Introducción - AWS Site-to-Site VPN

Introducción

Utilice los procedimientos siguientes para configurar manualmente la conexión de AWS Site-to-Site VPN. Puede crear una conexión Site-to-Site VPN con una gateway privada virtual o una gateway de tránsito como gateway de destino.

Para configurar una conexión Site-to-Site VPN, siga los pasos siguientes:

En este procedimiento se supone que dispone de una VPC con una o varias subredes.

Para ver los pasos para crear una conexión Site-to-Site VPN en una gateway de tránsito, consulte Creación de una vinculación de la VPN de gateway de tránsito.

Requisitos previos

Necesita la siguiente información para establecer y configurar los componentes de una conexión Site-to-Site VPN.

Elemento Información
Dispositivo de gateway de cliente El dispositivo físico o de software del lado de la conexión de VPN. Necesita el proveedor (por ejemplo, Cisco Systems), la plataforma (por ejemplo, ISR Series Routers) y la versión de software (por ejemplo, IOS 12.4).
Gateway de cliente Para crear el recurso de gateway de cliente en AWS, necesita la siguiente información:
  • La dirección IP direccionable de Internet para la interfaz externa del dispositivo

  • El tipo de direccionamiento: estático o dinámico

  • Para el direccionamiento dinámico: el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP)

  • (Opcional) Certificado privado de AWS Certificate Manager Private Certificate Authority para autenticar su VPN

Para obtener más información, consulte Opciones de gateway de cliente para su conexión de Site-to-Site VPN.

(Opcional) El ASN para el lado de AWS de una sesión BGP

Debe especificarse al crear una gateway privada virtual o una gateway de tránsito. Si no especifica un valor, se aplica el ASN predeterminado. Para obtener más información, consulte Gateway privada virtual.

conexión de VPN Para crear una conexión de VPN, necesita la siguiente información:

Creación de una gateway de cliente

Una gateway de cliente proporciona información a AWS acerca de su dispositivo de gateway de cliente o aplicación de software. Para obtener más información, consulte Gateway de cliente.

Si tiene previsto usar un certificado privado para autenticar la VPN, cree un certificado privado a partir de una CA subordinada mediante AWS Certificate Manager Private Certificate Authority. Para obtener información sobre la creación de un certificado privado, consulte la sección de creación y administración de una CA privada en la Guía del usuario de AWS Certificate Manager Private Certificate Authority.

nota

Tiene que especificar una dirección IP o el nombre de recurso de Amazon del certificado privado.

Para crear una gateway de cliente con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Customer Gateways y, a continuación, elija Create Customer Gateway.

  3. Complete la siguiente información y, a continuación, elija Create Customer Gateway:

    • (Opcional) En Name (Nombre), escriba un nombre para la gateway de cliente. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

    • Para Routing, seleccione el tipo de direccionamiento.

    • Para direccionamiento dinámico, para BGP ASN, escriba el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP).

    • (Opcional) para la IP Address (Dirección IP), escriba la dirección IP direccionable de Internet estática del dispositivo de gateway de cliente. Si su gateway de cliente se encuentra detrás de un dispositivo NAT habilitado para NAT-T, utilice la dirección IP pública del dispositivo NAT.

    • (Opcional) Si desea utilizar un certificado privado, para Certificate ARN (ARN de certificado), elija el nombre de recurso de Amazon del certificado privado.

Para crear una gateway de cliente mediante la línea de comando o API

Crear una gateway de destino

Para establecer una conexión de VPN entre la VPC y la red de las instalaciones, tiene que crear una gateway de destino en el lado de AWS de la conexión. La gateway de destino puede ser una gateway privada virtual o una gateway de tránsito.

Creación de una gateway privada virtual

Al crear una gateway privada virtual, puede especificar opcionalmente el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. Este ASN tiene que ser distinto del BGP ASN especificado para la gateway de cliente.

Después de crear una gateway privada virtual, debe adjuntarla a su VPC.

Para crear una gateway privada virtual y adjuntarla a su VPC.

  1. En el panel de navegación, elija Virtual Private Gateways, Create Virtual Private Gateway.

  2. (Opcional) Escriba un nombre para la gateway privada virtual. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  3. Para ASN, deje la selección predeterminada para utilizar el ASN de Amazon predeterminado. De lo contrario, elija Custom ASN (ASN personalizado) y escriba un valor. Para un ASN de 16 bits ASN, el valor debe estar dentro del rango de 64 512 a 65 534. Para un ASN de 32 bits ASN, el valor debe estar dentro del rango de 4 200 000 000 a 4 294 967 294.

