Beispiel für Kunden-Gateway-Gerätekonfigurationen für dynamisches Routing (BGP)

Beispielkonfigurationsdateien

Um eine Beispielkonfigurationsdatei mit Werten herunterzuladen, die für Ihre Site-to-Site-VPN-Verbindungskonfiguration spezifisch sind, verwenden Sie die Amazon-VPC-Konsole, die AWS-Befehlszeile oder die Amazon-EC2-API. Weitere Informationen finden Sie unter Schritt 6: Die Endpunkt-Konfigurationsdatei herunterladen.

Sie können auch generische Beispielkonfigurationsdateien für dynamisches Routing herunterladen, die keine für Ihre Site-to-Site-VPN-Verbindungskonfiguration spezifischen Werte enthalten: dynamic-routing-examples.zip

Die Dateien verwenden Platzhalterwerte für einige Komponenten. Sie verwenden zum Beispiel:

• Beispielwerte für die VPN-Verbindungs-ID, die Kunden-Gateway-ID und die ID des Virtual Private Gateways

• Platzhalter für die Remote (außerhalb gelegene)-IP-Adressen-AWS-Endpunkte (AWS_ENDPOINT_1 und AWS_ENDPOINT_2)

• Ein Platzhalter für die IP-Adresse für die über das Internet routbare externe Schnittstelle auf dem Kunden-Gateway-Gerät (your-cgw-ip-address)

• Ein Platzhalter für den vorab freigegebenen Schlüsselwert (Pre-shared-key)

• Beispielwerte für den Tunnel innerhalb von IP-Adressen.

• Beispielwerte für die MTU-Einstellung.

Anmerkung

Die MTU-Einstellungen, die in den Beispielkonfigurationsdateien bereitgestellt werden, sind nur Beispiele. Weitere Informationen zur Einstellung des optimalen MTU-Wertes für Ihre Situation finden Sie unter Bewährte Methoden für Ihr Kunden-Gateway-Gerät.

Die Dateien enthalten nicht nur Platzhalterwerte, sondern legen auch die Mindestanforderungen für eine Site-to-Site-VPN-Verbindung von AES128, SHA1 und Diffie-Hellman-Gruppe 2 in den meisten AWS-Regionen und AES128, SHA2 und Diffie-Hellman-Gruppe 14 im AWS-GovCloud-Regionen fest. Sie geben auch Pre-Shared-Key für authentication (Authentifizierung) an. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche Sicherheitsalgorithmen und Diffie-Hellman-Gruppen sowie private Zertifikate und IPv6 zu nutzen.

Das folgende Diagramm gibt einen Überblick über die verschiedenen Komponenten, die auf dem Kunden-Gateway-Gerät konfiguriert werden. Es enthält Beispielwerte für die IP-Adressen der Tunnelschnittstelle.

Verfahren für dynamisches Routing über die Benutzeroberfläche

Im Folgenden finden Sie einige Beispielverfahren zur Konfiguration eines Kunden-Gateway-Geräts unter Verwendung seiner Benutzeroberfläche (falls verfügbar).

Check Point

Es folgen Schritte zur Konfiguration eines Check Point Security Gateway-Geräts mit R77.10 oder höher unter Verwendung des Gaia-Webportals und des Check Point SmartDashboards. Sie können auch den Amazon Web Services (AWS) VPN BGP-Artikel über das Check Point Support Center lesen.

So konfigurieren Sie die Tunnelschnittstelle

Als Erstes müssen Sie die VPN-Tunnel erstellen und die privaten (internen) IP-Adressen des Kunden-Gateways und des Virtual Private Gateways für die einzelnen Tunnel angeben. Wie Sie den ersten Tunnel erstellen, ist im Abschnitt IPSec Tunnel #1 der Konfigurationsdatei beschrieben. Verwenden Sie zum Erstellen des zweiten Tunnels die Werte im Abschnitt IPSec Tunnel #2 der Konfigurationsdatei.

1. Melden Sie sich über SSH bei Ihrem Sicherheits-Gateway an. Wenn Sie nicht die Standard-Shell verwenden, wechseln Sie mit folgendem Befehl zu Clish: clish

2. Legen Sie die ASN des Kunden-Gateways (die ASN, die Sie beim Erstellen des Kunden-Gateways in AWS erhalten haben) mit dem folgenden Befehl fest.

   set as 65000

3. Erstellen Sie die Tunnelschnittstelle für den ersten Tunnel anhand der Informationen aus dem Abschnitt IPSec Tunnel #1 der Konfigurationsdatei. Geben Sie einen eindeutigen Namen für den Tunnel ein, z. B. AWS_VPC_Tunnel_1.

