEl primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) de lagateway de cliente y la gateway privada virtual de cada túnel. Para el primer túnel, utilice la informaciónproporcionada en la sección IPSec Tunnel #1 del archivo de configuración. Para el segundo túnel,utilice los valores proporcionados en la sección IPSec Tunnel #2 del archivo de configuración.
Para configurar la interfaz de túnel
1. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado,cambie a clish ejecutando el siguiente comando: clish.
2. Configure el ASN de la gateway de cliente (ASN que se proporcionó al crear la gateway de cliente enAWS) ejecutando el comando siguiente:
set as 65000
3. Cree la interfaz del primer túnel utilizando la información que se proporciona en la sección IPSecTunnel #1 del archivo de configuración. Especifique un nombre exclusivo para su túnel como, porejemplo, AWS_VPC_Tunnel_1.
add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on
15
Amazon Virtual Private CloudGuía para administradores de red
Paso 2: Configuración de BGP
set interface vpnt1 mtu 1436
4. Repita estos comandos para crear el segundo túnel utilizando la información que se proporciona en lasección IPSec Tunnel #2 del archivo de configuración. Especifique un nombre exclusivo para sutúnel como, por ejemplo, AWS_VPC_Tunnel_2.
add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436
5. Establezca el ASN de la gateway privada virtual:
set bgp external remote-as 7224 on
6. Configure BGP para el primer túnel utilizando la información que se proporciona en la sección IPSecTunnel #1 del archivo de configuración:
set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
7. Configure BGP para el segundo túnel utilizando la información que se proporciona en la secciónIPSec Tunnel #2 del archivo de configuración:
set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
8. Guarde la configuración:
save config
Paso 2: Configuración de BGPEn este paso, creará una política de BGP que permite importar las rutas que anuncia AWS. A continuación,configurará la gateway de cliente para anunciar estas rutas locales a AWS.
Para crear una política de BGP
1. En Gaia WebUI, elija Advanced Routing, Inbound Route Filters. Elija Add y seleccione Add BGP Policy(Based on AS).
2. En Add BGP Policy, seleccione un valor entre 512 y 1024 en el primer campo y escriba el ASN de lagateway privada virtual en el segundo campo. Por ejemplo, 7224.
3. Seleccione Save.
A continuación se presentan los pasos para distribuir rutas de interfaces locales. También puederedistribuir rutas desde distintos orígenes como, por ejemplo, rutas estáticas o rutas obtenidas medianteprotocolos de direccionamiento dinámico. Para obtener más información, consulte la Gaia AdvancedRouting R77 Versions Administration Guide.
Para anunciar rutas locales
1. En Gaia WebUI, elija Advanced Routing, Routing Redistribution. Elija Add Redistribution From yseleccione Interface.
16
Amazon Virtual Private CloudGuía para administradores de red
Paso 3: Creación de objetos de red
2. En To Protocolo, seleccione el ASN de la gateway privada virtual. Por ejemplo, 7224.3. En Interface, seleccione una interfaz interna. Seleccione Save.
Paso 3: Creación de objetos de redEn este paso, creará un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas(externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélitepara su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador deposición para el dominio de VPN.
Para definir un nuevo objeto de red
1. Abra Check Point SmartDashboard.2. Para Groups, abra el menú contextual y elija Groups, Simple Group. Puede utilizar el mismo grupo
para cada objeto de red.3. Para Network Objects, abra el menú contextual (clic con el botón derecho) y elija New, Interoperable
Device.4. Para Name, escriba el nombre que ha proporcionado para el túnel en el paso 1, por ejemplo:
AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.5. Para IPv4 Address, escriba la dirección IP externa de la gateway privada virtual proporcionada en el
archivo de configuración; por ejemplo: 54.84.169.196. Guarde la configuración y cierre el cuadro dediálogo.
6. En el panel de categorías izquierdo, elija Topology.7. En la sección VPN Domain, elija Manually defined, desplácese hasta el grupo sencillo vacío que creó
en el paso 2 y selecciónelo. Seleccione OK.8. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección IPSec
Tunnel #2 del archivo de configuración.9. Vaya a su objeto de red de gateway, abra el objeto de clúster o gateway y elija Topology.10. En la sección VPN Domain, elija Manually defined, desplácese hasta el grupo sencillo vacío que creó
en el paso 2 y selecciónelo. Seleccione OK.
17
Amazon Virtual Private CloudGuía para administradores de red
Paso 4: Creación de una comunidadde VPN y configuración de IKE e IPsec
Note
Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante,asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPNno estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtieneautomáticamente.
Note
Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster.Utilice las direcciones IP especificadas en el archivo de configuración.
Paso 4: Creación de una comunidad de VPN yconfiguración de IKE e IPsecEn este paso, creará una comunidad de VPN en su gateway de Check Point, a la que agregará los objetosde red (dispositivos interoperables) para cada túnel. También configurará los ajustes de intercambio declaves por Internet (IKE) y de IPsec.
Para crear y configurar los ajustes de comunidad de VPN, IKE e IPsec
1. En las propiedades de su gateway, elija IPSec VPN en el panel Category.2. Elija Communities, New, Star Community.3. Proporcione un nombre para su comunidad (por ejemplo, AWS_VPN_Star) y, a continuación, elija
Center Gateways en el panel Category.4. Elija Add y agregue su gateway o clúster a la lista de gateways participantes.5. En el panel Category, elija Satellite Gateways, Add, y agregue los dispositivos interoperables que creó
anteriormente (AWS_VPC_Tunnel_1 y AWS_VPC_Tunnel_2) a la lista de gateways participantes.6. En el panel Category, elija Encryption. En la sección Encryption Method, elija IKEv1 for IPv4 and
IKEv2 for IPv6. En la sección Encryption Suite, elija Custom, Custom Encryption.
Note
Debe seleccionar la opción IKEv1 for IPv4 and IKEv2 for IPv6 para la funcionalidad IKEv1; sinembargo, no se admite la funcionalidad IKEv2 ni IPv6.
7. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija OK cuandohaya terminado:
• Propiedades de asociación de seguridad de IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA1
• Propiedades de asociación de seguridad de IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1
8. En el panel Category, elija Tunnel Management. Elija Set Permanent Tunnels, On all tunnels in thecommunity. En la sección VPN Tunnel Sharing, elija One VPN tunnel per Gateway pair.
9. En el panel Category, expanda Advanced Settings y elija Shared Secret.10. Seleccione el nombre homólogo para el primer túnel, elija Edit y escriba la clave previamente
compartida según lo especificado en el archivo de configuración de la sección IPSec Tunnel #1.11. Seleccione el nombre homólogo para el segundo túnel, elija Edit y escriba la clave previamente
compartida según lo especificado en el archivo de configuración de la sección IPSec Tunnel #2.
18
Amazon Virtual Private CloudGuía para administradores de redPaso 5: Configuración del firewall
12. Aún en la categoría Advanced Settings, elija Advanced VPN Properties, configure las propiedadessegún se indica, y elija OK cuando haya terminado:
• IKE (fase 1):• Use Diffie-Hellman group: Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes
• IPsec (fase 2):• Elija Use Perfect Forward Secrecy• Use Diffie-Hellman group: Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds
Paso 5: Configuración del firewallEn este paso, configurará una política con reglas de firewall y reglas de coincidencia direccional quepermitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.
Para crear reglas de firewall
1. En SmartDashboard, elija Global Properties para su gateway. En el panel Category, expanda VPN yelija Advanced.
2. Elija Enable VPN Directional Match in VPN Column y elija OK.3. En SmartDashboard, elija Firewall y cree una política con las siguientes reglas:
19
Amazon Virtual Private CloudGuía para administradores de red
Paso 6: Activación de la detección depares muertos y del bloqueo de TCP MSS
• Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios.• Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios.
4. Abra el menú contextual para la celda de la columna de VPN, y elija Edit Cell.5. En el cuadro de diálogo VPN Match Conditions, elija Match traffic in this direction only. Cree las
siguientes reglas de coincidencia direccional; para ello, elija Add para cada una, y seleccione OKcuando haya terminado:
• internal_clear > VPN community (la comunidad Star de VPN que creó antes; por ejemplo:AWS_VPN_Star)
• VPN community > VPN community• VPN community > internal_clear
6. En SmartDashboard, elija Policy, Install.7. En el cuadro de diálogo, elija su gateway y seleccione OK para instalar la política.
Paso 6: Activación de la detección de pares muertos ydel bloqueo de TCP MSSSu gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo sedesactiva una asociación de IKE.
Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad deVPN de AWS. Para obtener más información, consulte el paso 8 en Paso 4: Creación de una comunidadde VPN y configuración de IKE e IPsec (p. 18).
De forma predeterminada, la propiedad tunnel_keepalive_method de una gateway de VPNestá configurada como tunnel_test. Debe cambiar el valor a dpd. Cada gateway de VPN dela comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedadtunnel_keepalive_method, incluida cualquier gateway de VPN de terceros. No puede configurarmecanismos de monitorización distintos para la misma gateway.
Puede actualizar la propiedad tunnel_keepalive_method utilizando la herramienta GuiDBedit.
Para modificar la propiedad tunnel_keepalive_method
1. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management Server.2. Elija File, Database Revision Control..., y cree una instantánea de revisión.3. Cierre todas las ventanas de SmartConsole, como SmartDashboard, SmartView Tracker y SmartView
Monitor.4. Inicie la herramienta GuiBDedit. Para obtener más información, consulte el artículo Check Point
Database Tool, en el centro de soporte técnico de Check Point.5. Elija Security Management Server, Domain Management Server.6. En el panel superior izquierdo, elija Table, Network Objects, network_objects.7. En el panel superior derecho, seleccione el objeto de Security Gateway, Cluster correspondiente.8. Presione CTRL+F, o utilice el menú Search para buscar lo siguiente: tunnel_keepalive_method.9. En el panel inferior, abra el menú contextual de tunnel_keepalive_method y seleccione Edit...
Elija dpd, OK (Aceptar).10. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de VPN de AWS.11. Elija File, Save All.12. Cierre la herramienta GuiDBedit.
20
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
13. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management Server.14. Instale la política en el objeto Security Gateway, Cluster correspondiente.
Para obtener más información, consulte el artículo New VPN features in R77.10, en el centro de soportetécnico de Check Point.
El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar lafragmentación de los paquetes.
Para habilitar el bloqueo TCP MSS
1. Vaya al siguiente directorio: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.
2. Abra la herramienta Check Point Database ejecutando el archivo GuiDBEdit.exe.3. Elija Table, Global Properties, properties.4. Para fw_clamp_tcp_mss, elija Edit. Cambie el valor a true y elija OK.
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
21
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
En el extremo de la gateway de Check Point, puede verificar el estado del túnel ejecutando el siguientecomando desde la herramienta de línea de comandos en el modo experto:
vpn tunnelutil
En las opciones que aparecen, elija 1 para verificar las asociaciones de IKE y 2 para verificar lasasociaciones de IPsec.
También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexión seestán cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado a través deltúnel 1 y se ha cifrado.
22
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
23
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Check Point sinprotocolo de gateway fronteriza
Esta sección contiene información de configuración de ejemplo proporcionada por su equipo de integraciónsi su gateway de cliente es un dispositivo Check Point Security Gateway que ejecuta la versión R77.10 oposteriores y que utiliza el sistema operativo Gaia.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 24)• Archivo de configuración (p. 25)• Configuración de dispositivo Check Point (p. 26)• Cómo probar la configuración de la gateway de cliente (p. 34)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
24
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración
Archivo de configuraciónSu equipo de integración puede proporcionarle un archivo de configuración que tenga los valores quenecesita para configurar cada túnel, así como la configuración de IKE e IPsec para su dispositivo VPN. Elarchivo de configuración incluye instrucciones acerca de cómo utilizar el portal web de Gaia y Check PointSmartDashboard para configurar su dispositivo. En la siguiente sección se proporcionan los mismos pasos.
A continuación se muestra un extracto de un archivo de configuración de ejemplo. El archivo contiene dossecciones: IPSec Tunnel #1 y IPSec Tunnel #2. Debe utilizar los valores proporcionados en cadasección para configurar cada túnel.
! Amazon Web Services! Virtual Private Cloud
! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!
25
Amazon Virtual Private CloudGuía para administradores de red
Configuración de dispositivo Check Point
! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!
! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration
...
Configuración de dispositivo Check PointLos siguientes procedimientos demuestran cómo configurar los túneles de VPN, los objetos de red y laseguridad de su conexión de VPN. Debe sustituir los valores de ejemplo en los procedimientos por losvalores proporcionados en el archivo de configuración.
Note
Para obtener más información, vaya al artículo Check Point Security Gateway IPsec VPN toAmazon Web Services VPC, en el centro de soporte técnico de Check Point.
Temas• Paso 1: Configuración de interfaz de túnel (p. 26)• Paso 2: Configuración de la ruta estática (p. 28)• Paso 3: Creación de objetos de red (p. 29)• Paso 4: Creación de una comunidad de VPN y configuración de IKE e IPsec (p. 30)• Paso 5: Configuración del firewall (p. 32)• Paso 6: Activación de la detección de pares muertos y del bloqueo de TCP MSS (p. 33)
Paso 1: Configuración de interfaz de túnelEl primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) dela gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice lainformación proporcionada en la sección IPSec Tunnel #1 del archivo de configuración. Para crearel segundo túnel, utilice los valores proporcionados en la sección IPSec Tunnel #2 del archivo deconfiguración.
Para configurar la interfaz de túnel
1. Abra el portal de Gaia de su dispositivo Check Point Security Gateway.2. Elija Network Interfaces, Add, VPN tunnel.3. En el cuadro de diálogo, configure los ajustes tal como se muestra y elija OK cuando haya terminado:
• Para VPN Tunnel ID, escriba cualquier valor único, como 1.
26
Amazon Virtual Private CloudGuía para administradores de red
Paso 1: Configuración de interfaz de túnel
• Para Peer, escriba un nombre único para cada túnel, como AWS_VPC_Tunnel_1 oAWS_VPC_Tunnel_2.
• Asegúrese de que la opción Numbered esté seleccionada y, para Local Address, escriba ladirección IP especificada para CGW Tunnel IP en el archivo de configuración; por ejemplo:169.254.44.234.
• Para Remote Address, escriba la dirección IP especificada para VGW Tunnel IP en el archivo deconfiguración; por ejemplo: 169.254.44.233.
4. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado,cambie a clish ejecutando el siguiente comando: clish.
5. Para el túnel 1, ejecute el siguiente comando:
set interface vpnt1 mtu 1436
Para el túnel 2, ejecute el siguiente comando:
set interface vpnt2 mtu 1436
6. Repita estos pasos para crear un segundo túnel, utilizando la información de la sección IPSecTunnel #2 del archivo de configuración.
27
Amazon Virtual Private CloudGuía para administradores de red
Paso 2: Configuración de la ruta estática
Paso 2: Configuración de la ruta estáticaEn este paso, especificará la ruta estática de la subred en la VPC para que cada túnel le permita enviartráfico a través de las interfaces del túnel. El segundo túnel permite la conmutación por error en caso deque haya un problema con el primer túnel. Si se detecta un problema, la ruta estática basada en políticasse quitará de la tabla de ruteo y se activará la segunda ruta. También debe habilitar la gateway de CheckPoint para hacer ping al otro extremo del túnel y comprobar si el túnel está activo.
Para configurar las rutas estáticas
1. En el portal de Gaia, elija IPv4 Static Routes, Add.2. Especifique el CIDR de su subred; por ejemplo: 10.28.13.0/24.3. Elija Add Gateway, IP Address.4. Escriba la dirección IP especificada para VGW Tunnel IP en el archivo de configuración (por
ejemplo: 169.254.44.233) y especifique una prioridad de 1.5. Seleccione Ping.6. Repita los pasos 3 y 4 para el segundo túnel, utilizando el valor VGW Tunnel IP de la sección IPSec
Tunnel #2 del archivo de configuración. Especifique una prioridad de 2.
28
Amazon Virtual Private CloudGuía para administradores de red
Paso 3: Creación de objetos de red
7. Seleccione Save.
Si va a utilizar un clúster, repita los pasos anteriores para los demás miembros del clúster.
Paso 3: Creación de objetos de redEn este paso, creará un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas(externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélitepara su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador deposición para el dominio de VPN.
Para definir un nuevo objeto de red
1. Abra Check Point SmartDashboard.2. Para Groups, abra el menú contextual y elija Groups, Simple Group. Puede utilizar el mismo grupo
para cada objeto de red.
29
Amazon Virtual Private CloudGuía para administradores de red
Paso 4: Creación de una comunidadde VPN y configuración de IKE e IPsec
3. Para Network Objects, abra el menú contextual (clic con el botón derecho) y elija New, InteroperableDevice.
4. Para Name, escriba el nombre que ha proporcionado para cada túnel, por ejemplo:AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.
5. Para IPv4 Address, escriba la dirección IP externa de la gateway privada virtual proporcionada en elarchivo de configuración; por ejemplo: 54.84.169.196. Guarde la configuración y cierre el cuadro dediálogo.
6. En SmartDashboard, abra las propiedades de su gateway y, en el panel Category, elija Topology.7. Para recuperar la configuración de la interfaz, elija Get Topology.8. En la sección VPN Domain, elija Manually defined, desplácese hasta el grupo sencillo vacío que creó
en el paso 2 y selecciónelo. Seleccione OK.
Note
Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante,asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPNno estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtieneautomáticamente.
9. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección IPSecTunnel #2 del archivo de configuración.
Note
Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster.Utilice las direcciones IP especificadas en el archivo de configuración.
Paso 4: Creación de una comunidad de VPN yconfiguración de IKE e IPsecEn este paso, creará una comunidad de VPN en su gateway de Check Point, a la que agregará los objetosde red (dispositivos interoperables) para cada túnel. También configurará los ajustes de intercambio declaves por Internet (IKE) y de IPsec.
30
Amazon Virtual Private CloudGuía para administradores de red
Paso 4: Creación de una comunidadde VPN y configuración de IKE e IPsec
Para crear y configurar los ajustes de comunidad de VPN, IKE e IPsec
1. En las propiedades de su gateway, elija IPSec VPN en el panel Category.2. Elija Communities, New, Star Community.3. Proporcione un nombre para su comunidad (por ejemplo, AWS_VPN_Star) y, a continuación, elija
Center Gateways en el panel Category.4. Elija Add y agregue su gateway o clúster a la lista de gateways participantes.5. En el panel Category, elija Satellite Gateways, Add, y agregue los dispositivos interoperables que creó
anteriormente (AWS_VPC_Tunnel_1 y AWS_VPC_Tunnel_2) a la lista de gateways participantes.6. En el panel Category, elija Encryption. En la sección Encryption Method, elija IKEv1 only. En la
sección Encryption Suite, elija Custom, Custom Encryption.7. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija OK cuando
haya terminado:
• Propiedades de asociación de seguridad de IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA1
• Propiedades de asociación de seguridad de IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1
8. En el panel Category, elija Tunnel Management. Elija Set Permanent Tunnels, On all tunnels in thecommunity. En la sección VPN Tunnel Sharing, elija One VPN tunnel per Gateway pair.
9. En el panel Category, expanda Advanced Settings y elija Shared Secret.10. Seleccione el nombre homólogo para el primer túnel, elija Edit y escriba la clave previamente
compartida según lo especificado en el archivo de configuración de la sección IPSec Tunnel #1.11. Seleccione el nombre homólogo para el segundo túnel, elija Edit y escriba la clave previamente
compartida según lo especificado en el archivo de configuración de la sección IPSec Tunnel #2.
31
Amazon Virtual Private CloudGuía para administradores de redPaso 5: Configuración del firewall
12. Aún en la categoría Advanced Settings, elija Advanced VPN Properties, configure las propiedadessegún se indica, y elija OK cuando haya terminado:
• IKE (fase 1):• Use Diffie-Hellman group: Group 2• Renegotiate IKE security associations every 480 minutes
• IPsec (fase 2):• Elija Use Perfect Forward Secrecy• Use Diffie-Hellman group: Group 2• Renegotiate IPsec security associations every 3600 seconds
Paso 5: Configuración del firewallEn este paso, configurará una política con reglas de firewall y reglas de coincidencia direccional quepermitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.
Para crear reglas de firewall
1. En SmartDashboard, elija Global Properties para su gateway. En el panel Category, expanda VPN yelija Advanced.
2. Elija Enable VPN Directional Match in VPN Column y guarde los cambios.3. En SmartDashboard, elija Firewall y cree una política con las siguientes reglas:
32
Amazon Virtual Private CloudGuía para administradores de red
Paso 6: Activación de la detección depares muertos y del bloqueo de TCP MSS
• Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios.• Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios.
