Introducción a AWS Site-to-Site VPN

Utilice el procedimiento siguiente para configurar una conexión de AWS Site-to-Site VPN. Durante la creación, especificará una puerta de enlace privada virtual, una puerta de enlace de tránsito o “No asociada” como tipo de puerta de enlace de destino. Si especifica “No asociada”, podrá elegir el tipo de puerta de enlace de destino más adelante o podrá utilizarla como asociación de VPN para AWS Cloud WAN. Este tutorial le ayuda a crear una conexión de VPN mediante una puerta de enlace privada virtual. Supone que dispone de una VPC existente con una o varias subredes.

Para establecer una conexión de VPN mediante una puerta de enlace privada virtual, siga estos pasos:

Tareas relacionadas

• Para crear una conexión de VPN para AWS Cloud WAN, consulte Creación de una asociación de VPN para AWS Cloud WAN.

• Para crear una conexión de VPN en una puerta de enlace de tránsito, consulte Creación de una asociación de VPN de puerta de enlace de tránsito.

Requisitos previos

Necesita la siguiente información para establecer y configurar los componentes de una conexión de VPN.

Elemento	Información
Dispositivo de gateway de cliente	El dispositivo físico o de software del lado de la conexión de VPN. Necesita el proveedor (por ejemplo, Cisco Systems), la plataforma (por ejemplo, ISR Series Routers) y la versión de software (por ejemplo, IOS 12.4).
Gateway de cliente	Para crear el recurso de gateway de cliente en AWS, necesita la siguiente información: La dirección IP direccionable de Internet para la interfaz externa del dispositivo El tipo de direccionamiento: estático o dinámico Para el direccionamiento dinámico: el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) (Opcional) Certificado privado de AWS Private Certificate Authority para autenticar su VPN Para obtener más información, consulte Opciones de gateway de cliente.
(Opcional) El ASN para el lado de AWS de una sesión de BGP	Debe especificarse al crear una gateway privada virtual o una gateway de tránsito. Si no especifica un valor, se aplica el ASN predeterminado. Para obtener más información, consulte Gateway privada virtual.
conexión de VPN	Para crear una conexión de VPN, necesita la siguiente información: Para el enrutamiento estático, los prefijos IP para la red privada. (Opcional) Opciones de túnel para cada túnel VPN. Para obtener más información, consulte Opciones del túnel de una conexión de Site-to-Site VPN.

Paso 1: Crear una puerta de enlace de cliente

Una gateway de cliente proporciona información a AWS acerca de su dispositivo de gateway de cliente o aplicación de software. Para obtener más información, consulte Gateway de cliente.

Si tiene previsto usar un certificado privado para autenticar la VPN, cree un certificado privado a partir de una CA subordinada mediante AWS Private Certificate Authority. Para obtener información sobre la creación de un certificado privado, consulte la sección de creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority.

nota

Tiene que especificar una dirección IP o el nombre de recurso de Amazon del certificado privado.

Para crear una gateway de cliente con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Puertas de enlace de cliente.

3. Elija Crear puerta de enlace de cliente.

4. (Opcional) En Name tag (Etiqueta de nombre), ingrese un nombre para la puerta de enlace de cliente. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

5. En BGP ASN, ingrese un número de sistema autónomo (ASN) para protocolo de puerta de enlace fronteriza (BGP) de la puerta de enlace de cliente.

6. (Opcional) En IP Address (Dirección IP), ingrese la dirección IP direccionable de Internet estática del dispositivo de puerta de enlace de cliente. Si el dispositivo de la puerta de enlace de cliente se encuentra detrás de un dispositivo NAT habilitado para NAT-T, utilice la dirección IP pública del dispositivo NAT.

7. (Opcional) Si desea utilizar un certificado privado, para Certificate ARN (ARN de certificado), elija el nombre de recurso de Amazon del certificado privado.

8. (Opcional) En Dispositivo, introduzca un nombre para el dispositivo de puerta de enlace de cliente asociado a esta puerta de enlace de cliente.

