Introducción - AWS Site-to-Site VPN

Introducción

Utilice el siguiente procedimiento para configurar de forma manual una conexión de AWS Site-to-Site VPN. Durante la creación, se le pedirá que especifique una gateway privada virtual, una gateway de tránsito o “Not Associated” (No asociada) para el tipo de gateway de destino. Cuando se crea una conexión Site-to-Site VPN y se especifica la opción “Not Associated” (No asociada), puede elegir el tipo de gateway de destino más adelante o puede utilizarse como una conexión de Site-to-Site VPN para AWS Cloud WAN. En este procedimiento se describe la creación de una conexión de Site-to-Site VPN a través de una gateway privada virtual y se asume que tiene una VPC existente con una o más subredes.

Para configurar una conexión de Site-to-Site VPN con una gateway privada virtual, siga estos pasos:

Si necesita información sobre los pasos para crear una conexión de Site-to-Site VPN para utilizarla con AWS Cloud WAN, consulte Creación de una conexión de Site-to-Site VPN para AWS Cloud WAN.

Si necesita información sobre los pasos para crear una conexión de Site-to-Site VPN en una gateway de tránsito, consulte Creación de una vinculación de la VPN de gateway de tránsito.

Requisitos previos

Para establecer y configurar los componentes de una conexión de Site-to-Site VPN, necesita la siguiente información.

Elemento Información
Dispositivo de gateway de cliente El dispositivo físico o de software del lado de la conexión de VPN. Necesita el proveedor (por ejemplo, Cisco Systems), la plataforma (por ejemplo, ISR Series Routers) y la versión de software (por ejemplo, IOS 12.4).
Gateway de cliente Para crear el recurso de gateway de cliente en AWS, necesita la siguiente información:
  • La dirección IP direccionable de Internet para la interfaz externa del dispositivo

  • El tipo de direccionamiento: estático o dinámico

  • Para el direccionamiento dinámico: el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP)

  • (Opcional) Certificado privado de AWS Private Certificate Authority para autenticar su VPN

Para obtener más información, consulte Opciones de la gateway de cliente para su conexión de Site-to-Site VPN.

(Opcional) El ASN para el lado de AWS de una sesión de BGP

Debe especificarse al crear una gateway privada virtual o una gateway de tránsito. Si no especifica un valor, se aplica el ASN predeterminado. Para obtener más información, consulte Gateway privada virtual.

conexión de VPN Para crear una conexión de VPN, necesita la siguiente información:

Creación de una gateway de cliente

Una gateway de cliente proporciona información a AWS acerca de su dispositivo de gateway de cliente o aplicación de software. Para obtener más información, consulte Gateway de cliente.

Si tiene previsto usar un certificado privado para autenticar la VPN, cree un certificado privado a partir de una CA subordinada mediante AWS Private Certificate Authority. Para obtener información sobre la creación de un certificado privado, consulte la sección de creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority.

nota

Tiene que especificar una dirección IP o el nombre de recurso de Amazon del certificado privado.

Para crear una gateway de cliente con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Customer gateways (Puertas de enlace de cliente) y, a continuación, elija Create customer gateway (Crear puerta de enlace de cliente).

  3. Complete la siguiente información y, a continuación, elija Create customer gateway (Crear puerta de enlace de cliente):

    • (Opcional) En Name tag (Etiqueta de nombre), ingrese un nombre para la puerta de enlace de cliente. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

    • En BGP ASN, ingrese un número de sistema autónomo (ASN) para protocolo de puerta de enlace fronteriza (BGP) de la puerta de enlace de cliente.

    • (Opcional) En IP Address (Dirección IP), ingrese la dirección IP direccionable de Internet estática del dispositivo de puerta de enlace de cliente. Si el dispositivo de la puerta de enlace de cliente se encuentra detrás de un dispositivo NAT habilitado para NAT-T, utilice la dirección IP pública del dispositivo NAT.

    • (Opcional) Si desea utilizar un certificado privado, para Certificate ARN (ARN de certificado), elija el nombre de recurso de Amazon del certificado privado.

    • (Opcional) En Device (Dispositivo), ingrese un nombre para el dispositivo que aloja esta puerta de enlace de cliente.

Para crear una gateway de cliente mediante la línea de comando o API

Crear una gateway de destino

Para establecer una conexión de VPN entre la VPC y la red en las instalaciones, debe crear una gateway de destino en el lado de AWS de la conexión. La gateway de destino puede ser una gateway privada virtual o una gateway de tránsito.

Creación de una gateway privada virtual

Al crear una puerta de enlace privada virtual, puede especificar un número de sistema autónomo (ASN) privado personalizado en el lado de Amazon de la puerta de enlace o usar el ASN predeterminado de Amazon. Este ASN tiene que ser distinto del ASN especificado para la puerta de enlace de cliente.

Después de crear una gateway privada virtual, debe adjuntarla a su VPC.