   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436 

4. Wiederholen Sie diese Befehle, um den zweiten Tunnel zu erstellen. Verwenden Sie dafür die Informationen im Bereich IPSec Tunnel #2 der Konfigurationsdatei. Geben Sie einen eindeutigen Namen für den Tunnel ein, z. B. AWS_VPC_Tunnel_2.

   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436 

5. Legen Sie die ASN des Virtual Private Gateways fest.

   set bgp external remote-as 7224 on 

6. Konfigurieren Sie das BGP für den ersten Tunnel anhand der Informationen im Abschnitt IPSec Tunnel #1 der Konfigurationsdatei:

   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10 

7. Konfigurieren Sie das BGP für den zweiten Tunnel anhand der Informationen im Abschnitt IPSec Tunnel #2 der Konfigurationsdatei:

   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10 

8. Speichern Sie die Konfiguration.

   save config

So erstellen Sie eine BGP-Richtlinie

Erstellen Sie als Nächstes eine BGP-Richtlinie, die den Import von Routen erlaubt, die von verbreitet werden AWS. Anschließend konfigurieren Sie Ihr Kunden-Gateway so, dass dessen lokale Routen an gesendet werden AWS.

1. Klicken Sie im Gaia WebUI auf Advanced Routing und dann auf Inbound Route Filters. Klicken Sie auf Add und wählen Sie Add BGP Policy (Based on AS) aus.

2. Wählen Sie für Add BGP Policy (BGP-Richtlinie hinzufügen) im ersten Feld einen Wert zwischen 512 und 1024 aus und geben Sie im zweiten Feld die ASN des Virtual Private Gateways ein, z. B. 7224.

3. Wählen Sie Save (Speichern) aus.

So kündigen Sie lokale Routen an

In den folgenden Schritten wird die Verteilung von lokalen Schnittstellenrouten beschrieben. Sie können Routen auch von anderen Quellen neu verteilen, z. B. statische Routen oder Routen, die Sie über dynamische Routing-Protokolle erhalten haben. Weitere Informationen finden Sie unter Gaia Advanced Routing R77 Versions Administration Guide.

1. Klicken Sie im Gaia WebUI auf Advanced Routing und dann auf Routing Redistribution. Wählen Sie Add Redistribution From (Neuverteilung hinzufügen von) aus. Wählen Sie dann Interface (Schnittstelle) aus.

2. Wählen Sie für To Protocol (Zu Protokoll) die ASN des Virtual Private Gateways aus, z. B. 7224.

3. Wählen Sie für Interface eine interne Schnittstelle aus. Wählen Sie Save (Speichern) aus.

So definieren Sie ein neues Netzwerkobjekt

Dann erstellen Sie ein Netzwerkobjekt für jeden VPN-Tunnel und legen die öffentlichen (externen) IP-Adressen für das Virtual Private Gateway fest. Später fügen Sie diese Netzwerkobjekte als Satelliten-Gateways für Ihre VPN-Community hinzu. Außerdem müssen Sie eine leere Gruppe erstellen, die als Platzhalter für die VPN-Domäne dient.

1. Öffnen Sie das Check Point-SmartDashboard.

2. Öffnen Sie für Groups das Kontextmenü und klicken Sie auf Groups und Simple Group. Sie können für alle Netzwerkobjekte dieselbe Gruppe verwenden.

3. Öffnen Sie mit der rechten Maustaste für Network Objects das Kontextmenü und wählen Sie New und Interoperable Device aus.

4. Geben Sie unter Name den Namen des Tunnels aus Schritt 1 ein, z. B. AWS_VPC_Tunnel_1 oder AWS_VPC_Tunnel_2.

5. Geben Sie unter IPv4 Address die externe IP-Adresse des Virtual Private Gateways aus der Konfigurationsdatei ein, z. B. 54.84.169.196. Speichern Sie die Einstellungen und schließen Sie das Dialogfeld.

   

6. Wählen Sie im linken Kategoriebereich Topology aus.

7. Klicken Sie im Bereich VPN Domain (VPN-Domäne) auf Manually defined (Manuell definiert) und wählen Sie die leere einfache Gruppe aus, die Sie in Schritt 2 erstellt haben. Wählen Sie OK aus.

8. Wiederholen Sie diese Schritte, um ein zweites Netzwerkobjekt zu erstellen. Verwenden Sie dafür die Informationen im Bereich IPSec Tunnel #2 der Konfigurationsdatei.