4. Abra el menú contextual para la celda de la columna de VPN, y elija Edit Cell.5. En el cuadro de diálogo VPN Match Conditions, elija Match traffic in this direction only. Cree las
siguientes reglas de coincidencia direccional; para ello, elija Add para cada una, y seleccione OKcuando haya terminado:
• internal_clear > VPN community (la comunidad Star de VPN que creó antes; por ejemplo:AWS_VPN_Star)
• VPN community > VPN community• VPN community > internal_clear
6. En SmartDashboard, elija Policy, Install.7. En el cuadro de diálogo, elija su gateway y seleccione OK para instalar la política.
Paso 6: Activación de la detección de pares muertos ydel bloqueo de TCP MSSSu gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo sedesactiva una asociación de IKE.
Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad deVPN de AWS (consulte el paso 8 en Paso 4: Creación de una comunidad de VPN y configuración de IKE eIPsec (p. 30)).
De forma predeterminada, la propiedad tunnel_keepalive_method de una gateway de VPNestá configurada como tunnel_test. Debe cambiar el valor a dpd. Cada gateway de VPN dela comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedadtunnel_keepalive_method, incluida cualquier gateway de VPN de terceros. No puede configurarmecanismos de monitorización distintos para la misma gateway.
Puede actualizar la propiedad tunnel_keepalive_method utilizando la herramienta GuiDBedit.
Para modificar la propiedad tunnel_keepalive_method
1. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management Server.2. Elija File, Database Revision Control..., y cree una instantánea de revisión.3. Cierre todas las ventanas de SmartConsole, como SmartDashboard, SmartView Tracker y SmartView
Monitor.4. Inicie la herramienta GuiBDedit. Para obtener más información, consulte el artículo Check Point
Database Tool, en el centro de soporte técnico de Check Point.5. Elija Security Management Server, Domain Management Server.6. En el panel superior izquierdo, elija Table, Network Objects, network_objects.7. En el panel superior derecho, seleccione el objeto de Security Gateway, Cluster correspondiente.8. Presione CTRL+F, o utilice el menú Search para buscar lo siguiente: tunnel_keepalive_method.9. En el panel inferior, abra el menú contextual de tunnel_keepalive_method y seleccione Edit...
(Editar...). Elija dpd y OK.10. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de VPN de AWS.11. Elija File, Save All.12. Cierre la herramienta GuiDBedit.
33
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
13. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management Server.14. Instale la política en el objeto Security Gateway, Cluster correspondiente.
Para obtener más información, consulte el artículo New VPN features in R77.10, en el centro de soportetécnico de Check Point.
El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar lafragmentación de los paquetes.
Para habilitar el bloqueo TCP MSS
1. Vaya al siguiente directorio: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.
2. Abra la herramienta Check Point Database ejecutando el archivo GuiDBEdit.exe.3. Elija Table, Global Properties, properties.4. Para fw_clamp_tcp_mss, elija Edit. Cambie el valor a true y elija OK.
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de la gateway de cliente en cada túnel
1. Asegúrese de que la gateway de cliente tiene una ruta estática hacia la VPC, tal y como se sugiere enlas plantillas de configuración proporcionadas por AWS.
2. Compruebe que se ha agregado una ruta estática a la conexión VPN para que el tráfico puedaregresar a la gateway de cliente. Por ejemplo, si el prefijo de la subred local es 198.10.0.0/16, tieneque agregar una ruta estática con ese rango de CIDR a la conexión de VPN. Asegúrese de que losdos túneles tienen una ruta estática hacia la VPC.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de ruta en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI Linux de Amazon en la VPC. Las AMI Linux de Amazonse muestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola deadministración de AWS. Para obtener más información, consulte la Guía de introducción a AmazonVPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Enla consola, la dirección aparece junto con los detalles de la instancia.
34
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
En el extremo de la gateway de Check Point, puede verificar el estado del túnel ejecutando el siguientecomando desde la herramienta de línea de comandos en el modo experto:
vpn tunnelutil
En las opciones que aparecen, elija 1 para verificar las asociaciones de IKE y 2 para verificar lasasociaciones de IPsec.
También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexión seestán cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado a través deltúnel 1 y se ha cifrado.
35
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
36
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Cisco ASAEn esta sección se muestra un ejemplo de la información de configuración de su equipo de integración si lagateway de cliente es un dispositivo Cisco ASA que ejecuta el software Cisco ASA 8.2+.
El diagrama muestra el diseño general de la gateway de cliente. Debería utilizar la información deconfiguración real que reciba de su equipo de integración y aplicarla a su gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 37)• configuración de ejemplo (p. 38)• Cómo probar la configuración de la gateway de cliente (p. 42)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
37
Amazon Virtual Private CloudGuía para administradores de red
configuración de ejemplo
Tenga en cuenta que algunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA,solo puede tener un túnel activo cada vez. El otro túnel en espera se activará si el primer túnel se vuelveno disponible. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de lostúneles.
configuración de ejemploLa configuración de esta sección es un ejemplo de la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene un conjunto de datos paracada uno de los túneles que debe configurar.
La configuración de ejemplo incluye valores de ejemplo que le ayudarán a entender cómo funciona laconfiguración. Por ejemplo, ofrecemos valores de ejemplo para el ID de conexión de VPN (vpn-12345678)y un ID de gateway privada virtual (vgw-12345678), así como marcadores de posición para los puntos deconexión de AWS (AWS_ENDPOINT_1 y AWS_ENDPOINT_2). Reemplace estos valores de ejemplo por losvalores reales que reciba en la información de configuración.
Además, deberá hacer lo siguiente:
• Configurar la interfaz externa.• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que el número de secuencia de política de Crypto List es único.• Asegurarse de que las secuencias de política de Crypto IPsec Transform Set y Crypto ISAKMP son
coherentes con los demás túneles IPsec configurados en el dispositivo.• Asegurarse de que el número de monitorización de SLA es único.• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su red
local.
Important
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud!! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway. Only a single tunnel will be up at a! time to the VGW.! ! You may need to populate these values throughout the config based on your setup:! outside_interface - External interface of the ASA! outside_access_in - Inbound ACL on the external interface! amzn_vpn_map - Outside crypto map! vpc_subnet and vpc_subnet_mask - VPC address range
38
Amazon Virtual Private CloudGuía para administradores de red
configuración de ejemplo
! local_subnet and local_subnet_mask - Local subnet address range! sla_monitor_address - Target address that is part of acl-amzn to run SLA monitoring!! --------------------------------------------------------------------------------! IPSec Tunnels! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same or lower number depending on ! the encryption type. If so, we recommend changing the sequence number to ! avoid conflicts and overlap.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!crypto isakmp identity address crypto isakmp enable outside_interfacecrypto isakmp policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash shaexit!! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group AWS_ENDPOINT_1 type ipsec-l2ltunnel-group AWS_ENDPOINT_1 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit!tunnel-group AWS_ENDPOINT_2 type ipsec-l2ltunnel-group AWS_ENDPOINT_2 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit
! --------------------------------------------------------------------------------! #2: Access List Configuration!! Access lists are configured to permit creation of tunnels and to send applicable traffic over them.
39
Amazon Virtual Private CloudGuía para administradores de red
configuración de ejemplo
! This policy may need to be applied to an inbound ACL on the outside interface that is used to manage control-plane traffic. ! This is to allow VPN traffic into the device from the Amazon endpoints.!access-list outside_access_in extended permit ip host AWS_ENDPOINT_1 host YOUR_UPLINK_ADDRESSaccess-list outside_access_in extended permit ip host AWS_ENDPOINT_2 host YOUR_UPLINK_ADDRESS!! The following access list named acl-amzn specifies all traffic that needs to be routed to the VPC. Traffic will! be encrypted and transmitted through the tunnel to the VPC. Association with the IPSec security association! is done through the "crypto map" command.!! This access list should contain a static route corresponding to your VPC CIDR and allow traffic from any subnet.! If you do not wish to use the "any" source, you must use a single access-list entry for accessing the VPC range.! If you specify more than one entry for this ACL without using "any" as the source, the VPN will function erratically.! The any rule is also used so the security association will include the ASA outside interface where the SLA monitor! traffic will be sourced from.! See section #4 regarding how to restrict the traffic going over the tunnel!!access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask
!---------------------------------------------------------------------------------! #3: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. !crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac
! The crypto map references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime. The mapping is created! as #1, which may conflict with an existing crypto map using the same! number. If so, we recommend changing the mapping number to avoid conflicts.!crypto map amzn_vpn_map 1 match address acl-amzncrypto map amzn_vpn_map 1 set pfs group2crypto map amzn_vpn_map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map amzn_vpn_map 1 set transform-set transform-amzncrypto map amzn_vpn_map 1 set security-association lifetime seconds 3600!! Only set this if you do not already have an outside crypto map, and it is not applied:!crypto map amzn_vpn_map interface outside_interface!! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.!! This option instructs the firewall to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear-df outside_interface!! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets
40
Amazon Virtual Private CloudGuía para administradores de red
configuración de ejemplo
! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128!! This option instructs the firewall to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption outside_interface!! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.sysopt connection tcpmss 1379!! In order to keep the tunnel in an active or always up state, the ASA needs to send traffic to the subnet! defined in acl-amzn. SLA monitoring can be configured to send pings to a destination in the subnet and! will keep the tunnel active. This traffic needs to be sent to a target that will return a response.! This can be manually tested by sending a ping to the target from the ASA sourced from the outside interface.! A possible destination for the ping is an instance within the VPC. For redundancy multiple SLA monitors ! can be configured to several instances to protect against a single point of failure.!! The monitor is created as #1, which may conflict with an existing monitor using the same! number. If so, we recommend changing the sequence number to avoid conflicts.!sla monitor 1 type echo protocol ipIcmpEcho sla_monitor_address interface outside_interface frequency 5exitsla monitor schedule 1 life forever start-time now!! The firewall must allow icmp packets to use "sla monitor"icmp permit any outside_interface
!---------------------------------------------------------------------------------! #4: VPN Filter! The VPN Filter will restrict traffic that is permitted through the tunnels. By default all traffic is denied. ! The first entry provides an example to include traffic between your VPC Address space and your office.! You may need to run 'clear crypto isakmp sa', in order for the filter to take effect.!! access-list amzn-filter extended permit ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_maskaccess-list amzn-filter extended deny ip any anygroup-policy filter internalgroup-policy filter attributesvpn-filter value amzn-filtertunnel-group AWS_ENDPOINT_1 general-attributesdefault-group-policy filterexittunnel-group AWS_ENDPOINT_2 general-attributesdefault-group-policy filterexit
!---------------------------------------------------------------------------------------! #5: NAT Exemption! If you are performing NAT on the ASA you will have to add a nat exemption rule.! This varies depending on how NAT is set up. It should be configured along the lines of:! object network obj-SrcNet! subnet 0.0.0.0 0.0.0.0! object network obj-amzn! subnet vpc_subnet vpc_subnet_mask
41
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn! If using version 8.2 or older, the entry would need to look something like this:! nat (inside) 0 access-list acl-amzn! Or, the same rule in acl-amzn should be included in an existing no nat ACL.
Cómo probar la configuración de la gateway decliente
Cuando se utiliza Cisco ASA como gateway de cliente, solo un túnel está en estado activo. El segundotúnel debería configurarse, pero solo se utiliza si el primer túnel se desactiva. El segundo túnel no puedeestar en estado activo si el primero lo está. Su consola muestra que solo hay un túnel activo, y muestra elsegundo túnel como inactivo. Este es el comportamiento esperado para los túneles de gateway de clientede Cisco ASA, ya que ASA como gateway de cliente solo admite un túnel activo cada vez.
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de la gateway de cliente en cada túnel
• Compruebe que se ha agregado una ruta estática a la conexión VPN para que el tráfico puedaregresar a la gateway de cliente. Por ejemplo, si el prefijo de la subred local es 198.10.0.0/16,añada una ruta estática con ese intervalo de CIDR a la conexión de VPN. Asegúrese de que los dostúneles tienen una ruta estática hacia la VPC.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI Linux de Amazonse muestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola deadministración de AWS. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
42
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de sus túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Cisco ASA (p. 176).
43
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Cisco ASAcon una interfaz de túnel virtual yprotocolo de gateway fronteriza
En esta sección se muestra un ejemplo de la información de configuración de su equipo de integración si lagateway de cliente es un dispositivo Cisco ASA que ejecuta el software Cisco ASA 9.7.1+.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 44)• Ejemplo de configuración (p. 45)• Cómo probar la configuración de la gateway de cliente (p. 51)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
44
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
Cisco ASA a partir de la versión 9.7.1 y posteriores admiten el modo Activo/Activo. Al utilizar estos CiscoASA, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tenerconectividad a su VPC a través de uno de los túneles.
Ejemplo de configuraciónLa configuración de esta sección es un ejemplo de la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene un conjunto de datos paracada uno de los túneles que debe configurar.
La configuración de ejemplo incluye valores de ejemplo que le ayudarán a entender cómo funciona laconfiguración. Por ejemplo, ofrecemos valores de ejemplo para el ID de conexión de VPN (vpn-12345678)y un ID de gateway privada virtual (vgw-12345678), así como marcadores de posición para los puntos deconexión de AWS (AWS_ENDPOINT_1 y AWS_ENDPOINT_2). Reemplace estos valores de ejemplo por losvalores reales que reciba en la información de configuración.
Además, debe hacer lo siguiente:
• Configurar la interfaz externa.• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que las secuencias de política de Crypto IPsec Transform Set y Crypto ISAKMP son
coherentes con los demás túneles IPsec configurados en el dispositivo.• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su red
local.
45
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
Important
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud
! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!
! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!
crypto ikev1 enable 'outside_interface'
crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!
46
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac
! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit
! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.
crypto ipsec df-bit clear-df 'outside_interface'
! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.
sysopt connection tcpmss 1379
! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'
! -------------------------------------------------------------------------
! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit
! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!
47
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.
interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit
! -------------------------------------------------------------------------
! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.197 remote-as 7224 neighbor 169.254.33.197 timers 10 30 30 neighbor 169.254.33.197 default-originate neighbor 169.254.33.197 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summaryno synchronization exit-address-familyexit!
! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!
48
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!
crypto ikev1 enable 'outside_interface'
crypto ikev1 policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac
! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-1 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-1exit
! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.
crypto ipsec df-bit clear-df 'outside_interface'
! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.
sysopt connection tcpmss 1379
49
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'
! -------------------------------------------------------------------------
! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit
! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.
interface Tunnel2 nameif Tunnel-int-vpn-12345678-1 ip address 169.254.33.194 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 52.65.137.78 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-1 no shutdownexit
! -------------------------------------------------------------------------
! #4: Border Gateway Protocol (BGP) Configuration!
50
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.193 remote-as 7224 neighbor 169.254.33.193 timers 10 30 30 neighbor 169.254.33.193 default-originate neighbor 169.254.33.193 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summary no synchronization exit-address-familyexit!
Cómo probar la configuración de la gateway decliente
Al utilizar Cisco ASA como gateway de cliente en modo direccionado, ambos túneles estarán en estadoactivo.
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de la gateway de cliente en cada túnel
• Compruebe que las rutas se anuncian con BGP correctamente y muestran una tabla de ruteo paraque el tráfico pueda regresar a la gateway de cliente. Por ejemplo, si su prefijo de subred locales 198.10.0.0/16, debe anunciarlo a través de BGP. Asegúrese de que los dos túneles esténconfigurados con la política de direccionamiento de BGP.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde su red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
51
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI Linux de Amazonse muestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola deadministración de AWS. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de sus túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Cisco ASA (p. 176).
52
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Cisco ASA conuna interfaz de túnel virtual (sinprotocolo de gateway fronteriza)
En esta sección se muestra un ejemplo de la información de configuración de su equipo de integración sila gateway de cliente es un dispositivo Cisco ASA que ejecuta el software Cisco ASA 9.7.1+ y si deseaconfigurar una conexión de VPN direccionada estáticamente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 53)• Ejemplo de configuración (p. 54)• Cómo probar la configuración de la gateway de cliente (p. 59)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
53
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
Cisco ASA a partir de la versión 9.7.1 y posteriores admiten el modo Activo/Activo. Al utilizar estos CiscoASA, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tenerconectividad a su VPC a través de uno de los túneles.
Ejemplo de configuraciónLa configuración de esta sección es un ejemplo de la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene un conjunto de datos paracada uno de los túneles que debe configurar.
La configuración de ejemplo incluye valores de ejemplo que le ayudarán a entender cómo funciona laconfiguración. Por ejemplo, ofrecemos valores de ejemplo para el ID de conexión de VPN (vpn-12345678)y un ID de gateway privada virtual (vgw-12345678), así como marcadores de posición para los puntos deconexión de AWS (AWS_ENDPOINT_1 y AWS_ENDPOINT_2). Reemplace estos valores de ejemplo por losvalores reales que reciba en la información de configuración.
Además, debe hacer lo siguiente:
• Configurar la interfaz externa.• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que las secuencias de política de Crypto IPsec Transform Set y Crypto ISAKMP son
coherentes con los demás túneles IPsec configurados en el dispositivo.
54
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su redlocal.
Important
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud
! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!
! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!
crypto ikev1 enable 'outside_interface'
crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec
55
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac
! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit
! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.
crypto ipsec df-bit clear-df 'outside_interface'
! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.
sysopt connection tcpmss 1379
! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'
! -------------------------------------------------------------------------
! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit
56
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.
interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit
! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-0 10.0.0.0 255.255.0.0 169.254.33.197 100 ! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!
crypto ikev1 enable 'outside_interface'
crypto ikev1 policy 201
57
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac
! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-1 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-1exit
! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.
crypto ipsec df-bit clear-df 'outside_interface'
! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.
sysopt connection tcpmss 1379
! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'
! -------------------------------------------------------------------------
! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.
58
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
!tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit
! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.
interface Tunnel2 nameif Tunnel-int-vpn-12345678-1 ip address 169.254.33.194 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 52.65.137.78 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-1 no shutdownexit
! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-1 10.0.0.0 255.255.0.0 169.254.33.193 200
Cómo probar la configuración de la gateway decliente
Al utilizar Cisco ASA como gateway de cliente en modo direccionado, ambos túneles estarán en estadoactivo.
Puede probar la configuración de la gateway en cada túnel.
59
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Para probar la configuración de la gateway de cliente en cada túnel
• Compruebe que se ha agregado una ruta estática a la conexión VPN para que el tráfico puedaregresar a la gateway de cliente. Por ejemplo, si el prefijo de la subred local es 198.10.0.0/16,añada una ruta estática con ese intervalo de CIDR a la conexión de VPN. Asegúrese de que los dostúneles tienen una ruta estática hacia la VPC.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linuxse muestran en el asistente de lanzamiento cuando se lanza una instancia desde la Consola deadministración de AWS. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de sus túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Cisco ASA (p. 176).
60
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Cisco IOSEn esta sección se muestra un ejemplo de la información de configuración de su equipo de integración si lagateway de cliente es un dispositivo Cisco IOS que ejecuta el software Cisco IOS 12.4 (o posterior).
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño general dela gateway de cliente y el segundo diagrama muestra los detalles de la configuración de ejemplo. Deberíautilizar la información de configuración real que reciba de su equipo de integración y aplicarla a su gatewayde cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 61)• Vista detallada de la gateway de cliente y configuración de ejemplo (p. 62)• Cómo probar la configuración de la gateway de cliente (p. 69)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
61
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo
Vista detallada de la gateway de cliente yconfiguración de ejemplo
El diagrama de esta sección muestra un ejemplo con una gateway de cliente de Cisco IOS. Según eldiagrama, hay un ejemplo que coincide con la información de configuración que debe proporcionarle suequipo de integración. La configuración de ejemplo contiene un conjunto de datos para cada uno de lostúneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten la gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás de un dispositivoque realice la conversión de las direcciones de red (NAT). Para asegurarse de que NAT traversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500 de UDP.
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
Además, deberá hacer lo siguiente:
• Configurar la interfaz externa.• Configurar los ID de la interfaz de túnel (a los que se hace referencia como Tunnel1 y Tunnel2 en la
configuración de ejemplo).• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que las secuencias de política de Crypto IPsec Transform Set y Crypto ISAKMP son
coherentes con los demás túneles IPsec configurados en el dispositivo.• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su red
local.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
62
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud
! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier ! and is associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! -------------------------------------------------------------------------! IPsec Tunnel #1! -------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.
63
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.225 key plain-text-password1exit
! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.225 keyring keyring-vpn-44a8938f-0exit
! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-sha-hmac mode tunnelexit
! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-0exit
! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.
64
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear
! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption
! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.255.2 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.225 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit
! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !
65
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 activate neighbor 169.254.255.1 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 timers 10 30 30 neighbor 169.254.255.1 default-originate neighbor 169.254.255.1 activate neighbor 169.254.255.1 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit
! -------------------------------------------------------------------------! IPsec Tunnel #2! -------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.193 key plain-text-password2exit
66
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo
! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.193 keyring keyring-vpn-44a8938f-1exit
! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-sha-hmac mode tunnelexit
! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-1exit
! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear
! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption
! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be
67
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit
! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your Cloud.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 activate neighbor 169.254.255.5 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 timers 10 30 30 neighbor 169.254.255.5 default-originate neighbor 169.254.255.5 activate neighbor 169.254.255.5 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit
68
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
69
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Cisco IOS (p. 179).