Para crear una gateway privada virtual y adjuntarla a su VPC.

  1. En el panel de navegación, elija Virtual private gateways (Puertas de enlace privadas virtuales), Create virtual private gateway (Crear puerta de enlace privada virtual).

  2. (Opcional) Ingrese un nombre para la puerta de enlace privada virtual para ‎Name tag (Etiqueta de nombre). Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  3. ‎En Autonomous System Number (ASN) (Número de sistema autónomo [ASN]), deje la selección predeterminada para utilizar el ASN de Amazon predeterminado. De lo contrario, elija Custom ASN (ASN personalizado) y escriba un valor. Para un ASN de 16 bits ASN, el valor debe estar dentro del rango de 64 512 a 65 534. Para un ASN de 32 bits ASN, el valor debe estar dentro del rango de 4 200 000 000 a 4 294 967 294.

  4. (Opcional) Cree etiquetas adicionales para la puerta de enlace privada virtual si lo desea.

  5. Elija Create virtual private gateway (Crear puerta de enlace privada virtual).

  6. Seleccione la puerta de enlace privada virtual que ha creado y, a continuación, elija Actions (Acciones), Attach to VPC (Adjuntar a VPC).

  7. En ‎Available VPCs (VPC disponibles), seleccione la VPC de la lista y elija Attach to VPC (Adjuntar a VPC).

Para crear una gateway privada virtual mediante la línea de comando o API

Para adjuntar una gateway privada virtual a una VPC mediante la línea de comando o API

Crear una gateway de tránsito

Para obtener más información acerca de cómo crear una gateway de tránsito, consulte Gateways de tránsito en Gateways de tránsito de Amazon VPC.

Configuración del enrutamiento

Para que las instancias de la VPC puedan conectarse a la gateway de cliente, debe configurar la tabla de enrutamiento de forma que incluya las rutas que se utilizan en la conexión de Site-to-Site VPN y hacer que apunten a la gateway privada virtual o a la gateway de tránsito.

(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento

Puede desactivar la propagación de rutas para que la tabla de enrutamiento propague automáticamente las rutas de Site-to-Site VPN.

En el direccionamiento estático, los prefijos de IP estática que especifique en la configuración de la VPN se propagarán a la tabla de enrutamiento cuando el estado de la conexión de Site-to-Site VPN sea UP. Del mismo modo, en el direccionamiento dinámico, las rutas anunciadas mediante BGP desde la gateway de cliente se propagarán a la tabla de enrutamiento cuando el estado de la conexión de Site-to-Site VPN sea UP.

nota

Si la conexión se interrumpe pero la conexión de VPN permanece ACTIVA, las rutas propagadas que se encuentren en la tabla de enrutamiento no se eliminarán automáticamente. Téngalo en cuenta si, por ejemplo, desea que el tráfico se conmute por error a una ruta estática. En dicho caso, es posible que tenga que deshabilitar la propagación de rutas para eliminar las rutas propagadas.

Para habilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo asociada a la subred. De forma predeterminada, esta es la tabla de enrutamiento principal de la VPC.

  2. En la pestaña Route Propagation (Propagación de rutas) del panel de detalles, elija Edit route propagation (Editar propagación de rutas), seleccione la gateway privada virtual que creó en el procedimiento anterior y, a continuación, elija Save (Guardar).

nota

Si no habilita la propagación del enrutamiento, deberá ingresar manualmente las rutas estáticas utilizadas en la conexión de Site-to-Site VPN. Para ello, seleccione su tabla de ruteo, elija Routes, Edit. En Destination (Destino), agregue la ruta estática que se utiliza en la conexión de Site-to-Site VPN. Para Target, seleccione el ID de gateway privada virtual y elija Save.

Para deshabilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo asociada a la subred.

  2. Elija Route Propagation (Propagación de rutas) y Edit route propagation (Editar propagación de rutas). Elimine la selección de la casilla de verificación Propagate de la gateway privada virtual y elija Save.

Para habilitar la propagación de rutas mediante la línea de comando o un API

Para deshabilitar la propagación de rutas mediante la línea de comando o un API

(Gateway de tránsito) Agregar una ruta a la tabla de enrutamiento

Si ha habilitado la propagación de la tabla de enrutamiento para la gateway de tránsito, las rutas de los datos adjuntos de VPN se propagarán a la tabla de rutas de la gateway de tránsito. Para obtener más información, consulte Direccionamiento en Gateways de tránsito de Amazon VPC.

Si asocia una VPC a la gateway de tránsito y desea habilitar recursos de la VPC para llegar a la gateway de cliente, tiene que agregar una ruta a la tabla de enrutamiento de subred para apuntar a la gateway de tránsito.