9. Rufen Sie das Gateway-Netzwerkobjekt auf, öffnen Sie das Gateway oder Cluster-Objekt und klicken Sie auf Topology.

10. Klicken Sie im Bereich VPN Domain (VPN-Domäne) auf Manually defined (Manuell definiert) und wählen Sie die leere einfache Gruppe aus, die Sie in Schritt 2 erstellt haben. Wählen Sie OK aus.

    Anmerkung

    Sie können eine vorhandene VPN-Domäne, die Sie bereits konfiguriert haben, beibehalten. Stellen Sie jedoch sicher, dass die verwendeten Hosts und Netzwerke von der neuen VPN-Verbindung bedient werden und nicht in dieser VPN-Domäne deklariert werden, insbesondere wenn die VPN-Domäne automatisch abgeleitet wird.

Anmerkung

Wenn Sie Cluster verwenden, bearbeiten Sie die Topologie und legen Sie die Schnittstellen als Cluster-Schnittstellen fest. Verwenden Sie die IP-Adressen, die in der Konfigurationsdatei angegeben sind.

So erstellen und konfigurieren Sie die VPN-Community, IKE- und IPsec-Einstellungen

Dann erstellen Sie eine VPN-Community in Ihrem Check Point-Gateway, zu dem Sie die Netzwerkobjekte (interoperablen Geräte) für die einzelnen Tunnel hinzufügen. Außerdem konfigurieren Sie die IKE- und IPsec-Einstellungen.

1. Klicken Sie in den Gateway-Eigenschaften im Kategoriebereich auf IPsec VPN.

2. Klicken Sie auf Communities, New und Star Community.

3. Geben Sie einen Namen für die Community ein (z. B. AWS_VPN_Star) und klicken Sie im Kategoriebereich auf Center Gateways.

4. Klicken Sie auf Add und fügen Sie Ihr Gateway bzw. Ihren Cluster der Liste der teilnehmenden Gateways hinzu.

5. Klicken Sie im Kategoriebereich auf Satellite Gateways (Satelliten-Gateways) und Add (Hinzufügen) und fügen Sie die interoperablen Geräte, die Sie vorher erstellt haben (AWS_VPC_Tunnel_1 und AWS_VPC_Tunnel_2) der Liste der teilnehmenden Gateways hinzu.

6. Klicken Sie im Kategoriebereich auf Encryption. Klicken Sie im Bereich Encryption Method auf IKEv1 for IPv4 and IKEv2 for IPv6. Wählen Sie im Bereich Encryption Suite Custom und Custom Encryption aus.

   Anmerkung

   Sie müssen die Option IKEv1 for IPv4 and IKEv2 for IPv6 (IKEv1 für IPv4 und IKEv2 für IPv6) für die IKEv1-Funktionalität auswählen.

7. Konfigurieren Sie im Dialogfeld die Verschlüsselungseigenschaften wie nachfolgend beschrieben und klicken Sie dann auf OK:

   • Eigenschaften von IKE Security Association (Phase 1):

     • Perform key exchange encryption with: AES-128

     • Perform data integrity with: SHA-1

   • Eigenschaften von IPsec Security Association (Phase 2):

     • Perform IPsec data encryption with: AES-128

     • Perform data integrity with: SHA-1

8. Klicken Sie im Kategoriebereich auf Tunnel Management. Klicken Sie auf Set Permanent Tunnels und On all tunnels in the community. Wählen Sie im Bereich VPN Tunnel Sharing One VPN tunnel per Gateway pair aus.

9. Erweitern Sie im Kategoriebereich Advanced Settings und klicken Sie auf Shared Secret.

10. Wählen Sie den Peer-Namen für den ersten Tunnel aus, klicken Sie auf Edit (Bearbeiten) und geben Sie den vorinstallierten Schlüssel aus dem Bereich IPSec Tunnel #1 der Konfigurationsdatei ein.

11. Wählen Sie den Peer-Namen für den zweiten Tunnel aus, klicken Sie auf Edit (Bearbeiten) und geben Sie den vorinstallierten Schlüssel aus dem Bereich IPSec Tunnel #2 der Konfigurationsdatei ein.

    

12. Klicken Sie – noch immer in der Kategorie Advanced Settings (Erweiterte Einstellungen) – auf Advanced VPN Properties (Erweiterte VPN-Eigenschaften), konfigurieren Sie die Eigenschaften wie nachfolgend beschrieben und klicken Sie abschließend auf OK:

    • IKE (Phase 1):

      • Diffie-Hellman-Gruppe verwenden: Group 2 (1024 bit)

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (Phase 2):

      • Use Perfect Forward Secrecy auswählen

      • Diffie-Hellman-Gruppe verwenden: Group 2 (1024 bit)

      • Renegotiate IPsec security associations every 3600 seconds

So erstellen Sie Firewall-Regeln

Dann konfigurieren Sie eine Richtlinie mit Firewall-Regeln und direktionalen Übereinstimmungsregeln, um Kommunikation zwischen der VPC und dem On-Premise-Netzwerk zu ermöglichen. Dann installieren Sie diese Richtlinie auf Ihrem Gateway.