70
Amazon Virtual Private CloudGuía para administradores de red
Vista general de la gateway de cliente
Ejemplo: dispositivo Cisco IOS sinprotocolo de gateway fronteriza(BGP)
En esta sección se muestra un ejemplo de la información de configuración de su equipo de integración si lagateway de cliente es un router Cisco Integrated Services que ejecuta el software Cisco IOS.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño general dela gateway de cliente y el segundo diagrama muestra los detalles de la configuración de ejemplo. Deberíautilizar la información de configuración real que reciba de su equipo de integración y aplicarla a su gatewayde cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general de la gateway de cliente (p. 71)• Vista detallada de la gateway de cliente y configuración de ejemplo (p. 72)• Cómo probar la configuración de la gateway de cliente (p. 78)
Vista general de la gateway de clienteEl siguiente diagrama muestra los detalles generales de su gateway de cliente. La conexión de VPN constade dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener una disponibilidadcontinua en caso de que un dispositivo falle.
71
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo
Vista detallada de la gateway de cliente yconfiguración de ejemplo
El diagrama de esta sección muestra un ejemplo de gateway de cliente de Cisco IOS (sin BGP). Según eldiagrama, hay un ejemplo que coincide con la información de configuración que debe proporcionarle suequipo de integración. La configuración de ejemplo contiene un conjunto de datos para cada uno de lostúneles que debe configurar.
Además, la configuración de ejemplo hace referencia a este elemento que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten la gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás de un dispositivoque realice la conversión de las direcciones de red (NAT). Para asegurarse de que NAT traversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500 de UDP.
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión de VPN(vpn-1a2b3c4d), el ID de la gateway privada virtual (vgw-12345678) y las direcciones IP (205.251.233.*,169.254.255.*). Reemplace estos valores de ejemplo por los valores reales que reciba en la información deconfiguración.
Además, deberá hacer lo siguiente:
• Configurar la interfaz externa.
72
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo• Configurar los ID de la interfaz de túnel (a los que se hace referencia como Tunnel1 y Tunnel2 en la
configuración de ejemplo).• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que las secuencias de política de Crypto IPsec Transform Set y Crypto ISAKMP son
coherentes con los demás túneles IPsec configurados en el dispositivo.• Asegurarse de que el número de monitorización de SLA es único.• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su red
local.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).
73
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-0 local-address CUSTOMER_IP pre-shared-key address 205.251.233.121 key PASSWORDexit
! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-0 local-address CUSTOMER_IP match identity address 205.251.233.121 keyring keyring-vpn-1a2b3c4d-0exit
! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-sha-hmac mode tunnelexit
! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-0exit
! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear
! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!
74
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplocrypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption
! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.249.18 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit
! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #100, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 100 icmp-echo 169.254.249.17 source-interface Tunnel1 timeout 1000 frequency 5exitip sla schedule 100 life forever start-time nowtrack 100 ip sla 100 reachability ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------
75
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit
! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-1 local-address CUSTOMER_IP pre-shared-key address 205.251.233.122 key PASSWORDexit
! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-1 local-address CUSTOMER_IP match identity address 205.251.233.122 keyring keyring-vpn-1a2b3c4d-1exit
! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-sha-hmac mode tunnelexit
! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-1exit
! Additional parameters of the IPSec configuration are set here. Note that
76
Amazon Virtual Private CloudGuía para administradores de redVista detallada de la gateway de
cliente y configuración de ejemplo! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear
! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand
! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128
! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption
! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.249.22 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.122 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit
! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #200, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!
77
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
ip sla 200 icmp-echo 169.254.249.21 source-interface Tunnel2 timeout 1000 frequency 5exitip sla schedule 200 life forever start-time nowtrack 200 ip sla 200 reachability ! --------------------------------------------------------------------------------
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de la gateway de cliente en cada túnel
1. Asegúrese de que la gateway de cliente tiene una ruta estática hacia la VPC, tal y como se sugiere enlas plantillas de configuración proporcionadas por AWS.
2. Compruebe que se ha agregado una ruta estática a la conexión VPN para que el tráfico puedaregresar a la gateway de cliente. Por ejemplo, si el prefijo de la subred local es 198.10.0.0/16, tieneque agregar una ruta estática con ese rango de CIDR a la conexión de VPN. Asegúrese de que losdos túneles tienen una ruta estática hacia la VPC.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de ruta en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI Linux de Amazon en la VPC. Las AMI Linux de Amazonse muestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola deadministración de AWS. Para obtener más información, consulte la Guía de introducción a AmazonVPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Enla consola, la dirección aparece junto con los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
78
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas de lagateway de cliente de Cisco IOS sin conectividad del protocolo de gateway fronteriza (p. 183).
79
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo SonicWALLEste tema ofrece un ejemplo acerca de cómo configurar su router si su dispositivo de gateway de cliente esun router SonicWALL.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 80)• Archivo de configuración de ejemplo (p. 81)• Configuración del dispositivo SonicWALL mediante la interfaz de administración (p. 84)• Cómo probar la configuración de la gateway de cliente (p. 85)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles distintos: túnel 1 y túnel 2. Al utilizar los túneles redundantes, seasegura de tener una disponibilidad continua en caso de que un dispositivo falle.
80
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración de ejemplo
Archivo de configuración de ejemploEl archivo de configuración que se descarga de la consola de Amazon VPC incluye los valores quenecesitará para utilizar las herramientas de línea de comandos en OS 6.2 para configurar cada túnel ydefinir los parámetros de IKE e IPsec de su dispositivo SonicWALL.
Important
En la siguiente información de configuración se utilizan valores de ejemplo. Utilice los valoresreales y no los valores de ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC address range!! IPSec Tunnel !1! ================================================================================
! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193end!
81
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración de ejemplo
! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!
! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.44.242 netmask 255.255.255.252!!
! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24
82
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración de ejemplo
neighbor 169.254.44.242 remote-as 7224neighbor 169.254.44.242 timers 10 30neighbor 169.254.44.242 soft-reconfiguration inboundendwriteexitcommitend!! IPSec Tunnel #2! --------------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225 end!
! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120
83
Amazon Virtual Private CloudGuía para administradores de red
Configuración del dispositivo SonicWALLmediante la interfaz de administración
- DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!
! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.44.114 netmask 255.255.255.252!
! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.114 remote-as 7224neighbor 169.254.44.114 timers 10 30neighbor 169.254.44.114 soft-reconfiguration inboundendwriteexitcommitend
Configuración del dispositivo SonicWALL mediantela interfaz de administración
También puede configurar el dispositivo SonicWALL mediante la interfaz de administración SonicOS.Para obtener más información, consulte Configuración del dispositivo SonicWALL mediante la interfaz deadministración (p. 91).
Sin embargo, no es posible configurar BGP para el dispositivo utilizando la interfaz de administración. Ensu lugar, utilice las instrucciones de la línea de comandos que se ofrecen en el archivo de configuración deejemplo anterior, en la sección BGP.
84
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
85
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de dispositivos genéricos utilizando el protocolo de gatewayfronteriza (p. 197).
86
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo SonicWALLSonicOS sin protocolo de gatewayfronteriza
Este tema ofrece un ejemplo acerca de cómo configurar su router si su dispositivo de gateway de cliente esun router SonicWALL que ejecuta SonicOS 5.9 o 6.2
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 87)• Archivo de configuración de ejemplo (p. 88)• Configuración del dispositivo SonicWALL mediante la interfaz de administración (p. 91)• Cómo probar la configuración de la gateway de cliente (p. 93)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles distintos: túnel 1 y túnel 2. Al utilizar los túneles redundantes, seasegura de tener una disponibilidad continua en caso de que un dispositivo falle.
87
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración de ejemplo
Archivo de configuración de ejemploEl archivo de configuración que se descarga de la consola de Amazon VPC incluye los valores quenecesitará para utilizar las herramientas de línea de comandos en OS 6.2, y para configurar cada túnel ydefinir los parámetros de IKE e IPsec de su dispositivo SonicWALL.
Important
En la siguiente información de configuración se utilizan valores de ejemplo. Utilice los valoresreales y no los valores de ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496! ! This configuration consists of two tunnels. Both tunnels must be
88
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración de ejemplo
! configured on your customer gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC IP address range! ================================================================================
! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193 end
! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.
! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!
89
Amazon Virtual Private CloudGuía para administradores de red
Archivo de configuración de ejemplo
! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.255.6 netmask 255.255.255.252exit!! ! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T1 metric 1 source any destination name AWSVPC service any gateway 169.254.255.5! IPSec Tunnel !2 ================================================================================
! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-2gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225end!
! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.
90
Amazon Virtual Private CloudGuía para administradores de red
Configuración del dispositivo SonicWALLmediante la interfaz de administración
! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128 proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enable commit end!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.!! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!
! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.255.2 netmask 255.255.255.252!! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T2 metric 1 source any destination name AWSVPC service any gateway 169.254.255.1
Configuración del dispositivo SonicWALL mediantela interfaz de administración
El procedimiento siguiente muestra cómo configurar los túneles de VPN en el dispositivo SonicWALLutilizando la interfaz de gestión SonicOS. Debe sustituir los valores de ejemplo en los procedimientos porlos valores proporcionados en el archivo de configuración.
91
Amazon Virtual Private CloudGuía para administradores de red
Configuración del dispositivo SonicWALLmediante la interfaz de administración
Para configurar los túneles
1. Abra la interfaz de gestión SonicWALL SonicOS.2. En el panel izquierdo, elija VPN, Settings. En VPN Policies, elija Add....3. En la ventana de política de VPN de la pestaña General , complete la información siguiente:
• Policy Type (Tipo de política): seleccione Tunnel Interface (Interfaz de túnel).• Authentication Method: elija IKE using Preshared Secret.• Name: escriba un nombre para la política de VPN. Le recomendamos utilizar el nombre del ID de
VPN tal como se indica en el archivo de configuración.• IPsec Primary Gateway Name or Address: escriba la dirección IP de la gateway privada virtual
(punto de conexión de AWS) tal como se indica en el archivo de configuración. Por ejemplo,72.21.209.193.
• IPsec Secondary Gateway Name or Address: deje el valor predeterminado.• Shared Secret: escriba la clave previamente compartida tal como se indica en el archivo de
configuración y vuelva a escribirla en Confirm Shared Secret.• Local IKE ID: escriba la dirección IPv4 de la gateway de cliente (dispositivo SonicWALL).• Peer IKE ID: escriba la dirección IPv4 de la gateway privada virtual (punto de conexión de AWS).
4. En la pestaña Network, complete la información siguiente:
• En Local Networks, elija Any address. Se recomienda utilizar esta opción para evitar problemas deconectividad en su red local.
• En Remote Networks, elija Choose a destination network from list. Cree un objeto de dirección conel CIDR de su VPC en AWS.
5. En la pestaña Proposals, complete la información siguiente.
• En IKE (Phase 1) Proposal, haga lo siguiente:• Exchange: elija Main Mode.• DH Group: escriba un valor para el grupo Diffie-Hellman. Por ejemplo, 2.• Encryption: elija AES-128 o AES-256.• Authentication: elija SHA1 o SHA256.• Life Time: escriba 28800.
• En IKE (Phase 2) Proposal, haga lo siguiente:• Protocol: elija ESP.• Encryption: elija AES-128 o AES-256.• Authentication: elija SHA1 o SHA256.• Seleccione la casilla de verificación Enable Perfect Forward Secrecy y elija el grupo Diffie-
Hellman.• Life Time: escriba 3600.
Important
Si creó su gateway privada virtual antes de octubre de 2015, debe especificar el grupo 2 deDiffie-Hellman, AES-128 y SHA1 para ambas fases.
6. En la pestaña Advanced, complete la información siguiente:
• Seleccione Enable Keep Alive.• Seleccione Enable Phase2 Dead Peer Detection y escriba lo siguiente:
• En Dead Peer Detection Interval, escriba 60 (este es el valor mínimo que puede aceptar eldispositivo SonicWALL). 92
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
• En Failure Trigger Level, escriba 3.• En VPN Policy bound to, seleccione Interface X1. Esta es la interfaz que suele designarse para las
direcciones IP públicas.7. Seleccione OK. En la página Settings, debe seleccionar la casilla de verificación Enable para el túnel
de manera predeterminada. El punto verde indica que el túnel está activo.
Cómo probar la configuración de la gateway decliente
Primero debe probar la configuración de gateway para cada túnel.
Para probar la configuración del dispositivo de gateway de cliente para cada túnel
• En el dispositivo de gateway de cliente, asegúrese de que ha añadido una ruta estática al espacio IPde CIDR de VPC para que utilice la interfaz de túnel.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde su red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN; la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux estándisponibles en el menú Quick Start (Inicio rápido) cuando utiliza el asistente para el lanzamiento deinstancias en la Consola de administración de AWS. Para obtener más información, consulte Guía deintroducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Una respuesta correcta será parecida a la que se muestra a continuación:
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
93
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP del túnel.Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP de túneles.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de dispositivos genéricos utilizando el protocolo de gatewayfronteriza (p. 197).
94
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo Fortinet FortigateEl siguiente tema facilita la información de configuración de ejemplo que le proporcionará su equipo deintegración si el dispositivo de gateway de cliente es un dispositivo Fortinet Fortigate 40+.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 95)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 96)• Cómo probar la configuración de la gateway de cliente (p. 104)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura detener una disponibilidad continua en caso de que un dispositivo falle.
95
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo con un dispositivo de gateway de cliente Fortinet. Segúnel diagrama, hay un ejemplo que coincide con la información de configuración que debe proporcionarle suequipo de integración. La configuración de ejemplo contiene un conjunto de datos para cada uno de lostúneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten la gateway de cliente (que debe ser estática, y puede encontrarse detrás de un dispositivo que realicela conversión de las direcciones de red [NAT]).
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
96
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud
! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be
97
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. ! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. ! ! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"
! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational
set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.193 set psksecret plain-text-password1 set dpd-retryinterval 10 nextend
! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
config vpn ipsec phase2-interface edit "vpn-44a8938f-0" set phase1name "vpn-44a8938f-0" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next
98
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!
config system interface edit "vpn-44a8938f-0" set vdom "root" set ip 169.254.255.2 255.255.255.255 set allowaccess ping set type tunnel
! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.1 set mtu 1427 set interface "wan1" next
! --------------------------------------------------------------------------------
! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!
config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.1 set remote-as 7224 end
99
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.
config router bgp config neighbor edit 169.254.255.1 set capability-default-originate enable end end
config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend
config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend
! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:
config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend
! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist
show firewall policy
! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5
config firewall policyedit 5set srcintf "vpn-44a8938f-0"set dstintf internal set srcaddr all
100
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
set dstaddr allset action acceptset schedule always set service ANYnextend
config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-0" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend
! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"
! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational
set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.225 set psksecret plain-text-password2 set dpd-retryinterval 10 nextend
! #2: IPSec Configuration!
101
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
config vpn ipsec phase2-interface edit "vpn-44a8938f-1" set phase1name "vpn-44a8938f-1" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next
! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!
config system interface edit "vpn-44a8938f-1" set vdom "root" set ip 169.254.255.6 255.255.255.255 set allowaccess ping set type tunnel
! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.5 set mtu 1427 set interface "wan1" next
! --------------------------------------------------------------------------------
! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)
102
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!
config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.5 set remote-as 7224 end
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.
config router bgp config neighbor edit 169.254.255.5 set capability-default-originate enable end end
config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend
config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend
! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:
config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend
!! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa
103
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist
show firewall policy
! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5
config firewall policyedit 5set srcintf "vpn-44a8938f-1"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend
config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-1" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend
! --------------------------------------------------------------------------------
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
104
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
105
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo Juniper J-SeriesJunOS
En esta sección se muestra un ejemplo de la información de configuración de su equipo de integraciónsi el dispositivo de gateway de cliente es un router Juniper J-Series que ejecuta el software JunOS 9.5 (oposterior).
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 106)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 107)• Cómo probar la configuración de la gateway de cliente (p. 114)
Vista general del dispositivo de gateway de clienteEl siguiente diagrama muestra los detalles generales del dispositivo de gateway de cliente. La conexión deVPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura de tener unadisponibilidad continua en caso de que un dispositivo falle.
106
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo con un dispositivo de gateway de cliente JuniperJunOS. Según el diagrama, hay un ejemplo que coincide con la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene un conjunto de datos paracada uno de los túneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten el dispositivo de gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás deun dispositivo que realice la conversión de las direcciones de red (NAT). Para asegurarse de que NATtraversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500de UDP.
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
Además, deberá hacer lo siguiente:
• Configurar la interfaz externa (a la que se hace referencia como ge-0/0/0.0 en la configuración deejemplo).
107
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
• Configurar los ID de la interfaz de túnel (a los que se hace como st0.1 y st0.2 en la configuración deejemplo).
• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su redlocal.
• Identificar la zona de seguridad para la interfaz de vínculo superior (la siguiente información deconfiguración utiliza la zona predeterminada "poco confiable").
• Identificar la zona de seguridad para la interfaz interior (la siguiente información de configuración utilizala zona predeterminada "de confianza").
En el siguiente diagrama y la siguiente configuración de ejemplo, deberá reemplazar los elementos queaparecen en cursiva y color rojo por los valores aplicables a su configuración particular.
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.
108
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-0set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225
# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all
# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.
109
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-0
# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection
# #3: Tunnel Interface Configuration#
# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1
# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike
# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp
# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.
110
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-2 mode main set security ike policy ike-pol-vpn-44a8938f-2 proposals ike-prop-vpn-44a8938f-2set security ike policy ike-pol-vpn-44a8938f-2 pre-shared-key ascii-text plain-text-password2
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway
111
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193
# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all
# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-2 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-2 proposals ipsec-prop-vpn-44a8938f-2
# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.2).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.20).#set security ipsec vpn vpn-44a8938f-2 bind-interface st0.2set security ipsec vpn vpn-44a8938f-2 ike gateway gw-vpn-44a8938f-2set security ipsec vpn vpn-44a8938f-2 ike ipsec-policy ipsec-pol-vpn-44a8938f-2set security ipsec vpn vpn-44a8938f-2 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-2 dead-peer-detection
# #3: Tunnel Interface Configuration#
112
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# The tunnel interface is configured with the internal IP address.#set interfaces st0.2 family inet address 169.254.255.6/30set interfaces st0.2 family inet mtu 1436set security zones security-zone trust interfaces st0.2
# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike
# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp
# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN
113
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
114
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Juniper JunOS (p. 188).
115
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo Juniper SRXJunOS
En esta sección se muestra un ejemplo de la información de configuración de su equipo de integraciónsi el dispositivo de gateway de cliente es un router Juniper SRX que ejecuta el software JunOS 11.0 (oposterior).
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 116)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 117)• Cómo probar la configuración de la gateway de cliente (p. 124)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura detener una disponibilidad continua en caso de que un dispositivo falle.
116
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo con un dispositivo de gateway de cliente Juniper JunOS11.0+. Según el diagrama, hay un ejemplo que coincide con la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene un conjunto de datos paracada uno de los túneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten la gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás de un dispositivoque realice la conversión de las direcciones de red (NAT). Para asegurarse de que NAT traversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500 de UDP.
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
Además, deberá hacer lo siguiente:
• Configurar la interfaz externa (a la que se hace referencia como ge-0/0/0.0 en la configuración deejemplo).
117
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
• Configurar los ID de la interfaz de túnel (a los que se hace como st0.1 y st0.2 en la configuración deejemplo).
• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su redlocal.
• Identificar la zona de seguridad para la interfaz de vínculo superior (la siguiente información deconfiguración utiliza la zona predeterminada "poco confiable").
• Identificar la zona de seguridad para la interfaz interior (la siguiente información de configuración utilizala zona predeterminada "de confianza").
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.
118
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-1set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal
# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all
# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and
119
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-1
# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-1set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-1set security ipsec vpn vpn-44a8938f-1 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection
# #3: Tunnel Interface Configuration#
# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1
# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike
# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp
# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway
120
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2
# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-2 mode main set security ike policy ike-pol-vpn-44a8938f-2 proposals ike-prop-vpn-44a8938f-2set security ike policy ike-pol-vpn-44a8938f-2 pre-shared-key ascii-text plain-text-password2
121
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-2set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193set security ike gateway gw-vpn-44a8938f-2 no-nat-traversal
# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all
# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600
# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-2 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-2 proposals ipsec-prop-vpn-44a8938f-2
# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.2).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.20).#set security ipsec vpn vpn-44a8938f-2 bind-interface st0.2set security ipsec vpn vpn-44a8938f-2 ike gateway gw-vpn-44a8938f-2set security ipsec vpn vpn-44a8938f-2 ike ipsec-policy ipsec-pol-vpn-44a8938f-2set security ipsec vpn vpn-44a8938f-2 df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-2 dead-peer-detection
# #3: Tunnel Interface Configuration
122
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
#
# The tunnel interface is configured with the internal IP address.#set interfaces st0.2 family inet address 169.254.255.6/30set interfaces st0.2 family inet mtu 1436set security zones security-zone trust interfaces st0.2
# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike
# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp
# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387
# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject
set protocols bgp group ebgp type external
set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN
123
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
124
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Juniper JunOS (p. 188).