  4. Elija Create Virtual Private Gateway.

  5. Seleccione la gateway privada virtual que ha creado y, a continuación, elija Actions, Attach to VPC.

  6. Seleccione la VPC en la lista y elija Yes, Attach.

Para crear una gateway privada virtual mediante la línea de comando o API

Para adjuntar una gateway privada virtual a una VPC mediante la línea de comando o API

Crear una gateway de tránsito

Para obtener más información acerca de cómo crear una gateway de tránsito, consulte la sección de gateways de tránsito en la Gateways de tránsito de Amazon VPC.

Configuración del enrutamiento

Para que las instancias de su VPC puedan conectarse con la gateway de cliente, debe configurar su tabla de enrutamiento para que incluya las rutas que utilicen su conexión de Site-to-Site VPN y hacer que apunten a su gateway privada virtual o a la gateway de tránsito.

(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento

Puede habilitar la propagación de rutas para que su tabla de enrutamiento propague automáticamente rutas de Site-to-Site VPN.

Para el direccionamiento estático, los prefijos de IP estática que especifique en la configuración de su Site-to-Site VPN se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP. Del mismo modo, para el direccionamiento dinámico, las rutas anunciadas mediante GBP desde su gateway de cliente se propagarán a la tabla de ruteo cuando el estado de la conexión de Site-to-Site VPN sea UP.

nota

Si la conexión se interrumpe pero la conexión de VPN permanece ACTIVA, las rutas propagadas que se encuentren en la tabla de enrutamiento no se eliminarán automáticamente. Téngalo en cuenta si, por ejemplo, desea que el tráfico se conmute por error a una ruta estática. En dicho caso, es posible que tenga que deshabilitar la propagación de rutas para eliminar las rutas propagadas.

Para habilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo asociada a la subred. De forma predeterminada, esta es la tabla de enrutamiento principal de la VPC.

  2. En la pestaña Route Propagation (Propagación de rutas) del panel de detalles, elija Edit (Editar), seleccione la gateway privada virtual que creó en el procedimiento anterior y, a continuación, elija Save (Guardar).

nota

Para el direccionamiento estático, si no habilita la propagación de rutas, deberá escribir manualmente las rutas estáticas que utiliza su conexión de Site-to-Site VPN. Para ello, seleccione su tabla de ruteo y elija Routes (Rutas), Edit (Editar). En Destination (Destino), agregue la ruta estática utilizada por su conexión de Site-to-Site VPN. En Target (Objetivo), seleccione el ID de gateway privada virtual y elija Save (Guardar).

Para deshabilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo asociada a la subred.

  2. Elija Route Propagation, Edit. Elimine la selección de la casilla de verificación Propagate de la gateway privada virtual y elija Save.

Para habilitar la propagación de rutas mediante la línea de comando o un API

Para deshabilitar la propagación de rutas mediante la línea de comando o un API

(Gateway de tránsito) Agregar una ruta a la tabla de enrutamiento

Si ha habilitado la propagación de la tabla de enrutamiento para la gateway de tránsito, las rutas de los datos adjuntos de VPN se propagarán a la tabla de rutas de la gateway de tránsito. Para obtener más información, consulte la sección de enrutamiento en la Gateways de tránsito de Amazon VPC.

Si asocia una VPC a la gateway de tránsito y desea habilitar recursos de la VPC para llegar a la gateway de cliente, tiene que agregar una ruta a la tabla de enrutamiento de subred para apuntar a la gateway de tránsito.

Para añadir una ruta a una tabla de ruteo de VPC

  1. En el panel de navegación, elija Route Tables (Tablas de ruteo).

  2. Elija la tabla de enrutamiento asociada a su VPC.

  3. Elija la pestaña Routes (Rutas) y, a continuación, Edit routes (Editar rutas).

  4. Seleccione Add route (Añadir ruta).

  5. Introduzca el rango de direcciones IP de destino en la columna Destination (Destino). En Target (Destino), elija la gateway de tránsito.

  6. Elija Save routes (Guardar rutas) y, a continuación, elija Close (Cerrar).

Actualización de su grupo de seguridad

Para permitir el acceso a instancias en su VPC desde su red, debe actualizar las reglas del grupo de seguridad para habilitar acceso SSH, RDP e ICMP entrante.

Para añadir reglas a su grupo de seguridad para habilitar el acceso SSH, RDP e ICMP entrante

  1. En el panel de navegación, elija Security Groups y, a continuación, seleccione el grupo de seguridad predeterminado para la VPC.