9. Elija Crear puerta de enlace de cliente.

Para crear una gateway de cliente mediante la línea de comando o API

• CreateCustomerGateway (API de consulta de Amazon EC2)

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

Paso 2: Crear una puerta de enlace de destino

Para establecer una conexión de VPN entre la VPC y la red en las instalaciones, debe crear una gateway de destino en el lado de AWS de la conexión. La gateway de destino puede ser una gateway privada virtual o una gateway de tránsito.

Creación de una gateway privada virtual

Al crear una puerta de enlace privada virtual, puede especificar un número de sistema autónomo (ASN) privado personalizado en el lado de Amazon de la puerta de enlace o usar el ASN predeterminado de Amazon. Este ASN tiene que ser distinto del ASN especificado para la puerta de enlace de cliente.

Después de crear una gateway privada virtual, debe adjuntarla a su VPC.

Para crear una gateway privada virtual y adjuntarla a su VPC.

1. En el panel de navegación, elija Puertas de enlace privadas virtuales.

2. Elija Create virtual private gateway (Crear puerta de enlace privada virtual).

3. (Opcional) En Etiqueta de nombre, introduzca un nombre para su puerta de enlace privada virtual. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

4. En Número de Sistema Autónomo (ASN), mantenga la selección predeterminada, ASN predeterminado de Amazon, para utilizar el ASN predeterminado de Amazon. De lo contrario, elija Custom ASN (ASN personalizado) y escriba un valor. Para un ASN de 16 bits ASN, el valor debe estar dentro del rango de 64 512 a 65 534. Para un ASN de 32 bits ASN, el valor debe estar dentro del rango de 4 200 000 000 a 4 294 967 294.

5. Elija Create virtual private gateway (Crear puerta de enlace privada virtual).

6. Seleccione la puerta de enlace privada virtual que ha creado y, a continuación, elija Actions (Acciones), Attach to VPC (Adjuntar a VPC).

7. En VPC disponibles, elija su VPC y después elija Asociar a la VPC.

Para crear una gateway privada virtual mediante la línea de comando o API

• CreateVpnGateway (API de consulta de Amazon EC2)

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

Para adjuntar una gateway privada virtual a una VPC mediante la línea de comando o API

• AttachVpnGateway (API de consulta de Amazon EC2)

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Crear una gateway de tránsito

Para obtener más información acerca de cómo crear una gateway de tránsito, consulte Gateways de tránsito en Gateways de tránsito de Amazon VPC.

Paso 3: Configuración del enrutamiento

Para permitir que las instancias de su VPC lleguen a la puerta de enlace de cliente, debe configurar la tabla de enrutamiento para incluir las rutas que utiliza la conexión de VPN y dirigirlas a la puerta de enlace privada virtual o a la puerta de enlace de tránsito.

(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento

Puede desactivar la propagación de rutas para que la tabla de enrutamiento propague automáticamente las rutas de Site-to-Site VPN.

Para el direccionamiento estático, los prefijos de IP estática que especifique en la configuración de su VPN se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP. Del mismo modo, para el direccionamiento dinámico, las rutas anunciadas mediante GBP de su gateway de cliente se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP.

nota

Si la conexión se interrumpe pero la conexión de VPN permanece ACTIVA, las rutas propagadas que se encuentren en la tabla de enrutamiento no se eliminarán automáticamente. Téngalo en cuenta si, por ejemplo, desea que el tráfico se conmute por error a una ruta estática. En dicho caso, es posible que tenga que deshabilitar la propagación de rutas para eliminar las rutas propagadas.

Para habilitar la propagación de rutas utilizando la consola

1. En el panel de navegación, elija Route Tables (Tablas de enrutamiento).

2. Seleccione la tabla de enrutamiento asociada a la subred.

3. En la pestaña Propagación de rutas, elija Editar propagación de rutas. Seleccione la puerta de enlace privada virtual que creó en el procedimiento anterior y, a continuación, elija Guardar.

nota

Si no activa la propagación de rutas, deberá introducir manualmente las rutas estáticas que utiliza su conexión de VPN. Para ello, seleccione su tabla de ruteo, elija Routes, Edit. En Destination (Destino), agregue la ruta estática que se utiliza en la conexión de Site-to-Site VPN. Para Target, seleccione el ID de gateway privada virtual y elija Save.

