Reglas de firewall para un dispositivo de pasarela de AWS Site-to-Site VPN clientes

Debe tener una dirección IP estática para utilizarla como punto final para los IPsec túneles que conectan el dispositivo de puerta de enlace del cliente con los AWS Site-to-Site VPN puntos finales. Si hay un firewall entre AWS y el dispositivo de pasarela del cliente, deben existir las reglas de las siguientes tablas para establecer los IPsec túneles. Las direcciones IP del AWS lado -estarán en el archivo de configuración.

Entrante (de Internet)

Regla de entrada I1
IP de origen	IP externa de Tunnel1
IP destino	Gateway de cliente
Protocolo	UDP
Puerto de origen	500
Destino	500
Regla de entrada I2
IP de origen	IP externa de Tunnel2
IP destino	Gateway de cliente
Protocolo	UDP
Puerto de origen	500
Puerto de destino	500
Regla de entrada I3
IP de origen	IP externa de Tunnel1
IP destino	Gateway de cliente
Protocolo	IP 50 () ESP
Regla de entrada I4
IP de origen	IP externa de Tunnel2
IP destino	Gateway de cliente
Protocolo	IP 50 (ESP)

Saliente (a Internet)

Regla de salida O1
IP de origen	Gateway de cliente
IP destino	IP externa de Tunnel1
Protocolo	UDP
Puerto de origen	500
Puerto de destino	500
Regla de salida O2
IP de origen	Gateway de cliente
IP destino	IP externa de Tunnel2
Protocolo	UDP
Puerto de origen	500
Puerto de destino	500
Regla de salida O3
IP de origen	Gateway de cliente
IP destino	IP externa de Tunnel1
Protocolo	IP 50 (ESP)
Regla de salida O4
IP de origen	Gateway de cliente
IP destino	IP externa de Tunnel2
Protocolo	IP 50 (ESP)

Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes. IKE Las reglas I3, I4, O3 y O4 permiten la transmisión de IPsec paquetes que contienen el tráfico de red cifrado.

nota

Si utiliza el NAT cruce (NAT-T) en su dispositivo, asegúrese de que el UDP tráfico del puerto 4500 también pueda pasar entre la red y los puntos finales. AWS Site-to-Site VPN Comprueba si tu dispositivo anuncia -T. NAT