125
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo JuniperScreenOS
En esta sección se muestra un ejemplo de la información de configuración de su equipo de integración siel dispositivo de gateway de cliente es un dispositivo Juniper de la serie SSG o Netscreen que ejecuta elsoftware Juniper ScreenOS.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 126)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 127)• Cómo probar la configuración de la gateway de cliente (p. 133)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura detener una disponibilidad continua en caso de que un dispositivo falle.
126
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo con un dispositivo de gateway de cliente JuniperScreenOS. Según el diagrama, hay un ejemplo que coincide con la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene información acerca de lostúneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten el dispositivo de gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás deun dispositivo que realice la conversión de las direcciones de red (NAT). Para asegurarse de que NATtraversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500de UDP.
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
Además, deberá hacer lo siguiente:
• Configurar la interfaz externa (a la que se hace referencia como ethernet0/0 en la configuración deejemplo).
127
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
• Configurar los ID de la interfaz de túnel (a los que se hace como tunnel.1 y tunnel.2 en laconfiguración de ejemplo).
• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su redlocal.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración que reciba. Utilice los valores reales y no los valores deejemplo, para evitar que se produzcan errores en su implementación.Important
La configuración siguiente corresponde a las versiones 6.2 y posteriores de ScreenOS. Podrádescargar una configuración específica para la versión 6.1 de ScreenOS. En el cuadro de diálogoDownload Configuration (Configuración de descarga) si selecciona Juniper Networks, Inc.de la lista Vendor (Proveedor), SSG and ISG Series Routers de la lista Platform (Plataforma)y ScreenOS 6.1 de la lista Software.
# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of a VPN # Connection. Each VPN Connection is assigned a VPN Connection Identifier# and is associated with two other identifiers, namely the Customer Gateway# Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961
128
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
## This configuration consists of two tunnels. Both tunnels must be configured# on your Customer Gateway.## This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.## --------------------------------------------------------------------------------# IPsec Tunnel #1# --------------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1 second 28800
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.##If the address changes, the Customer Gateway and VPN Connection must be recreated.#
set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ike-prop-vpn-44a8938f-1
# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging
# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#
set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10
129
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal ipsec-prop-vpn-44a8938f-1
# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.#
set interface tunnel.1 zone Trustset interface tunnel.1 ip 169.254.255.2/30set interface tunnel.1 mtu 1436set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1
# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.
set zone Trust asymmetric-vpn
# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.#
set flow vpn-tcp-mss 1387
# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0). ## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#
set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop.
set enableset neighbor 169.254.255.1 remote-as 7224set neighbor 169.254.255.1 enable
130
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
exitexitset interface tunnel.1 protocol bgp
# -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#
set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1 second 28800
# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.## This address is configured with the setup for your Customer Gateway. If the# address changes, the Customer Gateway and VPN Connection must be recreated.#set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ike-prop-vpn-44a8938f-2
# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging
# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#
set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal ipsec-prop-vpn-44a8938f-2
131
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.
set interface tunnel.2 zone Trustset interface tunnel.2 ip 169.254.255.6/30set interface tunnel.2 mtu 1436set vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2
# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.
set zone Trust asymmetric-vpn
# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.
set flow vpn-tcp-mss 1387
# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0).## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#
set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop. set enableset neighbor 169.254.255.5 remote-as 7224set neighbor 169.254.255.5 enableexitexitset interface tunnel.2 protocol bgp
132
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
133
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Juniper ScreenOS (p. 191).
134
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo Netgate PfSensesin protocolo de gateway fronteriza
Este tema ofrece un ejemplo acerca de cómo configurar su router si su gateway de cliente es un firewallNetgate pfSense que ejecuta OS 2.2.5 o posterior.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 135)• Ejemplo de configuración (p. 136)• Cómo probar la configuración de la gateway de cliente (p. 139)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles distintos: túnel 1 y túnel 2. Al utilizar los túneles redundantes, seasegura de tener una disponibilidad continua en caso de que un dispositivo falle.
Debería utilizar la información de configuración real que reciba de su equipo de integración y aplicarla aldispositivo de gateway de cliente.
135
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
Ejemplo de configuraciónLa configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, ofrecemos valores de ejemplo para el ID de conexión de VPN(vpn-12345678), un ID de gateway privada virtual (vgw-12345678) y marcadores de posición para lospuntos de conexión de AWS (AWS_ENDPOINT_1 y AWS_ENDPOINT_2).
En la configuración de ejemplo siguiente, debe reemplazar los valores de marcador de posición que seindican con texto en cursiva de color con valores que se aplican a la configuración concreta.
Important
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud
! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the
136
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway for redundancy.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )
General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_1 f. Description: Amazon-IKE-vpn-12345678-0 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password1 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries
! #2: IPSec Configuration!
137
Amazon Virtual Private CloudGuía para administradores de red
Ejemplo de configuración
! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:
a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-0 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds
Advanced Options
Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.
! --------------------------------------------------------------------------------
! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )
General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_2 f. Description: Amazon-IKE-vpn-12345678-1 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address
138
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password2 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries
! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:
a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-1 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds
Advanced Options
Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.
Cómo probar la configuración de la gateway decliente
Primero debe probar la configuración de gateway para cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
• En la consola de Amazon VPC, compruebe que se ha agregado una ruta estática a la conexión VPNpara que el tráfico pueda regresar a la gateway de cliente. Por ejemplo, si el prefijo de la subred locales 198.10.0.0/16, debe agregar una ruta estática con ese rango de CIDR a la conexión de VPN.Asegúrese de que los dos túneles tienen una ruta estática hacia la VPC.
139
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia desde una de las AMI Linux de Amazon en la VPC. Las AMI de Amazon Linuxestán disponibles en el menú Quick Start cuando utiliza el asistente Launch Instances Wizard de laconsola de Amazon EC2. Para obtener más información, consulte el tema sobre cómo lanzar unainstancia en la Guía del usuario de Amazon EC2 para instancias de Linux.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
140
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo de Palo AltoNetworks
El siguiente tema proporciona información de configuración de ejemplo que le proporcionará su equipo deintegración si el dispositivo de gateway de cliente es un dispositivo de Palo Alto Networks PANOS 4.1.2+.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 141)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 142)• Cómo probar la configuración de la gateway de cliente (p. 149)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura detener una disponibilidad continua en caso de que un dispositivo falle.
141
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo con un dispositivo de gateway de cliente de PaloAlto. Según el diagrama, hay un ejemplo que coincide con la información de configuración que debeproporcionarle su equipo de integración. La configuración de ejemplo contiene un conjunto de datos paracada uno de los túneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten el dispositivo de gateway de cliente (que debe ser estática, y puede encontrarse detrás de undispositivo que realice la conversión de las direcciones de red [NAT]; sin embargo, no se admite laconversión de direcciones de red transversal [NAT-T]).
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
142
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
! Amazon Web Services! Virtual Private Cloud
! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!
143
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------
! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!
configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-0 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top
edit network ike gateway ike-vpn-44a8938f-0 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchange-mode main set authentication pre-shared-key key plain-text-password1 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.193 top
! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top
144
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!
edit network interface tunnel set ip 169.254.255.5/30 set units tunnel.1 set mtu 1427 top
edit network tunnel ipsec ipsec-tunnel-1 set auto-key ike-gateway ike-vpn-44a8938f-0 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0 set tunnel-interface tunnel.1 set anti-replay yes
! --------------------------------------------------------------------------------
! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!
edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-0 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.5/30
145
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
set local-address interface tunnel.1 set peer-as 7224 set peer-address ip 169.254.255.2 top
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.
edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top
! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.
edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 192.168.0.0/16 exact yes set used-by AmazonBGP enable yes top
!
! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!
configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-1 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top
edit network ike gateway ike-vpn-44a8938f-1
146
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchange-mode main set authentication pre-shared-key key plain-text-password2 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.225 top
! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top
! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!
edit network interface tunnel set ip 169.254.255.1/30 set units tunnel.2 set mtu 1427 top
edit network tunnel ipsec ipsec-tunnel-2 set auto-key ike-gateway ike-vpn-44a8938f-1 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1 set tunnel-interface tunnel.2 set anti-replay yes
147
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!
edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-1 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.1/30 set local-address interface tunnel.2 set peer-as 7224 set peer-address ip 169.254.255.6.113 top
! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.
edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top
! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.
edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 192.168.0.0/16 exact yes set used-by AmazonBGP enable yes top
!
148
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
149
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
150
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo YamahaEn esta sección se muestra un ejemplo de la información de configuración de su equipo de integraciónsi el dispositivo de gateway de cliente es un enrutador Yamaha RT107e, RTX1200, RTX1210, RTX1500,RTX3000 o SRT100.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 151)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 152)• Cómo probar la configuración de la gateway de cliente (p. 158)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura detener una disponibilidad continua en caso de que se produzca un error en un dispositivo.
151
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo con un dispositivo de gateway de cliente Yamaha. Segúnel diagrama, hay un ejemplo que coincide con la información de configuración que debe proporcionarle suequipo de integración. La configuración de ejemplo contiene un conjunto de datos para cada uno de lostúneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten el dispositivo de gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás deun dispositivo que realice la conversión de las direcciones de red (NAT). Para asegurarse de que NATtraversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500de UDP.
• DIRECCIÓN_DE_RED_LOCAL: dirección IP asignada a la interfaz LAN conectada a su red local(dirección privada como, por ejemplo, 192.168.0.1)
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
Además, también deberá hacer lo siguiente:
• Configurar la interfaz externa (a la que se hace referencia como LAN3 en la configuración de ejemplo).• Configurar los ID de la interfaz de túnel (a los que se hace referencia Túnel n.º 1 y Túnel n.º 2 en
la configuración de ejemplo).• Configurar todo el direccionamiento interno que mueve el tráfico entre la gateway de cliente y su red
local.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
152
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Warning
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo que se muestran aquí. De lo contrario, se producirá un error en su implementación.
# Amazon Web Services # Virtual Private Cloud # AWS utilizes unique identifiers to manage the configuration of # a VPN Connection. Each VPN Connection is assigned an identifier and is # associated with two other identifiers, namely the # Customer Gateway Identifier and Virtual Private Gateway Identifier. # # Your VPN Connection ID : vpn-44a8938f # Your Virtual Private Gateway ID : vgw-8db04f81 # Your Customer Gateway ID : cgw-b4dc3961 # # # This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway. # # -------------------------------------------------------------------------------- # IPsec Tunnel #1 # --------------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. #
153
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 1 ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha # This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 1 text plain-text-password1
# #2: IPsec Configuration # The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPSec policies, each identified by # sequence number. This policy is defined as #201, which may conflict with# an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.# ipsec tunnel 201 ipsec sa policy 201 1 esp aes-cbc sha-hmac # The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime. ipsec ike duration ipsec-sa 1 3600 ipsec ike pfs 1 on # Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear # This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational. ipsec ike keepalive use 1 on dpd 10 3
154
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS ipsec ike remote address 1 72.21.209.225 ip tunnel address 169.254.255.2/30 ip tunnel remote address 169.254.255.1 # This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation ip tunnel tcp mss limit 1387tunnel enable 1tunnel select noneipsec auto refresh on
# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2
# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#
bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1
155
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# -------------------------------------------------------------------------------- # IPsec Tunnel #2 # --------------------------------------------------------------------------------
# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 2 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha
# This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 2 text plain-text-password2
# #2: IPsec Configuration
# The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPsec policies, each identified by # sequence number. This policy is defined as #202, which may conflict with # an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts. #
ipsec tunnel 202ipsec sa policy 202 2 esp aes-cbc sha-hmac
# The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime.
ipsec ike duration ipsec-sa 2 3600ipsec ike pfs 2 on
# Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment"
156
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
# bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear
# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational.
ipsec ike keepalive use 2 on dpd 10 3
# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # Association with the IPsec security association is done through the # "tunnel protection" command. # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESSipsec ike remote address 2 72.21.209.193 ip tunnel address 169.254.255.6/30 ip tunnel remote address 169.254.255.5
# This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation
ip tunnel tcp mss limit 1387tunnel enable 2tunnel select noneipsec auto refresh on
# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.## # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASN
157
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
bgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6
# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#
bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1
bgp configure refresh
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
158
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de Yamaha (p. 194).
159
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo de gateway decliente genérico con protocolo degateway fronteriza
Si el dispositivo de gateway de cliente no es de uno de los tipos abordados anteriormente en esta guía,su equipo de integración le puede proporcionar información general que podrá utilizar para configurar eldispositivo de gateway de cliente. Esta sección incluye un ejemplo de dicha información.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 160)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 161)• Cómo probar la configuración de la gateway de cliente (p. 166)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles independientes. Al utilizar los túneles redundantes, se asegura detener una disponibilidad continua en caso de que un dispositivo falle.
160
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un ejemplo genérico con un dispositivo de gateway de cliente. Segúnel diagrama, hay un ejemplo que coincide con la información de configuración que debe proporcionarle suequipo de integración. La configuración de ejemplo contiene un conjunto de datos para cada uno de lostúneles que debe configurar.
Además, la configuración de ejemplo hace referencia a estos elementos que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten el dispositivo de gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás deun dispositivo que realice la conversión de las direcciones de red (NAT). Para asegurarse de que NATtraversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500de UDP.
• SU_BGP_ASN: BGP ASN de la gateway de cliente (de forma predeterminada, utilizamos 65000).
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de ASN(72.21.209.*, 169.254.255.*) y el ASN remoto (7224). Reemplace estos valores de ejemplo por los valoresreales que reciba en la información de configuración.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
161
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Amazon Web ServicesVirtual Private Cloud
VPN Connection Configuration===============================================AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-b4dc3961
A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured.
IPsec Tunnel #1================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key
162
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
- Pre-Shared Key : plain-text-password1- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2
#2: IPsec Configuration
Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3
IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.
The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.
The Customer Gateway inside IP address should be configured on your tunnelinterface.
Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193
Inside IP Addresses- Customer Gateway : 169.254.255.2/30- Virtual Private Gateway : 169.254.255.1/30
163
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes
#4: Border Gateway Protocol (BGP) Configuration:
The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.
BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.1- Neighbor Hold Time : 30
Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.
IPsec Tunnel #2=====================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2
#2: IPsec Configuration
Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2
IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We
164
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
recommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3
IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.
The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.
The Customer Gateway inside IP address should be configured on your tunnelinterface.
Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193
Inside IP Addresses- Customer Gateway : 169.254.255.6/30- Virtual Private Gateway : 169.254.255.5/30
Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes
" #4: Border Gateway Protocol (BGP) Configuration:
The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.
BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.5- Neighbor Hold Time : 30
Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.
165
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Puede probar la configuración de la gateway en cada túnel.
Para probar la configuración de gateway de cliente para cada túnel
1. En la gateway de cliente, determine si el estado de BGP es Established.
El intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse.2. Asegúrese de que la gateway de cliente indica una ruta a la gateway privada virtual. Puede ser la ruta
predeterminada (0.0.0.0/0) o, si lo prefiere, otra más específica.
Una vez que se ha establecido correctamente, el intercambio de tráfico BGP debería recibir de la gatewayprivada virtual una ruta que se corresponda con el prefijo que el equipo de integración de VPC especificópara la VPC (por ejemplo, 10.0.0.0/24). Si se establece el intercambio de tráfico BGP, recibe un prefijoy se indica un prefijo, el túnel estará configurado correctamente. Asegúrese de que los dos túneles tieneneste estado.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Compruebe que ha configurado el direccionamiento de la conexión de VPN; la tabla de ruteo de la
subred debe contener una ruta a la gateway privada virtual. Para obtener más información, consulteHabilitación de la propagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux semuestran en el asistente de lanzamiento cuando se lanza una instancia desde la consola de AmazonEC2. Para obtener más información, consulte Guía de introducción a Amazon VPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
166
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP deltúnel. Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP detúneles.
4. (Opcional) Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente unode los túneles del gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túnelesen el lado AWS de la conexión de VPN.
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de dispositivos genéricos utilizando el protocolo de gatewayfronteriza (p. 197).
167
Amazon Virtual Private CloudGuía para administradores de red
Vista general del dispositivo de gateway de cliente
Ejemplo: dispositivo de gateway decliente genérico sin protocolo degateway fronteriza
Si el dispositivo de gateway de cliente no es de uno de los tipos abordados anteriormente en esta guía,su equipo de integración le puede proporcionar información general que podrá utilizar para configurar eldispositivo de gateway de cliente. Esta sección incluye un ejemplo de dicha información.
Los dos diagramas muestran la configuración de ejemplo. El primer diagrama muestra el diseño generaldel dispositivo de gateway de cliente y el segundo diagrama muestra los detalles de la configuración deejemplo. Debería utilizar la información de configuración real que reciba de su equipo de integración yaplicarla al dispositivo de gateway de cliente.
Before you begin, ensure that you've done the following:
• You've created a Site-to-Site VPN connection in Amazon VPC. For more information, see Getting Startedin the Guía del usuario de AWS Site-to-Site VPN.
• You've read the requirements (p. 8) for your customer gateway device.
Temas• Vista general del dispositivo de gateway de cliente (p. 168)• Vista detallada del dispositivo de gateway de cliente y configuración de ejemplo (p. 169)• Cómo probar la configuración de la gateway de cliente (p. 174)
Vista general del dispositivo de gateway de clienteEn el siguiente diagrama se muestran los detalles generales del dispositivo de gateway de cliente. Laconexión de VPN consta de dos túneles distintos: túnel 1 y túnel 2. Al utilizar los túneles redundantes, seasegura de tener una disponibilidad continua en caso de que un dispositivo falle.
168
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Vista detallada del dispositivo de gateway de clientey configuración de ejemplo
El diagrama de esta sección muestra un dispositivo de gateway de cliente genérico que utiliza eldireccionamiento estático para su conexión de VPN. Por el contrario, no admite el direccionamientodinámico ni el protocolo de gateway fronteriza (BGP). Según el diagrama, hay un ejemplo que coincidecon la información de configuración que debe proporcionarle su equipo de integración. La configuración deejemplo contiene un conjunto de datos para cada uno de los dos túneles que debe configurar.
Además, la configuración de ejemplo hace referencia a un elemento que debe proporcionar:
• SU_DIRECCIÓN_DE_ENLACE_DE_SUBIDA: dirección IP de la interfaz externa direccionable de Interneten el dispositivo de gateway de cliente. La dirección debe ser estática, y puede encontrarse detrás deun dispositivo que realice la conversión de las direcciones de red (NAT). Para asegurarse de que NATtraversal (NAT-T) funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500de UDP.
La configuración de ejemplo incluye varios valores de ejemplo que le ayudarán a entender cómofunciona la configuración. Por ejemplo, se ofrecen valores de muestra para el ID de conexión deVPN (vpn-44a8938f), el ID de la gateway privada virtual (vgw-8db04f81) y las direcciones IP de VGW
169
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
(72.21.209.*, 169.254.255.*). Reemplace estos valores de ejemplo por los valores reales que reciba en lainformación de configuración.
En el siguiente diagrama y ejemplo de configuración, debe reemplazar los valores de marcador de posiciónque se indican con texto en cursiva de color con valores que se aplican a su configuración concreta.
Important
La información de configuración siguiente muestra un ejemplo de lo que puede esperar que leproporcione el equipo de integración. Muchos de los valores del siguiente ejemplo son diferentesa los de la información de configuración real que reciba. Utilice los valores reales y no los valoresde ejemplo, para evitar que se produzcan errores en su implementación.
Amazon Web ServicesVirtual Private Cloud
VPN Connection Configuration================================================================================AWS utilizes unique identifiers to manipulate the configuration ofa VPN Connection. Each VPN Connection is assigned a VPN Connection Identifierand is associated with two other identifiers, namely theCustomer Gateway Identifier and the Virtual Private Gateway Identifier.
Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-ff628496
A VPN Connection consists of a pair of IPSec tunnel security associations (SAs).It is important that both tunnel security associations be configured.
IPSec Tunnel #1================================================================================
#1: Internet Key Exchange Configuration
170
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Configure the IKE SA as followsPlease note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2
#2: IPSec Configuration
Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2
IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3
IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.
The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a new
171
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
Customer Gateway.
The Customer Gateway inside IP address should be configured on your tunnelinterface.
Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193
Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30
Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:
To route traffic between your internal network and your VPC,you will need a static route added to your router.
Static Route Configuration Options:
- Next hop : 169.254.255.73
You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.