Para deshabilitar la propagación de rutas utilizando la consola

1. En el panel de navegación, elija Route Tables (Tablas de enrutamiento).

2. Seleccione la tabla de enrutamiento asociada a la subred.

3. En la pestaña Propagación de rutas, elija Editar propagación de rutas. Desactive la casilla Propagar correspondiente a la puerta de enlace privada virtual.

4. Seleccione Guardar.

Para habilitar la propagación de rutas mediante la línea de comando o un API

• EnableVgwRoutePropagation (API de consulta de Amazon EC2)

• enable-vgw-route-propagation (AWS CLI)

• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Para deshabilitar la propagación de rutas mediante la línea de comando o un API

• DisableVgwRoutePropagation (API de consulta de Amazon EC2)

• disable-vgw-route-propagation (AWS CLI)

• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Gateway de tránsito) Agregar una ruta a la tabla de enrutamiento

Si ha habilitado la propagación de la tabla de enrutamiento para la gateway de tránsito, las rutas de los datos adjuntos de VPN se propagarán a la tabla de rutas de la gateway de tránsito. Para obtener más información, consulte Direccionamiento en Gateways de tránsito de Amazon VPC.

Si asocia una VPC a la gateway de tránsito y desea habilitar recursos de la VPC para llegar a la gateway de cliente, tiene que agregar una ruta a la tabla de enrutamiento de subred para apuntar a la gateway de tránsito.

Para añadir una ruta a una tabla de ruteo de VPC

1. En el panel de navegación, elija Tablas de enrutamiento.

2. Elija la tabla de enrutamiento asociada a su VPC.

3. En la pestaña Routes (Rutas), elija Edit routes (Editar rutas).

4. Seleccione Add route (Añadir ruta).

5. En Destino, introduzca el intervalo de direcciones IP de destino. En Target (Destino), elija la gateway de tránsito.

6. Elija Guardar cambios.

Paso 4: Actualizar el grupo de seguridad

Para permitir el acceso a instancias en su VPC desde su red, debe actualizar las reglas del grupo de seguridad para habilitar acceso SSH, RDP e ICMP entrante.

Para agregar reglas a su grupo de seguridad con el fin de permitir el acceso

1. En el panel de navegación, elija Security Groups (Grupos de seguridad).

2. Seleccione el grupo de seguridad predeterminado para la VPC.

3. En la pestaña Inbound rules (Reglas de entrada), seleccione Edit inbound rules (Editar reglas de entrada).

4. Agregue reglas que permitan el acceso SSH, RDP e ICMP entrante desde su red y, a continuación, elija Guardar reglas. Para obtener más información, consulte Trabajar con reglas de grupos de seguridad en la Guía del usuario de Amazon VPC.

Paso 5: Crear una conexión de VPN

Cree la conexión de VPN mediante la puerta de enlace de cliente en combinación con la puerta de enlace privada virtual o la puerta de enlace de tránsito que creó anteriormente.

Para crear una conexión de VPN

1. En el panel de navegación, elija Conexiones de Site-to-Site VPN.

2. Elija Create VPN Connection (Crear conex‎ión VPN).

3. (Opcional) En Etiqueta de nombre, escriba el nombre de la conexión de VPN. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

4. En Target gateway type (Tipo de puerta de enlace de destino), elija Virtual private gateway (Puerta de enlace privada virtual) o Transit Gateway (Puerta de enlace de tránsito). A continuación, elija la gateway privada virtual o la gateway de tránsito que ha creado anteriormente.

5. En Puerta de enlace de cliente, seleccione Existente y, a continuación, elija la puerta de enlace de cliente que creó anteriormente en ID de puerta de enlace de cliente.

6. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):

   • Si el dispositivo de gateway de cliente da soporte a BGP, elija Dynamic (requires BGP) (Dinámico [requiere BGP]).

   • Si el dispositivo de gateway de cliente no da soporte a BGP, elija Static (Estático). En Static IP Prefixes (Prefijos de IP estática), especifique cada prefijo de IP para la red privada de su conexión de VPN.