1. Klicken Sie im SmartDashboard auf Global Properties für Ihr Gateway. Erweitern Sie im Kategoriebereich VPN und klicken Sie auf Advanced.

2. Klicken Sie auf Enable VPN Directional Match in VPN Column und anschließend auf OK.

3. Klicken Sie im SmartDashboard auf Firewall und erstellen Sie eine Richtlinie mit den folgenden Regeln:

   • Erlauben Sie dem VPC-Subnetz, über die erforderlichen Protokolle mit dem lokalen Netzwerk zu kommunizieren.

   • Erlauben Sie dem lokalen Netzwerk, über die erforderlichen Protokolle mit dem VPC-Subnetz zu kommunizieren.

4. Öffnen Sie das Kontextmenü für die Zelle in der VPN-Spalte und klicken Sie auf Edit Cell.

5. Klicken Sie im Dialogfeld VPN Match Conditions auf Match traffic in this direction only. Klicken Sie jeweils auf Add (Hinzufügen) und abschließend auf OK:

   • internal_clear > VPN-Community (die VPN-Star-Community, die Sie vorher erstellt haben, z. B, AWS_VPN_Star)

   • VPN-Community > VPN-Community

   • VPN-Community > internal_clear

6. Klicken Sie im SmartDashboard auf Policy und Install.

7. Wählen Sie im Dialogfeld das Gateway aus und klicken Sie auf OK, um die Richtlinie zu installieren.

So ändern Sie die Eigenschaft "tunnel_keepalive_method"

Sie können für Ihren Check Point-Gateway Dead Peer Detection (DPD) verwenden, um Ausfälle bei der IKE-Zuordnung zu identifizieren. Um DPD für einen permanenten Tunnel zu konfigurieren, muss der permanente Tunnel in der AWS VPN-Community konfiguriert sein.

Standardmäßig ist für die Eigenschaft tunnel_keepalive_method eines VPN-Gateways der Wert tunnel_test festgelegt. Sie müssen diesen Wert zu ändern dpd. Für alle VPN-Gateways innerhalb der VPN-Community, einschließlich VPN-Gateways von Drittanbietern, für die Sie DPD-Überwachung aktivieren möchten, muss die Eigenschaft tunnel_keepalive_method konfiguriert werden. Es ist nicht möglich, für dasselbe Gateway unterschiedliche Überwachungsmechanismen zu konfigurieren.

Sie können die Eigenschaft tunnel_keepalive_method mit dem GuiDBedit-Tool bearbeiten.

1. Öffnen Sie das Check Point-SmartDashboard und klicken Sie auf Security Management Server und Domain Management Server.

2. Klicken Sie auf File und Database Revision Control… und erstellen Sie einen Versions-Snapshot.

3. Schließen Sie alle SmartConsole-Fenster wie das SmartDashboard, SmartView Tracker und SmartView Monitor.

4. Starten Sie das GuiDBedit-Tool. Weitere Informationen finden Sie im Artikel Check Point Database Tool im Check Point-Supportcenter.

5. Klicken Sie auf Security Management Server und Domain Management Server.

6. Klicken Sie oben links auf Table, Network Objects und network_objects.

7. Wählen Sie oben rechts das entsprechende Security Gateway-Cluster-Objekt aus.

8. Drücken Sie STRG + F oder verwenden Sie das Suchmenü, um nach folgender Zeichenfolge zu suchen: tunnel_keepalive_method.

9. Öffnen Sie im unteren Bereich das Kontextmenü für tunnel_keepalive_method und klicken Sie auf Edit…. Wählen Sie dpd, OK.

10. Wiederholen Sie die Schritte 7 bis 9 für jedes Gateway, das Teil der AWS VPN-Community ist.

11. Klicken Sie auf File und Save All.

12. Schließen Sie das GuiDBedit-Tool.

13. Öffnen Sie das Check Point-SmartDashboard und klicken Sie auf Security Management Server und Domain Management Server.

14. Installieren Sie die Richtlinie für das entsprechende Security Gateway-Cluster-Objekt.

Weitere Informationen finden Sie im Artikel New VPN features in R77.10 im Check Point-Supportcenter.