IPSec Tunnel #2 ================================================================================
#1: Internet Key Exchange Configuration
Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2
#2: IPSec Configuration
Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.
172
Amazon Virtual Private CloudGuía para administradores de red
Vista detallada del dispositivo de gatewayde cliente y configuración de ejemplo
- Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2
IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3
IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption
#3: Tunnel Interface Configuration
Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.
The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.
The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.
The Customer Gateway inside IP address should be configured on your tunnelinterface.
Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225
Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30
Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:
To route traffic between your internal network and your VPC,you will need a static route added to your router.
Static Route Configuration Options:
- Next hop : 169.254.255.77
You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.
173
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Cómo probar la configuración de la gateway decliente
Primero debe probar la configuración de gateway para cada túnel.
Para probar la configuración del dispositivo de gateway de cliente para cada túnel
• En el dispositivo de gateway de cliente, asegúrese de que ha añadido una ruta estática al espacio IPde CIDR de VPC para que utilice la interfaz de túnel.
A continuación, debe probar la conectividad de cada túnel. Para ello, lance una instancia en su VPC y hagaping a la instancia desde la red doméstica. Antes de comenzar, asegúrese de lo siguiente:
• Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI deAmazon Linux.
• Configurar el grupo de seguridad y la ACL de red de su instancia para permitir el tráfico ICMP entrante.• Haber configurado el direccionamiento de su conexión de VPN: la tabla de ruteo de su subred debe
contener una ruta a la gateway privada virtual. Para obtener más información, consulte Habilitación de lapropagación de rutas en su tabla de ruteo en la Guía del usuario de Amazon VPC.
Para probar la conectividad completa de cada túnel
1. Lance una instancia de una de las AMI de Amazon Linux en su VPC. Las AMI de Amazon Linux estándisponibles en el menú Quick Start cuando utiliza el asistente Launch Instances Wizard de la consolade administración de AWS. Para obtener más información, consulte Guía de introducción a AmazonVPC.
2. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola muestra la dirección como parte de los detalles de la instancia.
3. En un sistema de su red doméstica, utilice el comando ping con la dirección IP de la instancia.Asegúrese de que el equipo desde el que vaya a hacer ping se encuentre detrás de la gateway decliente. Si obtiene una respuesta correcta, será parecida a la que se muestra a continuación.
PROMPT> ping 10.0.0.4Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Note
Si hace ping a una instancia desde el router de la gateway de cliente, asegúrese de que losmensajes de ping tengan su origen en una dirección IP interna y no en una dirección IP del túnel.Algunas AMI no responden a los mensajes de ping procedentes de direcciones IP de túneles.
174
Amazon Virtual Private CloudGuía para administradores de red
Cómo probar la configuración de la gateway de cliente
Si las pruebas de los túneles no se completan correctamente, consulte Solución de problemas deconectividad de gateway de cliente de dispositivos genéricos utilizando el protocolo de gatewayfronteriza (p. 197).
175
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway de cliente de Cisco ASA
Solución de problemasSi sus túneles no tienen un estado correcto al comprobar su dispositivo de gateway de cliente, utilice lasiguiente información de solución de problemas.
Temas• Solución de problemas de conectividad de gateway de cliente de Cisco ASA (p. 176)• Solución de problemas de conectividad de gateway de cliente de Cisco IOS (p. 179)• Solución de problemas de la gateway de cliente de Cisco IOS sin conectividad del protocolo de
gateway fronteriza (p. 183)• Solución de problemas de conectividad de gateway de cliente de Juniper JunOS (p. 188)• Solución de problemas de conectividad de gateway de cliente de Juniper ScreenOS (p. 191)• Solución de problemas de conectividad de gateway de cliente de Yamaha (p. 194)• Solución de problemas de conectividad de gateway de cliente de dispositivos genéricos utilizando el
protocolo de gateway fronteriza (p. 197)• Solución de problemas de gateway de cliente de dispositivos genéricos sin conectividad del protocolo
de gateway fronteriza (p. 200)
Solución de problemas de conectividad de gatewayde cliente de Cisco ASA
Al solucionar problemas de conectividad de una gateway de cliente de Cisco, tenga en cuenta treselementos: IKE, IPsec y el direccionamiento. Puede solucionar problemas en estas áreas en cualquierorden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de formaascendente.
Important
Algunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA, solopuede tener un túnel activo cada vez. El otro túnel en espera se activará solo si el primer túnelse vuelve no disponible. El túnel en espera puede producir el siguiente error en sus archivos delog: Rejecting IPSec tunnel: no matching crypto map entry for remote proxy0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside.Este error puede ignorarse.
IKEUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con el IKE configuradocorrectamente.
ciscoasa# show crypto isakmp sa
Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2
1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE
176
Amazon Virtual Private CloudGuía para administradores de red
IPsec
Debería ver una o varias líneas con el valor src para la gateway remota especificado en los túneles. Elvalor state debería ser MM_ACTIVE y el status debería ser ACTIVE. La ausencia de entradas o laaparición de una entrada con otro estado indican que IKE no se ha configurado correctamente.
Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log proporcionen información de diagnóstico.
router# term monrouter# debug crypto isakmp
Para deshabilitar la depuración, utilice el siguiente comando:
router# no debug crypto isakmp
IPsecUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con IPsec configuradocorrectamente.
ciscoasa# show crypto ipsec sa
interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101
access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0
local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1
path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6
inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes
177
Amazon Virtual Private CloudGuía para administradores de red
Direccionamiento
replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001
Por cada interfaz del túnel, debería ver tanto inbound esp sas como outbound esp sas. Esto indicaque aparece una SA (por ejemplo, spi: 0x48B456A6) y que IPsec se ha configurado correctamente.
En Cisco ASA, el IPsec solo aparece después de que se envíe "tráfico interesante". Para mantenersiempre IPsec activo, recomendamos configurar la monitorización de SLA. El monitoreo de SLA sigueenviando tráfico interesante, lo que mantendrá el IPsec activo.
También puede utilizar el siguiente comando ping para obligar a su IPsec a comenzar la negociación ycontinuar:
ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración:
router# debug crypto ipsec
Para deshabilitar la depuración, utilice el siguiente comando:
router# no debug crypto ipsec
DireccionamientoHaga ping al otro extremo del túnel. Si está funcionando, su IPsec debería estar activo y en correctofuncionamiento. En caso contrario, compruebe sus listas de acceso y consulte la sección anterior de IPsec.
Si no puede obtener acceso a sus instancias, compruebe lo siguiente:
1. Verifique que access-list esté configurado para permitir el tráfico asociado a crypto map.
Puede hacerlo con el siguiente comando:
ciscoasa# show run crypto
crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
2. A continuación, compruebe la lista de acceso de la siguiente forma:
178
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway de cliente de Cisco IOS
ciscoasa# show run access-list access-list-name
access-list access-list-name extended permit ip any vpc_subnet subnet_mask
Por ejemplo:
access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
3. Verifique si esta lista de acceso es correcta. La lista de acceso de ejemplo del paso anterior permitetodo el tráfico interno a la subred de VPC 10.0.0.0/16.
4. Ejecute un comando traceroute desde el dispositivo Cisco ASA para ver si llega a los routers deAmazon (por ejemplo, AWS_ENDPOINT_1/AWS_ENDPOINT_2).
Si llega al router de Amazon, entonces compruebe las rutas estáticas que añadió en la Consola deadministración de AWS, así como los grupos de seguridad de las instancias particulares.
5. Para una solución de problemas más profunda, revise la configuración.
Solución de problemas de conectividad de gatewayde cliente de Cisco IOS
Al solucionar problemas de conectividad de una gateway de cliente de Cisco, tenga en cuenta cuatroelementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas en cualquierorden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de formaascendente.
IKEUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con el IKE configuradocorrectamente.
router# show crypto isakmp sa
IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE
Debería ver una o varias líneas con el valor src para la gateway remota especificado en los túneles. Elstate debería ser QM_IDLE y el status debería ser ACTIVE. La ausencia de entradas o la aparición deuna entrada con otro estado indican que IKE no se ha configurado correctamente.
Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log proporcionen información de diagnóstico.
router# term monrouter# debug crypto isakmp
Para deshabilitar la depuración, utilice el siguiente comando:
router# no debug crypto isakmp
179
Amazon Virtual Private CloudGuía para administradores de red
IPsec
IPsecUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con IPsec configuradocorrectamente.
router# show crypto ipsec sa
interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)
inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2 Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
180
Amazon Virtual Private CloudGuía para administradores de red
Túnel
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Por cada interfaz del túnel, debería ver tanto inbound esp sas como outbound esp sas. Si apareceuna SA (spi: 0xF95D2F3C, por ejemplo) y el valor de Status es ACTIVE, IPsec se ha configuradocorrectamente.
Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.
router# debug crypto ipsec
Utilice el siguiente comando para deshabilitar la depuración.
router# no debug crypto ipsec
TúnelEn primer lugar, compruebe si tiene las reglas de firewall necesarias aplicadas. Para obtener másinformación, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 11).
Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando:
router# show interfaces tun1
181
Amazon Virtual Private CloudGuía para administradores de red
BGP
Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
Asegúrese de que el line protocol está activo. Compruebe que la dirección IP de origen del túnel,la interfaz de origen y el destino coinciden respectivamente con la configuración del túnel de la direcciónIP externa de la gateway de cliente, la interfaz y la dirección IP externa de la gateway privada virtual.Asegúrese de que Tunnel protection via IPSec esté presente. Asegúrese de ejecutar el comandoen ambas interfaces del túnel. Para resolver cualquier problema aquí, revise la configuración y compruebelas conexiones físicas para su gateway de cliente.
Asimismo, utilice el siguiente comando, reemplazando 169.254.255.1 por la dirección IP interna de sugateway privada virtual.
router# ping 169.254.255.1 df-bit size 1410
Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!
Debería ver cinco signos de exclamación.
Para una solución de problemas más profunda, revise la configuración.
BGPPara ello, use el siguiente comando:
router# show ip bgp summary
BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory
182
Amazon Virtual Private CloudGuía para administradores de red
Conexión de la gateway privada virtual
0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1
Aquí, deberían aparecer los dos vecinos. Para cada uno, debería ver un valor de State/PfxRcd de 1.
Si el intercambio de tráfico BGP está activado, compruebe si el router de la gateway de cliente estáanunciando la ruta predeterminada (0.0.0.0/0) a la VPC.
router# show bgp all neighbors 169.254.255.1 advertised-routes
For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete
Originating default network 0.0.0.0
Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i
Total number of prefixes 1
Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual.
router# show ip route bgp
10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
Para una solución de problemas más profunda, revise la configuración.
Conexión de la gateway privada virtualAsegúrese de que la gateway privada virtual esté asociada a su VPC. Su equipo de integración lo hace conla Consola de administración de AWS.
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
Solución de problemas de la gateway de clientede Cisco IOS sin conectividad del protocolo degateway fronteriza
Al solucionar problemas de conectividad de una gateway de cliente de Cisco, tenga en cuenta treselementos: IKE, IPsec y el túnel. Puede solucionar problemas en estas áreas en cualquier orden, perorecomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de forma ascendente.
183
Amazon Virtual Private CloudGuía para administradores de red
IKE
IKEUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con el IKE configuradocorrectamente.
router# show crypto isakmp sa
IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE
Debería ver una o varias líneas con el valor src para la gateway remota especificado en los túneles. Elstate debería ser QM_IDLE y el status debería ser ACTIVE. La ausencia de entradas o la aparición deuna entrada con otro estado indican que IKE no se ha configurado correctamente.
Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log proporcionen información de diagnóstico.
router# term monrouter# debug crypto isakmp
Para deshabilitar la depuración, utilice el siguiente comando:
router# no debug crypto isakmp
IPsecUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con IPsec configuradocorrectamente.
router# show crypto ipsec sa
interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)
inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac ,
184
Amazon Virtual Private CloudGuía para administradores de red
IPsec
in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2 Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128
185
Amazon Virtual Private CloudGuía para administradores de red
Túnel
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Por cada interfaz del túnel, debería ver tanto inbound esp sas como outbound esp sas. Esto indica queaparece una SA (por ejemplo, spi: 0x48B456A6), el estado es ACTIVE y que IPsec se ha configuradocorrectamente.
Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.
router# debug crypto ipsec
Para deshabilitar la depuración, utilice el siguiente comando:
router# no debug crypto ipsec
TúnelEn primer lugar, compruebe si tiene las reglas de firewall necesarias aplicadas. Para obtener másinformación, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 11).
Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando:
router# show interfaces tun1
Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
Asegúrese de que el line protocol está activo. Compruebe que la dirección IP de origen del túnel, la interfazde origen y el destino coinciden respectivamente con la configuración del túnel de la dirección IP externade la gateway de cliente, la interfaz y la dirección IP externa de la gateway privada virtual. Asegúresede que Tunnel protection through IPSec está presente. Asegúrese de ejecutar el comando en
186
Amazon Virtual Private CloudGuía para administradores de red
Túnel
ambas interfaces del túnel. Para resolver cualquier problema aquí, revise la configuración y compruebe lasconexiones físicas para su gateway de cliente.
También puede utilizar el siguiente comando, reemplazando 169.254.249.18 por la dirección IP internade su gateway privada virtual.
router# ping 169.254.249.18 df-bit size 1410
Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!
Debería ver cinco signos de exclamación.
DireccionamientoPara ver su tabla de ruteo estática, utilice el siguiente comando:
router# sh ip route static
1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2
Debería ver que la ruta estática de CIDR de VPC a través de ambos túneles existe. Si no existe, añada lasrutas estáticas tal y como se muestra aquí:
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
Comprobación de la monitorización de SLA
router# show ip sla statistics 100
IPSLAs Latest Operation Statistics
IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever
router# show ip sla statistics 200
IPSLAs Latest Operation Statistics
IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012
187
Amazon Virtual Private CloudGuía para administradores de red
Conexión de la gateway privada virtual
Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever
El valor de "Number of successes" indica si la monitorización de SLA se ha configurado correctamente.
Para una solución de problemas más profunda, revise la configuración.
Conexión de la gateway privada virtualVerifique que su gateway privada virtual esté conectada a su VPC. Su equipo de integración lo hace con laConsola de administración de AWS.
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
Solución de problemas de conectividad de gatewayde cliente de Juniper JunOS
Al solucionar problemas de conectividad de una gateway de cliente de Juniper, tenga en cuenta cuatroelementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas en cualquierorden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de formaascendente.
IKEUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con el IKE configuradocorrectamente.
user@router> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main
Debería ver una o varias líneas con una dirección remota de la gateway remota especificada en lostúneles. El valor de State debería ser UP. La ausencia de entradas o la aparición de una entrada con otroestado (como DOWN) indican que IKE no se ha configurado correctamente.
Para realizar una solución de problemas más profunda, habilite las opciones de seguimiento de IKE, segúnlo recomendado en la información de configuración de ejemplo (consulte Ejemplo: dispositivo Juniper J-Series JunOS (p. 106)). A continuación, ejecute el siguiente comando para imprimir diversos mensajes dedepuración en la pantalla.
user@router> monitor start kmd
Desde un host externo, puede recuperar el archivo completo de log con el siguiente comando:
scp [email protected]:/var/log/kmd
188
Amazon Virtual Private CloudGuía para administradores de red
IPsec
IPsecUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con IPsec configuradocorrectamente.
user@router> show security ipsec security-associations
Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0
En concreto, debería ver al menos dos líneas por dirección de gateway (correspondientes a la gatewayremota). Observe los signos de intercalación al principio de cada línea (< >), que indican la dirección deltráfico de la entrada en particular. El resultado son líneas separadas para el tráfico entrante ("<", tráfico dela gateway privada virtual a esta gateway de cliente) y el tráfico saliente (">").
Para realizar una solución de problemas más profunda, habilite las opciones de seguimiento de IKE (paraobtener más información, consulte la sección anterior acerca de IKE).
TúnelEn primer lugar, vuelva a comprobar si tiene las reglas de firewall necesarias aplicadas. Para obteneruna lista de reglas, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 11).
Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando:
user@router> show interfaces st0.1
Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2
Asegúrese de que el valor de Security: Zone es correcto, y de que la dirección de Local coincide conel túnel de la gateway de cliente dentro de la dirección.
A continuación, utilice el siguiente comando, reemplazando 169.254.255.1 por la dirección IP interna desu gateway privada virtual. Sus resultados deberían ser parecidos a la respuesta que se muestra aquí.
user@router> ping 169.254.255.1 size 1382 do-not-fragment
PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
189
Amazon Virtual Private CloudGuía para administradores de red
BGP
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
Para una solución de problemas más profunda, revise la configuración.
BGPPara ello, use el siguiente comando:
user@router> show bgp summary
Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0
Para una solución de problemas más profunda, utilice el siguiente comando, reemplazando169.254.255.1 por la dirección IP interna de su gateway privada virtual.
user@router> show bgp neighbor 169.254.255.1
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582
190
Amazon Virtual Private CloudGuía para administradores de red
Conexión de la gateway privada virtual
Output Queue[0]: 0
Aquí debería ver Received prefixes y Advertised prefixes enumerados en 1 cada uno. Estodebería encontrarse en la sección Table inet.0.
Si el valor de State no es Established, compruebe Last State y Last Error para ver los detallesde lo que se necesita para corregir el problema.
Si el intercambio de tráfico BGP está activado, compruebe si el router de la gateway de cliente estáanunciando la ruta predeterminada (0.0.0.0/0) a la VPC.
user@router> show route advertising-protocol bgp 169.254.255.1
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I
Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual.
user@router> show route receive-protocol bgp 169.254.255.1
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I
Conexión de la gateway privada virtualAsegúrese de que la gateway privada virtual esté asociada a su VPC. Su equipo de integración lo hace conla Consola de administración de AWS.
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
Solución de problemas de conectividad de gatewayde cliente de Juniper ScreenOS
Al solucionar problemas de conectividad de una gateway de cliente basado en Juniper ScreenOS, tengaen cuenta cuatro elementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas encualquier orden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar deforma ascendente.
IKE e IPsecUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con el IKE configuradocorrectamente.
ssg5-serial-> get sa
total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys
191
Amazon Virtual Private CloudGuía para administradores de red
Túnel
00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0
Debería ver una o varias líneas con una dirección remota de la gateway remota especificada en lostúneles. El valor de Sta debería ser A/-, y el valor de SPI debería ser un número hexadecimal distintode 00000000. Unas entradas con unos estados diferentes indican que IKE no se ha configuradocorrectamente.
Para realizar una solución de problemas más profunda, habilite las opciones de seguimiento de IKE, segúnlo recomendado en la información de configuración de ejemplo (consulte Ejemplo: dispositivo JuniperScreenOS (p. 126)).
TúnelEn primer lugar, vuelva a comprobar si tiene las reglas de firewall necesarias aplicadas. Para obteneruna lista de reglas, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 11).
Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando:
ssg5-serial-> get interface tunnel.1
Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1
Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps
Asegúrese de que puede ver link:ready, y de que la dirección IP coincide con el túnel de la gateway decliente dentro de la dirección.
A continuación, utilice el siguiente comando, reemplazando 169.254.255.1 por la dirección IP interna desu gateway privada virtual. Sus resultados deberían ser parecidos a la respuesta que se muestra aquí.
ssg5-serial-> ping 169.254.255.1
192
Amazon Virtual Private CloudGuía para administradores de red
BGP
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
Para una solución de problemas más profunda, revise la configuración.
BGPPara ello, use el siguiente comando:
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59
Los dos BGP del mismo nivel deberían tener el valor ESTABLISH para State, lo que significa que laconexión con la gateway privada virtual está activa.
Para una solución de problemas más profunda, utilice el siguiente comando, reemplazando169.254.255.1 por la dirección IP interna de su gateway privada virtual.
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds
193
Amazon Virtual Private CloudGuía para administradores de red
Conexión de la gateway privada virtual
Si el intercambio de tráfico BGP está activado, compruebe si el router de la gateway de cliente estáanunciando la ruta predeterminada (0.0.0.0/0) a la VPC. Este comando se aplica a ScreenOS 6.2.0 yversiones superiores.
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1
Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual. Este comando se aplica a ScreenOS 6.2.0 y versiones superiores.
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1
Conexión de la gateway privada virtualAsegúrese de que la gateway privada virtual esté asociada a su VPC. Su equipo de integración lo hace conla Consola de administración de AWS.
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
Solución de problemas de conectividad de gatewayde cliente de Yamaha
Al solucionar problemas de conectividad de una gateway de cliente de Yamaha, tenga en cuentacuatro elementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas en cualquierorden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de formaascendente.
IKEUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con el IKE configuradocorrectamente.
# show ipsec sa gateway 1
sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
Debería ver una línea con el valor remote-id de la gateway remota especificado en los túneles. Puedeenumerar todas las asociaciones de seguridad (SA) omitiendo el número de túnel.
194
Amazon Virtual Private CloudGuía para administradores de red
IPsec
Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log de nivel DEBUG proporcionen información de diagnóstico.