7. Si la puerta de enlace de destino es la puerta de enlace de tránsito, en Túnel dentro de la versión IP, especifique si los túneles de la VPN admiten tráfico IPv4 o IPv6. El tráfico IPv6 solo es compatible con conexiones VPN en una gateway de tránsito.

8. Si especificó IPv4 para Túnel dentro de la versión IP, puede especificar opcionalmente los intervalos CIDR de IPv4 para la puerta de enlace de cliente y los lados de AWS que tienen permiso para comunicarse a través de los túneles de VPN. El valor predeterminado es 0.0.0.0/0.

   Si especificó IPv6 para Túnel dentro de la versión IP, puede especificar opcionalmente los intervalos CIDR de IPv6 para la puerta de enlace de cliente y los lados de AWS que tienen permiso para comunicarse a través de los túneles de VPN. El valor predeterminado para ambos rangos es ::/0.

9. En Tipo de dirección IP externa, mantenga la opción predeterminada, PublicIpv4.

10. (Opcional) En Opciones de túnel, puede especificar la siguiente información para cada túnel:

    • Un bloque CIDR IPv4 de tamaño /30 desde el rango 169.254.0.0/16 para las direcciones IPv4 de túnel interior.

    • Si especificó IPv6 en Túnel dentro de la versión IP, un bloque de CIDR IPv6 /126 del intervalo fd00::/8 para las direcciones IPv6 del túnel interior.

    • La clave previamente compartida de IKE (PSK). Las siguientes versiones son compatibles: IKEv1 o IKEv2.

    • Para editar las opciones avanzadas del túnel, seleccione Editar opciones de túnel. Para obtener más información, consulte Opciones de túnel de VPN.

11. Elija Create VPN Connection (Crear conex‎ión VPN). Es posible que la conexión de VPN tarde unos minutos en crearse.

Para crear una conexión de VPN mediante la línea de comandos o la API

• CreateVpnConnection (API de consulta de Amazon EC2)

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

Paso 6: Descargar el archivo de configuración

Después de crear la conexión de VPN, podrá descargar un archivo de configuración de muestra que podrá utilizar para configurar el dispositivo de puerta de enlace de cliente.

importante

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de VPN prevista en su totalidad. Especifica los requisitos mínimos para una conexión de Site-to-Site VPN de AES128, SHA1 y Diffie-Hellman grupo 2 en la mayoría de las regiones de AWS, y AES128, SHA2 y Diffie-Hellman grupo 14 en las regiones GovCloud de AWS. También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.

Hemos agregado la compatibilidad con IKEv2 en los archivos de configuración para muchos dispositivos populares de gateway de cliente y continuaremos agregando archivos adicionales con el tiempo. Para obtener una lista de archivos de configuración con compatibilidad con IKEv2, consulte Su dispositivo de gateway de cliente.

Permisos

Para cargar correctamente la pantalla de configuración de descarga desde la AWS Management Console, debe asegurarse de que su rol de IAM o usuario tienen permiso para las siguientes API de Amazon EC2: GetVpnConnectionDeviceTypes y GetVpnConnectionDeviceSampleConfiguration.

Para descargar el archivo de configuración mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Conexiones de Site-to-Site VPN.

3. Seleccione su conexión de VPN y elija Descargar configuración.

4. Seleccione el Proveedor, la Plataforma , el Software y la Versión de IKE que corresponda al dispositivo de puerta de enlace de cliente. Si su dispositivo no aparece en la lista, seleccione Generic (Genérico).

5. Elija Download (Descargar).

Para descargar un archivo de configuración de ejemplo mediante la línea de comandos o API

• GetVPNConnectionDeviceTypes (API de consulta de Amazon EC2)

• GetVPNConnectionDevicesAmplipleConfiguration (API de consulta de Amazon EC2)

• get-vpn-connection-device-types (AWS CLI)

• get-vpn-connection-device-sample-configuration (AWS CLI)

Paso 7: Configurar el dispositivo de puerta de enlace de cliente

Utilice el archivo de configuración de ejemplo para configurar su dispositivo de gateway de cliente. El dispositivo de puerta de enlace de cliente es un dispositivo físico o de software en su lado de la conexión de VPN. Para obtener más información, consulte Su dispositivo de gateway de cliente.