So aktivieren Sie TCP MSS Clamping

Mit TCP MSS Clamping können Sie die maximale Segmentgröße von TCP-Paketen reduzieren, um eine Paketfragmentierung zu vermeiden.

1. Öffnen Sie das folgende Verzeichnis: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Führen Sie die Datei GuiDBEdit.exe aus, um das Check Point-Datenbank-Tool zu starten.

3. Wählen Sie Table, Global Properties und properties aus.

4. Klicken Sie für fw_clamp_tcp_mss auf Edit. Ändern Sie den Wert in true und wählen Sie dann OK.

So überprüfen Sie den Tunnelstatus

Sie können den Tunnelstatus überprüfen, indem Sie den folgenden Befehl vom Befehlszeilen-Tool aus im Expertenmodus ausführen.

vpn tunnelutil

Wählen Sie aus den angezeigten Optionen 1 aus, um die IKE-Zuordnungen zu überprüfen, und 2, um die IPsec-Zuordnungen zu überprüfen.

Im Check Point Smart Tracker-Protokoll können Sie auch überprüfen, ob Pakete über diese Verbindung verschlüsselt werden. Dem folgenden Protokoll können Sie beispielsweise entnehmen, dass ein Paket verschlüsselt über Tunnel 1 an die VPC gesendet wurde.

SonicWALL

Sie können ein SonicWALL-Gerät über die SonicOS-Verwaltungsoberfläche konfigurieren. Weitere Informationen zur Konfiguration von Tunneln finden Sie unter Verfahren für statisches Routing über die Benutzeroberfläche.

Sie können das BGP des Geräts nicht mit der Management-Schnittstelle konfigurieren. Verwenden Sie stattdessen die Befehlszeilenanleitungen, die in der oben gezeigten Beispielkonfigurationsdatei unter dem Abschnitt BGP genannt sind.

Zusätzliche Informationen für Cisco-Geräte

Einige Cisco ASAs unterstützen nur den Aktiv-/Standby-Modus. Wenn Sie eine solche Cisco ASA verwenden, kann nur ein Tunnel gleichzeitig aktiv sein. Der andere Standby-Tunnel wird aktiv, falls der erste Tunnel nicht verfügbar ist. Diese Redundanz sorgt dafür, dass immer ein Tunnel für die Verbindung zu Ihrer VPC verfügbar ist.

Cisco ASAs ab Version 9.7.1 und höher unterstützen den Aktiv/Aktiv-Modus. Wenn Sie diese Cisco ASAs verwenden, können beide Tunnel gleichzeitig aktiv sein. Diese Redundanz sorgt dafür, dass immer ein Tunnel für die Verbindung zu Ihrer VPC verfügbar ist.

Für Cisco-Geräte müssen Sie die folgenden Schritte ausführen:

• Konfigurieren Sie die Außenschnittstelle.

• Stellen Sie sicher, dass die Crypto ISAKMP-Richtliniensequenznummer eindeutig ist.

• Stellen Sie sicher, dass die Crypto List-Richtliniensequenznummer eindeutig ist.

• Stellen Sie sicher, dass das Crypto IPsec Transform Set und die Crypto ISAKMP-Richtliniensequenz auf sonstige auf dem Gerät konfigurierte IPsec-Tunnel abgestimmt sind.

• Stellen Sie sicher, dass die SLA-Überwachungsnummer eindeutig ist.

• Konfigurieren Sie sämtliche internen Routen, über die Datenverkehr zwischen dem Kunden-Gateway-Gerät und Ihrem On-Premise-Netzwerk gesendet wird.

Zusätzliche Informationen für Juniper-Geräte

Die folgenden Informationen beziehen sich auf die Beispielkonfigurationsdateien für Kunden-Gateway-Geräte der Juniper J-Serie und SRX.

• Die Schnittstelle nach außen wird als ge-0/0/0/0 bezeichnet.

• Die Tunnel-Schnittstellen-IDs werden als st0.1 und st0.2 bezeichnet.

• Vergewissern Sie sich, dass Sie die Sicherheitszone für die Uplink-Schnittstelle identifizieren (die Konfigurationsinformationen verwenden die standardmäßige "Nicht vertrauenswürdig"-Zone).

• Stellen Sie sicher, dass Sie die Sicherheitszone für die interne Schnittstelle identifizieren (die Konfigurationsinformationen verwenden die standardmäßige "Vertrauenswürdig"Zone).

Testen

Weitere Informationen zum Testen Ihrer Site-to-Site-VPN-Verbindung finden Sie unter Eine Site-to-Site VPN-Verbindung testen.