# syslog debug on# ipsec ike log message-info payload-info key-info
Para cancelar los elementos registrados, utilice el siguiente comando:
# no ipsec ike log# no syslog debug on
IPsecUtilice el siguiente comando. La respuesta mostrará una gateway de cliente con IPsec configuradocorrectamente.
# show ipsec sa gateway 1 detail
SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------
Por cada interfaz del túnel, debería ver tanto receive sas como send sas.
Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.
# syslog debug on
195
Amazon Virtual Private CloudGuía para administradores de red
Túnel
# ipsec ike log message-info payload-info key-info
Utilice el siguiente comando para deshabilitar la depuración.
# no ipsec ike log# no syslog debug on
TúnelEn primer lugar, compruebe si tiene las reglas de firewall necesarias aplicadas. Para obtener una lista dereglas, consulte Configuración de un firewall entre Internet y el dispositivo de gateway de cliente (p. 11).
Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando:
# show status tunnel 1
TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]
Asegúrese de que el valor current status esté online y que Interface type sea IPsec. Asegúresede ejecutar el comando en ambas interfaces del túnel. Para resolver cualquier problema aquí, revise laconfiguración.
BGPPara ello, use el siguiente comando:
# show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue
196
Amazon Virtual Private CloudGuía para administradores de red
Conexión de la gateway privada virtual
Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:
Aquí, deberían aparecer los dos vecinos. Por cada uno, debería ver un valor Active para BGP state.
Si el intercambio de tráfico BGP está activado, compruebe si el router de la gateway de cliente estáanunciando la ruta predeterminada (0.0.0.0/0) a la VPC.
# show status bgp neighbor 169.254.255.1 advertised-routes
Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP
Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual.
# show ip route
Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124
Para una solución de problemas más profunda, revise la configuración.
Conexión de la gateway privada virtualAsegúrese de que la gateway privada virtual esté asociada a su VPC. Su equipo de integración lo hace conla consola de administración de AWS.
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
Solución de problemas de conectividad de gatewayde cliente de dispositivos genéricos utilizando elprotocolo de gateway fronteriza
El siguiente diagrama y la siguiente tabla proporcionan instrucciones generales para solucionar problemasde una gateway de cliente que utiliza el protocolo de gateway fronteriza para dispositivos distintos a losmostrados en esta guía.
Tip
Al realizar la solución de problemas, puede que le resulte útil habilitar las características dedepuración de su dispositivo de gateway. Consulte al proveedor de su dispositivo de gateway paraobtener detalles.
197
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway decliente de dispositivos genéricos
198
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway decliente de dispositivos genéricos
Determine si existe una asociación de seguridad de IKE.
Se requiere una asociación de seguridad de IKE para intercambiar claves utilizadas paraestablecer la asociación de seguridad de IPsec.
Si no existe ninguna asociación de seguridad de IKE, revise sus opciones de configuraciónde IKE. Debe configurar los parámetros de modo, cifrado, autenticación y confidencialidaddirecta total según lo mostrado en la configuración de la gateway de cliente.
Si existe una asociación de seguridad de IKE, continúe hasta IPsec.
Determine si existe una asociación de seguridad de IPsec.
Una asociación de seguridad de IPsec es el propio túnel. Consulte a su gateway de clientepara determinar si la asociación de seguridad de IPsec está activa. La configuraciónadecuada de SA de IPsec es de vital importancia. Debe configurar los parámetros demodo, cifrado, autenticación y confidencialidad directa total según lo mostrado en laconfiguración de la gateway de cliente.
Si no existe ninguna asociación de seguridad de IPsec, revise sus opciones deconfiguración de IPsec.
Si existe una asociación de seguridad de IPsec, continúe hasta el túnel.
Asegúrese de que se han configurado las reglas de firewall necesarias (para ver unalista de las reglas, consulte Configuración de un firewall entre Internet y el dispositivo degateway de cliente (p. 11)). Si están correctamente configuradas, continúe.
Determine si hay conectividad IP a través del túnel.
Cada lado del túnel tiene una dirección IP según lo especificado en la configuración de lagateway de cliente. La dirección de gateway privada virtual es la dirección utilizada comola dirección vecina de BGP. Desde su gateway de cliente, haga ping a esta dirección paradeterminar si el tráfico IP se está cifrando y descifrando correctamente.
Si el ping no se realiza correctamente, revise la configuración de la interfaz del túnel paraasegurarse de que se ha configurado la dirección IP adecuada.
Si el ping es correcto, continúe hasta el BGP.
Determine si el intercambio de tráfico BGP está activo.
Para cada túnel, haga lo siguiente:
• En su gateway de cliente, determine si el estado de BGP es Active o Established.El intercambio de tráfico BGP puede tardar aproximadamente 30 segundos en activarse.
• Asegúrese de que la gateway de cliente indica la ruta predeterminada (0.0.0.0/0) haciala gateway privada virtual.
Si los túneles no se encuentran en este estado, revise su configuración de BGP.
Si se establece el intercambio de tráfico BGP, recibe un prefijo y se indica un prefijo, eltúnel estará configurado correctamente. Asegúrese de que los dos túneles tienen esteestado, y ya habrá terminado.
Asegúrese de que la gateway privada virtual esté asociada a su VPC. Su equipo deintegración lo hace con la Consola de administración de AWS.
199
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway de clientede dispositivos genéricos (sin BGP)
Para obtener instrucciones de comprobación generales aplicables a todas las gateways de cliente,consulte Cómo probar la configuración de la gateway de cliente (p. 166).
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
Solución de problemas de gateway de clientede dispositivos genéricos sin conectividad delprotocolo de gateway fronteriza
El siguiente diagrama y la siguiente tabla proporcionan instrucciones generales para solucionar problemasde un dispositivo de gateway de cliente que no utiliza el protocolo de gateway fronteriza.
Tip
Al realizar la solución de problemas, puede que le resulte útil habilitar las características dedepuración de su dispositivo de gateway. Consulte al proveedor de su dispositivo de gateway paraobtener detalles.
200
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway de clientede dispositivos genéricos (sin BGP)
201
Amazon Virtual Private CloudGuía para administradores de red
Conectividad de gateway de clientede dispositivos genéricos (sin BGP)
Determine si existe una asociación de seguridad de IKE.
Se requiere una asociación de seguridad de IKE para intercambiar claves utilizadas paraestablecer la asociación de seguridad de IPsec.
Si no existe ninguna asociación de seguridad de IKE, revise sus opciones de configuraciónde IKE. Debe configurar los parámetros de modo, cifrado, autenticación y confidencialidaddirecta total según lo mostrado en la configuración de la gateway de cliente.
Si existe una asociación de seguridad de IKE, continúe hasta IPsec.
Determine si existe una asociación de seguridad de IPsec.
Una asociación de seguridad de IPsec es el propio túnel. Consulte a su gateway de clientepara determinar si la asociación de seguridad de IPsec está activa. La configuraciónadecuada de SA de IPsec es de vital importancia. Debe configurar los parámetros demodo, cifrado, autenticación y confidencialidad directa total según lo mostrado en laconfiguración de la gateway de cliente.
Si no existe ninguna asociación de seguridad de IPsec, revise sus opciones deconfiguración de IPsec.
Si existe una asociación de seguridad de IPsec, continúe hasta el túnel.
Asegúrese de que se han configurado las reglas de firewall necesarias (para ver unalista de las reglas, consulte Configuración de un firewall entre Internet y el dispositivo degateway de cliente (p. 11)). Si están correctamente configuradas, continúe.
Determine si hay conectividad IP a través del túnel.
Cada lado del túnel tiene una dirección IP según lo especificado en la configuración de lagateway de cliente. La dirección de gateway privada virtual es la dirección utilizada comola dirección vecina de BGP. Desde su gateway de cliente, haga ping a esta dirección paradeterminar si el tráfico IP se está cifrando y descifrando correctamente.
Si el ping no se realiza correctamente, revise la configuración de la interfaz del túnel paraasegurarse de que se ha configurado la dirección IP adecuada.
Si el ping es correcto, continúe hasta el direccionamiento.
Rutasestáticas
Direccionamiento:
Para cada túnel, haga lo siguiente:
• Compruebe que ha añadido una ruta estática a su CIDR de VPC con los túneles como elsiguiente salto.
• Verifique que ha añadido una ruta estática en la Consola de administración de AWS,para indicar a la VGW que direccione el tráfico de vuelta a sus redes internas.
Si los túneles no se encuentran en este estado, revise la configuración de su dispositivo.
Asegúrese de que los dos túneles tienen este estado, y ya habrá terminado.
Asegúrese de que la gateway privada virtual esté asociada a su VPC. Su equipo deintegración lo hace en la Consola de administración de AWS.
Si tiene alguna pregunta o necesita ayuda adicional, utilice el Amazon VPC forum.
202
Amazon Virtual Private CloudGuía para administradores de redConfiguración de Windows Server
Configuración de Windows Server2008 R2 como dispositivo degateway de cliente
Puede configurar Windows Server 2008 R2 como un dispositivo de gateway de cliente para su VPC. Utiliceel proceso siguiente si ejecuta Windows Server 2008 R2 en una instancia EC2 en una VPC o en su propioservidor.
Temas• Configuración de Windows Server (p. 203)• Paso 1: Crear una conexión de VPN y configurar la VPC (p. 204)• Paso 2: Descarga del archivo de configuración de la conexión de VPN (p. 205)• Paso 3: Configuración de Windows Server (p. 207)• Paso 4: Configuración del túnel de VPN (p. 208)• Paso 5: Habilitación de la detección de gateways inactivas (p. 215)• Paso 6: Comprobación de la conexión de VPN (p. 215)
Configuración de Windows ServerPara configurar Windows Server como un dispositivo de gateway de cliente, asegúrese de contar conWindows Server 2008 R2 en su red o en una instancia EC2 en una VPC. Si utiliza una instancia EC2 queha lanzado desde una AMI de Windows, haga lo siguiente:
• Deshabilite la comprobación de origen/destino para la instancia:1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Seleccione la instancia de Windows Server y elija Actions, Networking, Change Source/Dest. Check.
Elija Yes, Disable.• Actualice la configuración del adaptador para poder direccionar el tráfico procedente de otras instancias:
1. Conéctese a la instancia de Windows. Para obtener más información, consulte Conexión con lainstancia de Windows.
2. Abra el Panel de control e inicie el Administrador de dispositivos.3. Expanda el nodo Adaptadores de red.4. Abra el menú contextual (haga clic con el botón derecho) del adaptador de red de Citrix o AWS PV y
elija Properties (Propiedades).5. En la pestaña Advanced, deshabilite las propiedades IPv4 Checksum Offload, TCP Checksum Offload
(IPv4) y UDP Checksum Offload (IPv4) y, a continuación, elija OK.• Asocie una dirección IP elástica a la instancia:
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Elastic IPs. Elija Allocate new address.3. Seleccione la dirección IP elástica y elija Actions, Associate Address.4. En Instance, seleccione su instancia de Windows Server. Elija Associate.
Tome nota de esta dirección, ya que la necesitará para crear la gateway de cliente en su VPC.
203
Amazon Virtual Private CloudGuía para administradores de red
Paso 1: Crear una conexión de VPN y configurar la VPC
• Asegúrese de que las reglas del grupo de seguridad de su instancia permiten el tráfico IPsec saliente.De forma predeterminada, los grupos de seguridad permiten todo el tráfico saliente; no obstante,si estado original de las reglas salientes del grupo de seguridad se ha modificado, debe crear lassiguientes reglas de protocolo personalizado de salida para el tráfico IPsec: protocolo IP 50, protocolo IP51 y UDP 500.
Anote el rango de CIDR para la red en la que se encuentra el servidor de Windows. Por ejemplo,172.31.0.0/16.
Paso 1: Crear una conexión de VPN y configurar laVPC
Para crear una conexión de VPN desde la VPC, primero debe crear una gateway privada virtual yadjuntarla a su VPC. A continuación podrá crear una conexión de VPN y configurar su VPC. Tambiéndebe disponer del rango de CIDR para la red en la que se encuentra el servidor de Windows. Por ejemplo,172.31.0.0/16.
Para crear una gateway privada virtual
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Virtual Private Gateways y, a continuación, elija Create Virtual Private
Gateway.3. De manera opcional, puede escribir un nombre para su gateway privada virtual y, a continuación,
elegir Yes, Create.4. Seleccione la gateway privada virtual que ha creado y, a continuación, elija Attach to VPC.5. En el cuadro de diálogo Attach to VPC, seleccione su VPC de la lista y, a continuación, elija Yes,
Attach.
Para crear una conexión de VPN
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija VPN Connections y, a continuación, Create VPN Connection.3. Seleccione la gateway privada virtual en la lista.4. En Customer Gateway, elija New. En IP address, especifique la dirección IP pública de Windows
Server.
Note
La dirección IP debe ser estática y puede encontrarse detrás de un dispositivo que realice laconversión de las direcciones de red (NAT). Para asegurarse de que NAT traversal (NAT-T)funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500 de UDP.Si su dispositivo de gateway de cliente es una instancia de Windows Server de EC2, utilice sudirección IP elástica.
5. Seleccione la opción de direccionamiento Static, escriba los valores de Static IP Prefixes de su red enla notación CIDR y, a continuación, elija Yes, Create.
Para configurar la VPC
• Cree una subred privada en su VPC (en caso de que no disponga de ninguna) para lanzar instanciasque se comunicarán con el servidor de Windows. Para obtener más información, consulte la secciónsobre cómo añadir una subred a su VPC.
204
Amazon Virtual Private CloudGuía para administradores de redPaso 2: Descarga del archivo de
configuración de la conexión de VPN Note
La subred privada es una subred que no dispone de una ruta a ninguna gateway de Internet. Eldireccionamiento de esta subred se describe en la sección siguiente.
• Actualice las tablas de ruteo de la conexión de VPN:• Añada una ruta a la tabla de ruteo de su subred privada con la gateway privada virtual como objetivo,
y la red de Windows Server (rango de CIDR) como destino.• Habilite la propagación de rutas para la gateway privada virtual. Para obtener más información,
consulte Tablas de ruteo en la Guía del usuario de Amazon VPC.• Cree una configuración de grupo de seguridad para sus instancias que permita la comunicación entre la
VPC y la red:• Añada reglas que permitan el acceso a SSH o RDP entrante desde su red. Esto le permitirá
conectarse a instancias de su VPC desde la red. Por ejemplo, para permitir a los equipos de la redobtener acceso a instancias de Linux de su VPC, cree una regla entrante del tipo SSH y con elorigen establecido con el rango de CIDR de su red. Por ejemplo 172.31.0.0/16. Para obtener másinformación, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.
• Añada una regla que permita el acceso a ICMP entrante desde su red. Esto le permitirá comprobar suconexión de VPN haciendo ping a una instancia de su VPC desde su Windows Server.
Paso 2: Descarga del archivo de configuración de laconexión de VPN
Puede utilizar la consola de Amazon VPC para descargar un archivo de configuración de Windows Serverpara su conexión de VPN.
Para descargar el archivo de configuración
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija VPN Connections.3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).4. Seleccione Microsoft como proveedor, Windows Server como plataforma y 2008 R2 como software.
Elija Yes, Download. Puede abrir el archivo o guardarlo.
El archivo de configuración contiene una sección de información similar al siguiente ejemplo. Verá queesta información se muestra dos veces, una para cada túnel. Utilice esta información cuando configure elservidor de Windows Server 2008 R2.
vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint
La dirección IP del dispositivo de gateway de cliente (en este caso, su servidor de Windows) quetermina la conexión de VPN en su red. Si su dispositivo de gateway de cliente es una instancia deservidor de Windows, deberá indicar la dirección IP privada de dicha instancia.
205
Amazon Virtual Private CloudGuía para administradores de redPaso 2: Descarga del archivo de
configuración de la conexión de VPN Remote Tunnel Endpoint
Una de las dos direcciones IP de la gateway privada virtual que termina la conexión de VPN en elextremo de AWS.
Endpoint 1
El prefijo de IP que especificó como ruta estática al crear la conexión de VPN. Estas son lasdirecciones IP de su red que pueden utilizar la conexión de VPN para obtener acceso a su VPC.
Endpoint 2
Rango de direcciones IP (bloque de CIDR) de la VPC adjunta a la gateway privada virtual (por ejemplo10.0.0.0/16).
Preshared key
Clave previamente compartida que se utiliza para establecer la conexión de VPN IPsec entre el LocalTunnel Endpoint y el Remote Tunnel Endpoint.
Se recomienda configurar ambos túneles como parte de la conexión de VPN. Cada túnel se conecta a unconcentrador de VPN independiente en el extremo de Amazon de la conexión de VPN. Aunque solo hayaun túnel activo cada vez, el segundo túnel se establece automáticamente si el primero se desactiva. Altener túneles redundantes, se asegura de tener una disponibilidad continua en caso de un error deldispositivo. Puesto que solo hay disponible un túnel cada vez, la consola de Amazon VPC indica que untúnel está inactivo. Este es el comportamiento esperado, de modo que no necesita realizar ninguna acción.
Con dos túneles configurados, si se produce un fallo de un dispositivo en AWS, su conexión de VPNcambiará automáticamente al segundo túnel de la gateway privada virtual de AWS en cuestión de minutos.Al configurar su dispositivo de gateway de cliente, es importante que configure ambos túneles.
Note
En ocasiones, AWS realiza tareas de mantenimiento de rutina en la gateway privada virtual. Estemantenimiento puede deshabilitar uno de los dos túneles de su conexión de VPN durante unbreve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundotúnel mientras duren las tareas de mantenimiento.
La información adicional acerca del intercambio de claves por Internet (IKE) y las asociaciones deseguridad de IPsec (SA) se muestran en el archivo de configuración descargado. Puesto que laconfiguración recomendada de la VPN de VPC es la misma que la configuración de IPsec predeterminadade Windows Server 2008 R2, el trabajo que deberá realizar es mínimo.
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2
MainModeSecMethods
Algoritmos de cifrado y autenticación para IKE SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2008 R2.
MainModeKeyLifetime
Vida útil de la clave de IKE SA. Esta es la configuración recomendada para la conexión de VPN y esla configuración predeterminada para las conexiones de VPN IPsec de Windows Server 2008 R2.
206
Amazon Virtual Private CloudGuía para administradores de red
Paso 3: Configuración de Windows Server
QuickModeSecMethods
Algoritmos de cifrado y autenticación para IPsec SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2008 R2.
QuickModePFS
Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesiones deIPsec.
Paso 3: Configuración de Windows ServerAntes de configurar el túnel de VPN, debe instalar y configurar los servicios de acceso remoto y dedireccionamiento en su Windows Server. De esta forma, los usuarios remotos podrán obtener acceso a losrecursos de su red.
Para instalar el direccionamiento y los servicios de acceso remoto en Windows Server 2008 R2
1. Inicie sesión en el servidor de Windows Server 2008 R2.2. Elija Inicio, Todos los programas, Herramientas administrativas, Server Manager.3. Instale los servicios de acceso remoto y direccionamiento:
a. En el panel de navegación del Administrador del servidor, elija Roles.b. En el panel Roles, elija Añadir roles.c. En la página Antes de comenzar, asegúrese de que su servidor cumple todos los requisitos
previos y elija Siguiente.d. En la página Seleccionar roles de servidor, elija Servicios de acceso y políticas de redes y, a
continuación, elija Siguiente.e. En la página Servicios de acceso y directivas de redes, elija Siguiente.f. En la página Seleccionar servicios de rol, elija Servicios de enrutamiento y acceso remoto, deje
seleccionada las opciones Servicio de acceso remoto y Enrutamiento, y después elija Siguiente.
207
Amazon Virtual Private CloudGuía para administradores de red
Paso 4: Configuración del túnel de VPN
g. En la página Confirmar opciones de instalación, elija Instalar.h. Una vez que haya finalizado el asistente, elija Cerrar.
Para configurar y habilitar el servidor de enrutamiento y acceso remoto
1. En el panel de navegación del Administrador del servidor, elija Roles y, a continuación, elija Política dered y acceso.
2. Abra el menú contextual (haga clic con el botón derecho) de Servidor de enrutamiento y accesoremoto y, a continuación, elija Configurar y habilitar Enrutamiento y acceso remoto.
3. En el Asistente para instalación del servidor de enrutamiento y acceso remoto, en la páginaBienvenido, elija Siguiente.
4. En la página Configuración, elija Configuración personalizada y Siguiente.5. Elija Enrutamiento LAN, Siguiente.6. Elija Finalizar.7. Cuando lo solicite el cuadro de diálogo Enrutamiento y acceso remoto, elija Iniciar servicio.
Paso 4: Configuración del túnel de VPNPuede configurar el túnel de la VPN ejecutando los scripts netsh que se incluyen en el archivo deconfiguración descargado, o bien utilizando el Asistente para nueva regla de seguridad de conexión en elservidor de Windows.