  2. En la pestaña Inbound del panel de detalles, añada reglas que permitan el acceso SSH, RDP e ICMP entrante desde su red y, a continuación, elija Save. Para obtener más información acerca de cómo agregar reglas entrantes, consulte Adición, eliminación y actualización de reglas en la Guía del usuario de Amazon VPC.

Para obtener más información acerca del uso de grupos de seguridad utilizando la AWS CLI, visite Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

Crear una conexión de Site-to-Site VPN

Cree la conexión Site-to-Site VPN mediante la gateway de cliente y la gateway privada virtual o la gateway de tránsito que creó anteriormente.

Para crear una conexión de Site-to-Site VPN

  1. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones de Site-to-Site VPN), Create VPN Connection (Crear conexión de VPN).

  2. (Opcional) En Name tag (Etiqueta de nombre), escriba el nombre de la conexión de Site-to-Site VPN. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  3. Para Target Gateway Type (Tipo de gateway de destino), elija Virtual Private Gateway (Gateway privada virtual) o Transit Gateway (Gateway de tránsito). A continuación, elija la gateway privada virtual o la gateway de tránsito que ha creado anteriormente.

  4. Para el Customer Gateway ID (ID de gateway de cliente), seleccione el gateway de cliente que ha creado anteriormente.

  5. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):

    • Si el dispositivo de gateway de cliente da soporte a BGP, elija Dynamic (requires BGP) (Dinámico [requiere BGP]).

    • Si el dispositivo de gateway de cliente no da soporte a BGP, elija Static (Estático). En Static IP Prefixes (Prefijos de IP estática), especifique cada prefijo de IP para la red privada de su conexión de Site-to-Site VPN.

  6. (Opcional) En Tunnel Options (Opciones de túnel), puede especificar la siguiente información para cada túnel:

    • Un bloque de CIDR de tamaño /30 desde el rango 169.254.0.0/16 para las direcciones IP de túnel interior.

    • La clave previamente compartida de IKE (PSK). Las siguientes versiones son compatibles: IKEv1 o IKEv2.

    • Información avanzada del túnel, que incluye lo siguiente:

      • Algoritmos de cifrado para las fases 1 y 2 de las negociaciones IKE

      • Algoritmos de integridad para las fases 1 y 2 de las negociaciones IKE

      • Grupos Diffie-Hellman para las fases 1 y 2 de las negociaciones IKE

      • Versión IKE

      • Duración de las fases 1 y 2

      • Tiempo de margen de cambio de clave

      • Difusión de cambio de clave

      • Reproducción de tamaño de ventana

      • Intervalo de detección de pares muertos

    Para obtener más información sobre estas opciones, consulte Opciones de túnel de Site-to-Site VPN para su conexión de Site-to-Site VPN.

  7. Elija Create VPN Connection (Crear conexión de VPN). Es posible que la conexión de Site-to-Site VPN tarde unos minutos en crearse.

Para crear una conexión de Site-to-Site VPN mediante la línea de comandos o la API

Para descargar el archivo de configuración

Después de crear la conexión de Site-to-Site VPN, descargue la información de configuración y utilícela para configurar el dispositivo de gateway de cliente o la aplicación de software.

importante

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de VPN prevista. Por ejemplo, especifica los requisitos mínimos de IKE versión 1, AES128, SHA1 y DH grupo 2 en la mayoría de las regiones de AWS, e IKE versión 1, AES128, SHA2 y DH grupo 14 en las regiones de AWS GovCloud. También especifica claves previamente compartidas para la autenticación. Tiene que modificar el archivo de configuración de ejemplo para aprovechar IKE versión 2, AES256, SHA256, otros grupos de DH como 2, 14-18, 22, 23 y 24, y certificados privados.

Si ha especificado opciones de túnel personalizadas al crear o modificar la conexión de Site-to-Site VPN, modifique el archivo de configuración de ejemplo para que coincida con la configuración personalizada de los túneles.

El archivo también contiene el valor de la dirección IP externa de la gateway privada virtual. Este valor es estático a menos que recree la conexión de VPN en AWS.

Para descargar el archivo de configuración

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).

  3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).

  4. Seleccione el proveedor, la plataforma y el software que corresponda al dispositivo o software de la gateway de cliente. Si su dispositivo no aparece en la lista, seleccione Generic (Genérico). Elija Download (Descargar).

Configurar el dispositivo de gateway de cliente

Utilice el archivo de configuración para configurar su dispositivo de gateway de cliente. El dispositivo de gateway de cliente es un dispositivo físico o de software en su lado de la conexión de Site-to-Site VPN. Para obtener más información, consulte Su dispositivo de gateway de cliente.