Important
Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para lassesiones de IPsec. Sin embargo, no es posible habilitar PFS utilizando la interfaz de usuario deWindows Server 2008 R2; solo puede habilitar esta configuración ejecutando el script netsh conqmpfs=dhgroup2. Por lo tanto, debe considerar cuáles son sus requisitos antes de seleccionaruna opción.
Opción 1: Ejecución del script netshCopie el script netsh del archivo de configuración descargado y reemplace las variables. A continuación semuestra un ejemplo de script.
netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
Name: puede sustituir el nombre recomendado (VGW-1a2b3c4d Tunnel 1) por el nombre que prefiera.
LocalTunnelEndpoint: escriba la dirección IP privada del servidor de Windows en su red.
Endpoint1: bloque de CIDR de la red en la que reside el servidor de Windows. Por ejemplo,172.31.0.0/16.
Endpoint2: bloque de CIDR de su VPC o subred de su VPC. Por ejemplo, 10.0.0.0/16.
208
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows ServerEjecute el script actualizado en una ventana de símbolo del sistema. (El signo ^ le permite cortar y pegartexto incluido en la línea de comandos). Para configurar el segundo túnel de VPN para esta conexión deVPN, repita el proceso utilizando el script netsh en el archivo de configuración.
Cuando haya terminado, vaya a 2.4: Configuración del firewall de Windows (p. 213).
Para obtener más información acerca de los parámetros de netsh, vaya a Netsh AdvFirewall ConsecCommands en la Biblioteca de Microsoft TechNet.
Opción 2: Utilización de la interfaz de usuario deWindows ServerTambién puede utilizar la interfaz de usuario de Windows Server para configurar el túnel de VPN. Estassección le guía a través de los pasos necesarios.
Important
No puede habilitar la confidencialidad directa total (PFS) de clave maestra desde la interfaz deusuario de Windows Server 2008 R2. Por lo tanto, si decide utilizar PFS, debe utilizar los scriptsnetsh descritos en la opción 1 en lugar de la interfaz de usuario descrita en esta opción.
• 2.1: Configuración de una regla de seguridad para un túnel de VPN (p. 209)• 2.3: Confirmación de la configuración del túnel (p. 213)• 2.4: Configuración del firewall de Windows (p. 213)
2.1: Configuración de una regla de seguridad para un túnel deVPNEn esta sección, configurará una regla de seguridad en su Windows Server para crear un túnel de VPN.
Para configurar una regla de seguridad para un túnel de VPN
1. En el panel de navegación del Administrador del servidor, expanda Configuración y, a continuación,expanda Firewall de Windows con seguridad avanzada.
2. Abra el menú contextual (haga clic con el botón derecho) de Reglas de seguridad de conexión y elijaNueva regla.
3. En el Asistente para nueva regla de seguridad de conexión, en la página Tipo de regla, elija Túnel y, acontinuación, elija Siguiente.
4. En la página Tipo de túnel, en ¿Qué tipo de túnel desea crear?, elija Configuración personalizada.En ¿Desea eximir las conexiones protegidas por IPsec de este túnel?, deje el valor predeterminadoactivado (No. Enviar todo el tráfico de red que coincida con esta regla de seguridad de la conexión porel túnel.) y, a continuación, elija Siguiente.
5. En la página Requisitos, elija Requerir autenticación para las conexiones entrantes. No establecertúneles para las conexiones salientes y, a continuación, elija Siguiente.
209
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows Server
6. En la página Extremos de túnel, en ¿Qué equipos están en el Extremo 1?, elija Agregar. Escriba elintervalo de CIDR de su red (detrás del dispositivo de gateway de cliente de su servidor Windows) y,a continuación, seleccione Ok (Aceptar). El intervalo puede incluir la dirección IP de su dispositivo degateway de cliente.
7. En ¿Cuál es el extremo de túnel local (más cercano a los equipos del Extremo 1)?, elija Editar. Escribala dirección IP privada de su servidor de Windows Server y, a continuación, elija Aceptar.
8. En ¿Cuál es el extremo de túnel remoto (más cercano a los equipos del Extremo 2)?, elija Editar.Escriba la dirección IP de la gateway privada virtual del Túnel 1 del archivo de configuración (consulteRemote Tunnel Endpoint) y, a continuación, elija Aceptar.
Important
Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar el punto deconexión para el Túnel 2.
9. En ¿Qué equipos están en el Extremo 2?, elija Agregar. Escriba el bloque de CIDR de su VPC y, acontinuación, elija Aceptar.
Important
Debe desplazarse por el cuadro de diálogo hasta encontrar ¿Qué equipos están en elExtremo 2?. No elija Siguiente hasta que no haya completado este paso, ya que, de locontrario, no podrá conectarse a su servidor.
210
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows Server
10. Asegúrese de que todos los parámetros especificados son correctos. A continuación, elija Siguiente.11. En la página Método de autenticación, seleccione Avanzado y, a continuación, elija Personalizar.12. En Métodos de primera autenticación, elija Agregar.13. Seleccione Clave previamente compartida, escriba el valor de la clave previamente compartida del
archivo de configuración y elija Aceptar.
Important
Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar la clavepreviamente compartida para el Túnel 2.
211
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows Server
14. Asegúrese de que la opción La primera autenticación es opcional no esté seleccionada y, acontinuación, elija Aceptar.
15. En la página Método de autenticación, elija Siguiente.16. En la página Perfil, active las tres casillas de verificación: Dominio, Privado y Público. Seleccione
Siguiente.17. En la página Nombre, escriba un nombre para la regla de conexión y, a continuación, elija Finalizar.
Repita el procedimiento anterior, especificando los datos para el túnel 2 de su archivo de configuración.
212
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows ServerUna vez que haya terminado, tendrá dos túneles configurados para su conexión de VPN.
2.3: Confirmación de la configuración del túnelPara confirmar la configuración del túnel
1. En el panel de navegación del Administrador del servidor, expanda el nodo Configuración, expandaFirewall de Windows con seguridad avanzada y, a continuación, elija Reglas de seguridad deconexión.
2. Realice las comprobaciones siguientes para ambos túneles:
• Habilitado está configurado con el valor Yes.• Modo de autenticación está configurado con el valor Require inbound and clear outbound.• Método de autenticación está configurado como Custom.• Puerto de extremo 1 es Any.• Puerto de extremo 2 es Any.• Protocolo es Any.
3. Haga doble clic en la regla de seguridad de su primer túnel.4. En la pestaña Equipos, verifique lo siguiente:
• En Extremo 1, el rango de bloque de CIDR coincide con el rango de bloque de CIDR de su red.• En Extremo 2, el intervalo de bloque de CIDR coincide con el intervalo de bloque de CIDR de su
VPC.5. En la pestaña Autenticación, en Método, elija Personalizar y asegúrese de que Métodos de primera
autenticación contiene la clave previamente compartida correcta de su archivo de configuración parael túnel. Seleccione OK.
6. En la pestaña Avanzado, asegúrese de que las opciones Dominio, Privado y Público esténseleccionadas.
7. En Túnel IPsec, elija Personalizar. Verifique la siguiente configuración de túneles IPsec.
• La opción Usar túnel IPsec está seleccionada.• Extremo de túnel local (más cercano al Extremo 1) contiene la dirección IP de su servidor. Si
su dispositivo de gateway de cliente es una instancia de servidor de Windows, deberá indicar ladirección IP privada de dicha instancia.
• Extremo de túnel remoto (más cercano al Extremo 2) contiene la dirección IP de la gateway privadavirtual de este túnel.
8. Haga doble clic en la regla de seguridad de su segundo túnel. Repita los pasos del 4 al 7 para estetúnel.
2.4: Configuración del firewall de WindowsTras configurar sus reglas de seguridad en el servidor, configure algunos ajustes básicos de IPsec paratrabajar con la gateway privada virtual.
Para configurar el firewall de Windows
1. En el panel de navegación del Administrador del servidor, abra el menú contextual (haga clic con elbotón derecho) de Firewall de Windows con seguridad avanzada y, a continuación, elija Propiedades.
2. Elija Configuración de IPsec.3. En Exenciones IPsec, verifique que el valor de ICMP está exento de IPsec sea No (predeterminado).
Asegúrese de que la opción Autorización de túnel IPsec está configurada con la opción Ninguno.4. En Predeterminados de IPsec, elija Personalizar.
213
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows Server5. En el cuadro de diálogo Personalizar configuración de IPsec, en Intercambio de claves (modo
principal), seleccione Avanzado y, a continuación, elija Personalizar.6. En Personalizar configuración avanzada de intercambio de claves, en Métodos de seguridad,
asegúrese de que se utilizan los valores predeterminados para la primera entrada.
• Integridad: SHA-1• Cifrado: AES-CBC 128• Algoritmo de intercambio de claves: Grupo Diffie-Hellman 2• En Duración de la clave, asegúrese de que Minutos tenga el valor 480 y de que Sesiones tenga el
valor 0.
Estos valores corresponden a estas entradas en el archivo de configuración:
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec
7. En Opciones de intercambio de claves, seleccione Usar Diffie-Hellman para mayor seguridad y, acontinuación, elija Aceptar.
8. En Protección de datos (modo rápido), seleccione Avanzado y, a continuación, elija Personalizar.9. Seleccione Requerir cifrado para todas las reglas de seguridad de conexión que usan esta
configuración.10. En Algoritmos de integridad de datos y de cifrado, deje los valores predeterminados:
• Protocolo: ESP• Integridad: SHA-1• Cifrado: AES-CBC 128• Vigencia: 60 minutos
Estos valores corresponden a las entradas del archivo de configuración que se muestran acontinuación.
214
Amazon Virtual Private CloudGuía para administradores de red
Paso 5: Habilitación de la detección de gateways inactivas
QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb
11. Para volver al cuadro de diálogo Personalizar configuración de IPsec, elija Aceptar. Seleccione OK.
Paso 5: Habilitación de la detección de gatewaysinactivas
A continuación, configure TCP para detectar cuándo una gateway deja de estar disponible. Para ello,modifique la siguiente clave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. No realice este paso hasta no haber completado las secciones anteriores. Después decambiar la clave de registro, deberá reiniciar el servidor.
Para habilitar la detección de gateways inactivas
1. En el servidor, elija Inicio y escriba regedit para iniciar el Editor del Registro.2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip y Parameters.3. En el otro panel, abra el menú contextual (haga clic con el botón derecho) de Nuevo y seleccione
Valor de DWORD (32 bits).4. Escriba el nombre EnableDeadGWDetect.5. Abra el menú contextual (haga clic con el botón derecho) de EnableDeadGWDetect y elija Modificar.6. En Información del valor, escriba 1 y elija Aceptar.7. Cierre el Editor del Registro y reinicie el servidor.
Para obtener más información, vaya a EnableDeadGWDetect en la Biblioteca de Microsoft TechNet.
Paso 6: Comprobación de la conexión de VPNPara comprobar que la conexión de VPN está funcionando correctamente, lance una instancia en su VPCy asegúrese de que no tiene conexión a Internet. Después de lanzar la instancia, haga ping a su direcciónIP privada desde su servidor de Windows Server. El túnel de VPN aparecerá cuando se genere tráficodesde el dispositivo de gateway de cliente; por tanto, el comando de ping también iniciará la conexión deVPN.
Para lanzar una instancia en su VPC y obtener su dirección IP privada
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Elija Launch Instance (Lanzar instancia).3. Seleccione una AMI de Amazon Linux, y seleccione un tipo de instancia.4. En la página Step 3: Configure Instance Details (Paso 3: Configurar detalles de la instancia), en
Network (Red), seleccione su VPC. En Subnet (Subred), seleccione una subred. Asegúrese deseleccionar la subred privada que configuró en Paso 1: Crear una conexión de VPN y configurar laVPC (p. 204).
5. En la lista Auto-assign Public IP, asegúrese de que el parámetro está configurado con el valor Disable.6. Elija Next hasta que aparezca la página Step 6: Configure Security Group. Puede seleccionar un
grupo de seguridad existente configurado en Paso 1: Crear una conexión de VPN y configurar laVPC (p. 204). O bien puede crear un nuevo grupo de seguridad y asegurarse de que disponga deuna regla que permita todo el tráfico ICMP de la dirección IP de su servidor de Windows.
215
Amazon Virtual Private CloudGuía para administradores de red
Paso 6: Comprobación de la conexión de VPN
7. Complete el resto de pasos del asistente y lance su instancia.8. En la página Instances, seleccione su instancia. Obtenga la dirección IP privada del campo Private IPs
del panel de detalles.
Conéctese o inicie sesión en su servidor de Windows, abra el símbolo del sistema y utilice el comandoping para hacer ping a su instancia utilizando su dirección IP privada. Por ejemplo:
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms
En caso de error en el comando ping, compruebe la información siguiente:
• Asegúrese de haber configurado las reglas de su grupo de seguridad para que permitan ICMP en lainstancia de su VPC. Si su servidor de Windows es una instancia EC2, asegúrese de que las reglassalientes de su grupo de seguridad permiten el tráfico IPsec. Para obtener más información, consulteConfiguración de Windows Server (p. 203).
• Asegúrese de que el sistema operativo de la instancia en la que está haciendo ping esté configuradopara responder a ICMP. Se recomienda utilizar una de las AMI de Amazon Linux.
• Si la instancia a la que va a hacer ping es una instancia de Windows, inicie sesión en la instancia yhabilite ICMPv4 entrante en el firewall de Windows.
• Asegúrese de haber configurado correctamente las tablas de ruteo para su VPC o su subred. Paraobtener más información, consulte Paso 1: Crear una conexión de VPN y configurar la VPC (p. 204).
• Si su dispositivo de gateway de cliente es una instancia de Windows Server, asegúrese de haberdeshabilitado la comprobación de origen/destino para la instancia. Para obtener más información,consulte Configuración de Windows Server (p. 203).
En la consola de Amazon VPC, en la página VPN Connections, seleccione su conexión de VPN. El primertúnel está en estado activo. El segundo túnel debería configurarse, pero no se utiliza a menos que sedesactive el primer túnel. Puede que los túneles cifrados tarden unos minutos en establecerse.
216
Amazon Virtual Private CloudGuía para administradores de redConfiguración de Windows Server
Configuración de Windows Server2012 R2 como gateway de cliente
Puede configurar Windows Server 2012 R2 como gateway de cliente para su VPC. Utilice el procesosiguiente si ejecuta Windows Server 2012 R2 en una instancia EC2 en una VPC o en su propio servidor.
Temas• Configuración de Windows Server (p. 217)• Paso 1: Crear una conexión de VPN y configurar la VPC (p. 218)• Paso 2: Descarga del archivo de configuración de la conexión de VPN (p. 219)• Paso 3: Configuración de Windows Server (p. 221)• Paso 4: Configuración del túnel de VPN (p. 222)• Paso 5: Habilitación de la detección de gateways inactivas (p. 227)• Paso 6: Comprobación de la conexión de VPN (p. 227)
Configuración de Windows ServerPara configurar Windows Server como gateway de cliente, asegúrese de contar con Windows Server 2012R2 en su red o en una instancia EC2 en una VPC. Si utiliza una instancia EC2 que ha lanzado desde unaAMI de Windows, haga lo siguiente:
• Deshabilite la comprobación de origen/destino para la instancia:1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Seleccione la instancia de Windows Server y elija Actions, Networking, Change Source/Dest. Check.
Elija Yes, Disable.• Actualice la configuración del adaptador para poder direccionar el tráfico procedente de otras instancias:
1. Conéctese a la instancia de Windows. Para obtener más información, consulte Conexión con lainstancia de Windows.
2. Abra el Panel de control e inicie el Administrador de dispositivos.3. Expanda el nodo Adaptadores de red.4. Seleccione el dispositivo de red AWS PV, elija Action, Properties.5. En la pestaña Advanced, deshabilite las propiedades IPv4 Checksum Offload, TCP Checksum Offload
(IPv4) y UDP Checksum Offload (IPv4) y, a continuación, elija OK.• Asocie una dirección IP elástica a la instancia:
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, elija Elastic IPs. Elija Allocate new address.3. Seleccione la dirección IP elástica y elija Actions, Associate Address.4. En Instance, seleccione su instancia de Windows Server. Elija Associate.
Tome nota de esta dirección, ya que la necesitará para crear la gateway de cliente en su VPC.• Asegúrese de que las reglas del grupo de seguridad de su instancia permiten el tráfico IPsec saliente.
De forma predeterminada, los grupos de seguridad permiten todo el tráfico saliente; no obstante,si estado original de las reglas salientes del grupo de seguridad se ha modificado, debe crear las
217
Amazon Virtual Private CloudGuía para administradores de red
Paso 1: Crear una conexión de VPN y configurar la VPC
siguientes reglas de protocolo personalizado de salida para el tráfico IPsec: protocolo IP 50, protocolo IP51 y UDP 500.
Anote el rango de CIDR para la red en la que se encuentra el servidor de Windows. Por ejemplo,172.31.0.0/16.
Paso 1: Crear una conexión de VPN y configurar laVPC
Para crear una conexión de VPN desde la VPC, primero debe crear una gateway privada virtual yadjuntarla a su VPC. A continuación podrá crear una conexión de VPN y configurar su VPC. Tambiéndebe disponer del rango de CIDR para la red en la que se encuentra el servidor de Windows. Por ejemplo,172.31.0.0/16.
Para crear una gateway privada virtual
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Virtual Private Gateways, Create Virtual Private Gateway.3. De manera opcional, puede escribir un nombre para su gateway privada virtual y, a continuación,
elegir Yes, Create (Sí, crear).4. Seleccione la gateway privada virtual que ha creado y elija Attach to VPC (Asociar a VPC).5. En el cuadro de diálogo Attach to VPC (Asociar a VPC), seleccione su VPC de la lista y elija Yes,
Attach (Sí, asociar).
Para crear una conexión de VPN
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija VPN Connections, Create VPN Connection.3. Seleccione la gateway privada virtual en la lista.4. En Customer Gateway, elija New. En IP address, especifique la dirección IP pública de Windows
Server.Note
La dirección IP debe ser estática y puede encontrarse detrás de un dispositivo que realice laconversión de las direcciones de red (NAT). Para asegurarse de que NAT traversal (NAT-T)funciona, debe ajustar las reglas de su firewall para que desbloqueen el puerto 4500 de UDP.Si su gateway de cliente es una instancia de Windows Server de EC2, utilice su dirección IPelástica.
5. Seleccione la opción de direccionamiento Static, escriba los valores de Static IP Prefixes de su red enla notación CIDR y, a continuación, elija Yes, Create.
Para configurar la VPC
• Cree una subred privada en su VPC (en caso de que no disponga de ninguna) para lanzar instanciasque se comunicarán con el servidor de Windows. Para obtener más información, consulte la secciónsobre cómo añadir una subred a su VPC.
Note
La subred privada es una subred que no dispone de una ruta a ninguna gateway de Internet. Eldireccionamiento de esta subred se describe en la sección siguiente.
218
Amazon Virtual Private CloudGuía para administradores de redPaso 2: Descarga del archivo de
configuración de la conexión de VPN • Actualice las tablas de ruteo de la conexión de VPN:
• Añada una ruta a la tabla de ruteo de su subred privada con la gateway privada virtual como objetivo,y la red de Windows Server (rango de CIDR) como destino.
• Habilite la propagación de rutas para la gateway privada virtual. Para obtener más información,consulte Tablas de ruteo en la Guía del usuario de Amazon VPC.
• Cree una configuración de grupo de seguridad para sus instancias que permita la comunicación entre laVPC y la red:• Añada reglas que permitan el acceso a SSH o RDP entrante desde su red. Esto le permitirá
conectarse a instancias de su VPC desde la red. Por ejemplo, para permitir a los equipos de la redobtener acceso a instancias de Linux de su VPC, cree una regla entrante del tipo SSH y con elorigen establecido con el rango de CIDR de su red. Por ejemplo 172.31.0.0/16. Para obtener másinformación, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.
• Añada una regla que permita el acceso a ICMP entrante desde su red. Esto le permitirá comprobar suconexión de VPN haciendo ping a una instancia de su VPC desde su Windows Server.
Paso 2: Descarga del archivo de configuración de laconexión de VPN
Puede utilizar la consola de Amazon VPC para descargar un archivo de configuración de Windows Serverpara su conexión de VPN.
Para descargar el archivo de configuración
1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija VPN Connections.3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).4. Seleccione Microsoft como proveedor, Windows Server como plataforma y 2012 R2 como software.
Elija Yes, Download. Puede abrir el archivo o guardarlo.
El archivo de configuración contiene una sección de información similar al siguiente ejemplo. Verá queesta información se muestra dos veces, una para cada túnel. Utilice esta información cuando configure elservidor de Windows Server 2012 R2.
vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint
La dirección IP de la gateway de cliente (en este caso, su servidor de Windows) que termina laconexión de VPN en su red. Si su gateway de cliente es una instancia de servidor de Windows, ladirección IP privada de dicha instancia.
Remote Tunnel Endpoint
Una de las dos direcciones IP de la gateway privada virtual que termina la conexión de VPN en elextremo de AWS de la conexión.
219
Amazon Virtual Private CloudGuía para administradores de redPaso 2: Descarga del archivo de
configuración de la conexión de VPN Endpoint 1
El prefijo de IP que especificó como ruta estática al crear la conexión de VPN. Estas son lasdirecciones IP de su red que pueden utilizar la conexión de VPN para obtener acceso a su VPC.
Endpoint 2
Rango de direcciones IP (bloque de CIDR) de la VPC adjunta a la gateway privada virtual (por ejemplo10.0.0.0/16).
Preshared key
Clave previamente compartida que se utiliza para establecer la conexión de VPN IPsec entre el LocalTunnel Endpoint y el Remote Tunnel Endpoint.
Se recomienda configurar ambos túneles como parte de la conexión de VPN. Cada túnel se conecta a unconcentrador de VPN independiente en el extremo de Amazon de la conexión de VPN. Aunque solo hayaun túnel activo cada vez, el segundo túnel se establece automáticamente si el primero se desactiva. Altener túneles redundantes, se asegura de tener una disponibilidad continua en caso de un error dedispositivo. Puesto que solo hay disponible un túnel cada vez, la consola de Amazon VPC indica que untúnel está inactivo. Este es el comportamiento esperado, de modo que no necesita realizar ninguna acción.
Con dos túneles configurados, si se produce un fallo de un dispositivo en AWS, su conexión de VPNcambiará automáticamente al segundo túnel de la gateway privada virtual de AWS en cuestión de minutos.Al configurar su dispositivo de gateway de cliente, es importante que configure ambos túneles.
Note
En ocasiones, AWS realiza tareas de mantenimiento de rutina en la gateway privada virtual. Estemantenimiento puede deshabilitar uno de los dos túneles de su conexión de VPN durante unbreve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundotúnel mientras duren las tareas de mantenimiento.
La información adicional acerca del intercambio de claves por Internet (IKE) y las asociaciones deseguridad de IPsec (SA) se muestran en el archivo de configuración descargado. Puesto que laconfiguración recomendada de la VPN de VPC es la misma que la configuración de IPsec predeterminadade Windows Server 2012 R2, el trabajo que deberá realizar es mínimo.
MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2
MainModeSecMethods
Algoritmos de cifrado y autenticación para IKE SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2012 R2.
MainModeKeyLifetime
Vida útil de la clave de IKE SA. Esta es la configuración recomendada para la conexión de VPN y esla configuración predeterminada para las conexiones de VPN IPsec de Windows Server 2012 R2.
QuickModeSecMethods
Algoritmos de cifrado y autenticación para IPsec SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2012 R2.
220
Amazon Virtual Private CloudGuía para administradores de red
Paso 3: Configuración de Windows Server
QuickModePFS
Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesiones deIPsec.
Paso 3: Configuración de Windows ServerAntes de configurar el túnel de VPN, debe instalar y configurar los servicios de acceso remoto y dedireccionamiento en su Windows Server. De esta forma, los usuarios remotos podrán obtener acceso a losrecursos de su red.
Para instalar el direccionamiento y los servicios de acceso remoto en Windows Server 2012 R2
1. Inicie sesión en el servidor de Windows Server 2012 R2.2. Vaya al menú Inicio y elija Administrador del servidor.3. Instale los servicios de acceso remoto y direccionamiento:
a. Desde el menú Administrar, elija Agregar roles y características.b. En la página Antes de comenzar, asegúrese de que su servidor cumple todos los requisitos
previos. A continuación, elija Siguiente.c. Elija Instalación basada en características o en roles y, a continuación, elija Siguiente.d. Elija Seleccionar un servidor del grupo de servidores, seleccione su servidor de Windows 2012 R2
y, a continuación, elija Siguiente.e. Seleccione Servicios de acceso y directivas de redes en la lista. En el cuadro de diálogo que
aparecerá, elija Agregar características para confirmar las características necesarias para estafunción.
f. En la misma lista, elija Acceso remoto y elija Siguiente.g. En la página Seleccionar características, elija Siguiente.h. En la página Servicios de acceso y directivas de redes, elija Siguiente. Deje seleccionada la
opción Servidor de directivas de redes y elija Siguiente.i. En la página Acceso remoto, elija Siguiente. En la página siguiente, seleccione Acceso directo y
VPN (RAS). En el cuadro de diálogo que aparecerá, elija Agregar características para confirmarlas características necesarias para este servicio de función. En la misma lista, elija Enrutamientoy, a continuación, elija Siguiente.
j. En la página Rol de servidor web (IIS), elija Siguiente. Deje la selección predeterminada y elijaSiguiente.
k. Elija Instalar. Cuando finalice la instalación, elija Cerrar.
Para configurar y habilitar el servidor de enrutamiento y acceso remoto
1. En el panel, elija Notificaciones (icono con la marca). Debería haber una tarea para completar laconfiguración posterior a la implementación. Elija el enlace Abrir el Asistente para introducción.
2. Elija Implementar solo VPN.3. En el cuadro de diálogo Enrutamiento y acceso remoto, elija el nombre del servidor, elija Acción y
seleccione Configurar y habilitar Enrutamiento y acceso remoto.4. En el Asistente para instalación del servidor de enrutamiento y acceso remoto, en la primera página,
elija Siguiente.5. En la página Configuración, elija Configuración personalizada y Siguiente.6. Elija Enrutamiento LAN, Siguiente y Finalizar.
221
Amazon Virtual Private CloudGuía para administradores de red
Paso 4: Configuración del túnel de VPN
7. Cuando lo solicite el cuadro de diálogo Enrutamiento y acceso remoto, elija Iniciar servicio.
Paso 4: Configuración del túnel de VPNPuede configurar el túnel de la VPN ejecutando los scripts netsh que se incluyen en el archivo deconfiguración descargado, o bien utilizando el Asistente para nueva regla de seguridad de conexión en elservidor de Windows.
Important
Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesionesde IPsec. Si elige ejecutar el script netsh, comprobará que incluye un parámetro para habilitarPFS (qmpfs=dhgroup2). No puede habilitar PFS desde la interfaz de usuario de Windows Server2012 R2; en su lugar, deberá activarla con la línea de comandos.
Opción 1: Ejecución del script netshCopie el script netsh del archivo de configuración descargado y reemplace las variables. A continuación semuestra un ejemplo de script.
netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^Enable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
Name: puede sustituir el nombre recomendado (vgw-1a2b3c4d Tunnel 1) por el nombre que prefiera.
LocalTunnelEndpoint: escriba la dirección IP privada del servidor de Windows en su red.
Endpoint1: bloque de CIDR de la red en la que reside el servidor de Windows. Por ejemplo,172.31.0.0/16.
Endpoint2: bloque de CIDR de su VPC o subred de su VPC. Por ejemplo, 10.0.0.0/16.
Ejecute el script actualizado en una ventana de símbolo del sistema en su servidor de Windows. (El signo ^le permite cortar y pegar texto incluido en la línea de comandos). Para configurar el segundo túnel de VPNpara esta conexión de VPN, repita el proceso utilizando el script netsh en el archivo de configuración.
Cuando haya terminado, vaya a 2.4: Configuración del firewall de Windows (p. 226).
Para obtener más información acerca de los parámetros de netsh, vaya a Netsh AdvFirewall ConsecCommands en la Biblioteca de Microsoft TechNet.
Opción 2: Utilización de la interfaz de usuario deWindows ServerTambién puede utilizar la interfaz de usuario de Windows Server para configurar el túnel de VPN. Estassección le guía a través de los pasos necesarios.
222
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows ServerImportant
No puede habilitar la confidencialidad directa total (PFS) de clave maestra desde la interfaz deusuario de Windows Server 2012 R2. PFS debe habilitarse con la línea de comandos, tal como sedescribe en Activación de la confidencialidad directa total (PFS) de clave maestra (p. 225).
Temas• 2.1: Configuración de una regla de seguridad para un túnel de VPN (p. 223)• 2.3: Confirmación de la configuración del túnel (p. 225)• Activación de la confidencialidad directa total (PFS) de clave maestra (p. 225)
2.1: Configuración de una regla de seguridad para un túnel deVPNEn esta sección, configurará una regla de seguridad en su Windows Server para crear un túnel de VPN.
Para configurar una regla de seguridad para un túnel de VPN
1. Abra Administrador del servidor, elija Herramientas y seleccione Firewall de Windows con seguridadavanzada.
2. Seleccione Reglas de seguridad de conexión, elija Acción y, a continuación, Nueva regla.3. En el Asistente para nueva regla de seguridad de conexión, en la página Tipo de regla, elija Túnel y, a
continuación, elija Siguiente.4. En la página Tipo de túnel, en ¿Qué tipo de túnel desea crear?, elija Configuración personalizada.
En ¿Desea eximir las conexiones protegidas por IPsec de este túnel?, deje el valor predeterminadoactivado (No. Enviar todo el tráfico de red que coincida con esta regla de seguridad de la conexión porel túnel.) y, a continuación, elija Siguiente.
5. En la página Requisitos, elija Requerir autenticación para las conexiones entrantes. No establecertúneles para las conexiones salientes y, a continuación, elija Siguiente.
6. En la página Extremos de túnel, en ¿Qué equipos están en el Extremo 1?, elija Agregar. Escriba elintervalo de CIDR de su red (detrás del dispositivo de gateway de cliente de su servidor Windows, porejemplo 172.31.0.0/16) y, a continuación, seleccione OK (Aceptar). El intervalo puede incluir ladirección IP de su dispositivo de gateway de cliente.
7. En ¿Cuál es el extremo de túnel local (más cercano a los equipos del Extremo 1)?, elija Editar. En elcampo Dirección IPv4, escriba la dirección IP privada de su servidor Windows y, a continuación, elijaAceptar.
8. En ¿Cuál es el extremo de túnel remoto (más cercano a los equipos del Extremo 2)?, elija Editar. En elcampo Dirección IPv4, escriba la dirección IP de la gateway privada virtual del Túnel 1 del archivo deconfiguración (consulte Remote Tunnel Endpoint) y, a continuación, elija Aceptar.
Important
Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar el punto deconexión para el Túnel 2.
9. En ¿Qué equipos están en el Extremo 2?, elija Agregar. En el campo Esta dirección IP o subred:,escriba el bloque de CIDR de su VPC y, a continuación, elija Aceptar.
Important
Debe desplazarse por el cuadro de diálogo hasta encontrar ¿Qué equipos están en elExtremo 2?. No elija Siguiente hasta que no haya completado este paso, ya que, de locontrario, no podrá conectarse a su servidor.
223
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows Server
10. Asegúrese de que todos los parámetros especificados son correctos. A continuación, elija Siguiente.11. En la página Método de autenticación, seleccione Avanzado y elija Personalizar.12. En Métodos de primera autenticación, elija Agregar.13. Seleccione Clave previamente compartida, escriba el valor de la clave previamente compartida del
archivo de configuración y elija Aceptar.
Important
Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar la clavepreviamente compartida para el Túnel 2.
14. Asegúrese de que la opción La primera autenticación es opcional no esté seleccionada y, acontinuación, elija Aceptar.
15. Elija Next (Siguiente).
224
Amazon Virtual Private CloudGuía para administradores de redOpción 2: Utilización de la interfaz
de usuario de Windows Server16. En la página Perfil, active las tres casillas de verificación: Dominio, Privado y Público. Seleccione Next
(Siguiente).17. En la página Nombre, escriba un nombre para la regla de conexión como, por ejemplo, VPN to AWS
Tunnel 1 y, a continuación, elija Finalizar.
Repita el procedimiento anterior, especificando los datos para el túnel 2 de su archivo de configuración.
Una vez que haya terminado, tendrá dos túneles configurados para su conexión de VPN.
2.3: Confirmación de la configuración del túnelPara confirmar la configuración del túnel
1. Abra Administrador del servidor, elija Herramientas, seleccione Firewall de Windows con seguridadavanzada y, a continuación, seleccione Reglas de seguridad de conexión.
2. Realice las comprobaciones siguientes para ambos túneles:
• Habilitado está configurado con el valor Yes.• Extremo 1 corresponde con el bloque de CIDR de su red.• Extremo 2 corresponde con el bloque de CIDR de su VPC.• Modo de autenticación está configurado con el valor Require inbound and clear outbound.• Método de autenticación está configurado como Custom.• Puerto de extremo 1 es Any.• Puerto de extremo 2 es Any.• Protocolo es Any.
3. Seleccione la primera regla y elija Propiedades.4. En la pestaña Autenticación, en Método, elija Personalizar y asegúrese de que Métodos de primera
autenticación contiene la clave previamente compartida correcta de su archivo de configuración parael túnel. A continuación, elija Aceptar.
5. En la pestaña Avanzado, asegúrese de que las opciones Dominio, Privado y Público esténseleccionadas.
6. En Túnel IPsec, elija Personalizar. Compruebe los siguientes parámetros de túnel IPsec y, acontinuación, elija Aceptar. A continuación, vuelva a seleccionar Aceptar para cerrar el cuadro dediálogo.
• La opción Usar túnel IPsec está seleccionada.• Extremo de túnel local (más cercano al Extremo 1) contiene la dirección IP de su servidor de
Windows. Si su dispositivo de gateway de cliente es una instancia EC2, deberá indicar la direcciónIP privada de la instancia.
• Extremo de túnel remoto (más cercano al Extremo 2) contiene la dirección IP de la gateway privadavirtual de este túnel.
7. Abra las propiedades del segundo túnel. Repita los pasos del 4 al 7 para este túnel.
Activación de la confidencialidad directa total (PFS) de clavemaestraLa confidencialidad directa total (PFS) de clave maestra se puede habilitar mediante la línea de comandos.Esta característica no puede habilitarse desde la interfaz de usuario.
Para habilitar la confidencialidad directa total de clave maestra
1. En el servidor de Windows, abra una nueva ventana de símbolo del sistema.
225
Amazon Virtual Private CloudGuía para administradores de red
2.4: Configuración del firewall de Windows
2. Escriba el comando siguiente sustituyendo rule_name por el nombre que asignó en la primera reglade conexión.
netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb
3. Repta el paso 2 para el segundo túnel. Esta vez, sustituya rule_name por el nombre que asignó a lasegunda regla de conexión.
2.4: Configuración del firewall de WindowsTras configurar sus reglas de seguridad en el servidor, configure algunos ajustes básicos de IPsec paratrabajar con la gateway privada virtual.
Para configurar el firewall de Windows
1. Abra Administrador del servidor, elija Herramientas, seleccione Firewall de Windows con seguridadavanzada y, a continuación, elija Propiedades.
2. En la pestaña Configuración IPsec, en Exenciones IPsec, asegúrese de que la opción ICMP estáexento de IPsec está configurada con el valor No (predeterminado). Asegúrese de que la opciónAutorización de túnel IPsec está configurada con la opción Ninguno.
3. En Predeterminados de IPsec, elija Personalizar.4. En Intercambio de claves (modo principal), seleccione Avanzado y, a continuación, elija Personalizar.5. En Personalizar configuración avanzada de intercambio de claves, en Métodos de seguridad,
asegúrese de que se utilizan los valores predeterminados para la primera entrada.
• Integridad: SHA-1• Cifrado: AES-CBC 128• Algoritmo de intercambio de claves: Grupo Diffie-Hellman 2• En Duración de la clave, asegúrese de que Minutos tenga el valor 480 y de que Sesiones tenga el
valor 0.
Estos valores corresponden a estas entradas en el archivo de configuración:
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec
6. En Opciones de intercambio de claves, seleccione Usar Diffie-Hellman para mayor seguridad y, acontinuación, elija Aceptar.
7. En Protección de datos (modo rápido), seleccione Avanzado y, a continuación, elija Personalizar.8. Seleccione Requerir cifrado para todas las reglas de seguridad de conexión que usan esta
configuración.9. En Integridad y cifrado de datos, deje los valores predeterminados:
• Protocolo: ESP• Integridad: SHA-1• Cifrado: AES-CBC 128• Vigencia: 60 minutos
Estos valores corresponden a la entrada del archivo de configuración que se muestra a continuación.
QuickModeSecMethods:
226
Amazon Virtual Private CloudGuía para administradores de red
Paso 5: Habilitación de la detección de gateways inactivas
ESP:SHA1-AES128+60min+100000kb
10. Elija Aceptar para volver al cuadro de diálogo Personalizar configuración IPsec y elija Aceptar denuevo para guardar la configuración.
Paso 5: Habilitación de la detección de gatewaysinactivas
A continuación, configure TCP para detectar cuándo una gateway deja de estar disponible. Para ello,modifique la siguiente clave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. No realice este paso hasta no haber completado las secciones anteriores. Después decambiar la clave de registro, deberá reiniciar el servidor.
Para habilitar la detección de gateways inactivas
1. Desde el servidor de Windows, abra el símbolo del sistema o ejecute una sesión de PowerShell yescriba regedit para iniciar el Editor del Registro.
2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip y, a continuación,Parameters.
3. Desde el menú Editar, seleccione Nuevo y seleccione Valor de DWORD (32 bits).4. Escriba el nombre EnableDeadGWDetect.5. Seleccione EnableDeadGWDetect y elija Edit (Editar), Modify (Modificar).6. En Información del valor, escriba 1 y, a continuación, elija Aceptar.7. Cierre el Editor del Registro y reinicie el servidor.
Para obtener más información, consulte EnableDeadGWDetect en la Biblioteca de Microsoft TechNet.
Paso 6: Comprobación de la conexión de VPNPara comprobar que la conexión de VPN está funcionando correctamente, lance una instancia en su VPCy asegúrese de que no tiene conexión a Internet. Después de lanzar la instancia, haga ping a su direcciónIP privada desde su servidor de Windows Server. El túnel de VPN aparecerá cuando se genere tráficodesde el dispositivo de gateway de cliente; por tanto, el comando de ping también iniciará la conexión deVPN.
Para lanzar una instancia en su VPC y obtener su dirección IP privada
1. Abra la consola de Amazon EC2 y elija Launch Instance (Lanzar instancia).2. Seleccione una AMI de Amazon Linux, y seleccione un tipo de instancia.3. En la página Step 3: Configure Instance Details, seleccione la VPC en la lista Network y seleccione
una subred desde la lista Subnet. Asegúrese de seleccionar la subred privada que configuró en Paso1: Crear una conexión de VPN y configurar la VPC (p. 218).
4. En la lista Auto-assign Public IP, asegúrese de que el parámetro está configurado con el valor Disable.5. Elija Next hasta que aparezca la página Step 6: Configure Security Group. Puede seleccionar un
grupo de seguridad existente configurado en Paso 1: Crear una conexión de VPN y configurar laVPC (p. 218). O bien puede crear un nuevo grupo de seguridad y asegurarse de que disponga deuna regla que permita todo el tráfico ICMP de la dirección IP de su servidor de Windows.
6. Complete el resto de pasos del asistente y lance su instancia.
227
Amazon Virtual Private CloudGuía para administradores de red
Paso 6: Comprobación de la conexión de VPN
7. En la página Instances, seleccione su instancia. Anote la dirección IP privada del campo Private IPs(Direcciones IP privadas) del panel de detalles.
Conéctese o inicie sesión en su servidor de Windows, abra el símbolo del sistema y utilice el comandoping para hacer ping a su instancia utilizando su dirección IP privada. Por ejemplo:
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms
En caso de error en el comando ping, compruebe la información siguiente:
• Asegúrese de haber configurado las reglas de su grupo de seguridad para que permitan ICMP en lainstancia de su VPC. Si su servidor de Windows es una instancia EC2, asegúrese de que las reglassalientes de su grupo de seguridad permiten el tráfico IPsec. Para obtener más información, consulteConfiguración de Windows Server (p. 217).
• Asegúrese de que el sistema operativo de la instancia en la que está haciendo ping esté configuradopara responder a ICMP. Se recomienda utilizar una de las AMI de Amazon Linux.
• Si la instancia a la que va a hacer ping es una instancia de Windows, conéctese a la instancia y habiliteICMPv4 entrante en el firewall de Windows.
• Asegúrese de haber configurado las tablas de ruteo correctamente para su VPC o su subred. Paraobtener más información, consulte Paso 1: Crear una conexión de VPN y configurar la VPC (p. 218).
• Si su dispositivo de gateway de cliente es una instancia de Windows Server, asegúrese de haberdeshabilitado la comprobación de origen/destino para la instancia. Para obtener más información,consulte Configuración de Windows Server (p. 217).
En la consola de Amazon VPC, en la página VPN Connections (Conexiones de VPN), seleccione suconexión de VPN. El primer túnel está en estado activo. El segundo túnel debería configurarse, pero no seutiliza a menos que se desactive el primer túnel. Puede que los túneles cifrados tarden unos minutos enestablecerse.
228
Amazon Virtual Private CloudGuía para administradores de red
Historial de revisiónPara obtener más información acerca de los cambios importantes de cada versión de la Guía paraadministradores de red de AWS Site-to-Site VPN, consulte Historial de revisión en la Guía del usuario deAmazon VPC.
229