Para añadir una ruta a una tabla de ruteo de VPC

  1. En el panel de navegación, elija Route Tables (Tablas de ruteo).

  2. Elija la tabla de enrutamiento asociada a su VPC.

  3. Elija la pestaña Routes (Rutas) y, a continuación, Edit routes (Editar rutas).

  4. Seleccione Add route (Añadir ruta).

  5. Introduzca el rango de direcciones IP de destino en la columna Destination (Destino). En Target (Destino), elija la gateway de tránsito.

  6. Elija Save routes (Guardar rutas) y, a continuación, elija Close (Cerrar).

Actualización de su grupo de seguridad

Para permitir el acceso a instancias en su VPC desde su red, debe actualizar las reglas del grupo de seguridad para habilitar acceso SSH, RDP e ICMP entrante.

Para añadir reglas a su grupo de seguridad para habilitar el acceso SSH, RDP e ICMP entrante

  1. En el panel de navegación, elija Security Groups y, a continuación, seleccione el grupo de seguridad predeterminado para la VPC.

  2. En la pestaña Inbound del panel de detalles, añada reglas que permitan el acceso SSH, RDP e ICMP entrante desde su red y, a continuación, elija Save. Para obtener más información acerca de cómo agregar reglas de entrada, consulte Agregar, eliminar y actualizar reglas en la Guía del usuario de Amazon VPC

Para obtener más información acerca del uso de grupos de seguridad a través de la AWS CLI, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

Crear una conexión de Site-to-Site VPN

Cree la conexión Site-to-Site VPN mediante la puerta de enlace de cliente y la puerta de enlace privada virtual o la puerta de enlace de tránsito que creó anteriormente.

Para crear una conexión de Site-to-Site VPN

  1. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones Site-to-Site VPN), Create VPN connection (Crear conexión VPN).

  2. (Opcional) En Name tag (Etiqueta de nombre), escriba el nombre de la conexión de Site-to-Site VPN. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  3. En Target gateway type (Tipo de puerta de enlace de destino), elija Virtual private gateway (Puerta de enlace privada virtual) o Transit Gateway (Puerta de enlace de tránsito). A continuación, elija la gateway privada virtual o la gateway de tránsito que ha creado anteriormente.

  4. En ‎Customer gateway (Puerta de enlace de cliente), seleccione Existing (Existente) y, a continuación, elija la puerta de enlace de cliente que creó anteriormente en la lista desplegable de Customer gateway ID (ID de puerta de enlace de cliente).

  5. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):

    • Si el dispositivo de gateway de cliente da soporte a BGP, elija Dynamic (requires BGP) (Dinámico [requiere BGP]).

    • Si el dispositivo de gateway de cliente no da soporte a BGP, elija Static (Estático). En Static IP Prefixes (Prefijos de IP estáticas), especifique el prefijo de cada IP de la red privada de la conexión de Site-to-Site VPN.

  6. (Opcional) Si la puerta de enlace de destino es puerta de enlace de tránsito, en Tunnel Inside IP Version (Versión de IP interna del túnel), especifique si los túneles de la VPN admiten tráfico IPv4 o IPv6. El tráfico IPv6 solo es compatible con conexiones VPN en una gateway de tránsito.

  7. (Opcional) Si especificó IPv4 para Tunnel Inside IP Version (Versión de IP interior del túnel), puede especificar opcionalmente los intervalos CIDR de IPv4 para la puerta de enlace de cliente y los lados de AWS que pueden comunicarse a través de los túneles VPN. El valor predeterminado es 0.0.0.0/0.

    (Opcional) Si especificó IPv6 para Tunnel Inside IP Version (Versión de IP interior del túnel), puede especificar opcionalmente los intervalos CIDR de IPv6 para la puerta de enlace de cliente y los lados de AWS que pueden comunicarse a través de los túneles VPN. El valor predeterminado para ambos rangos es ::/0.

  8. En Outside IP address type (Tipo de dirección IP externa), deje seleccionada la opción predeterminada de PublicIpv4.

  9. (Opcional) En Tunnel Options (Opciones de túnel), puede especificar la siguiente información para cada túnel:

    • Un bloque CIDR IPv4 de tamaño /30 desde el rango 169.254.0.0/16 para las direcciones IPv4 de túnel interior.

    • Si ha especificado IPv6 en Tunnel Inside IP Version (Versión de IP interna del túnel), un bloque CIDR IPv6 /126 del rango fd00::/8 para las direcciones IPv6 del túnel interior.

    • La clave previamente compartida de IKE (PSK). Las siguientes versiones son compatibles: IKEv1 o IKEv2.

    • Información avanzada del túnel, que incluye lo siguiente:

      • Algoritmos de cifrado para las fases 1 y 2 de las negociaciones IKE

      • Algoritmos de integridad para las fases 1 y 2 de las negociaciones IKE

      • Grupos Diffie-Hellman para las fases 1 y 2 de las negociaciones IKE

      • Versión IKE

      • Duración de las fases 1 y 2

      • Tiempo de margen de cambio de clave

      • Difusión de cambio de clave

      • Reproducción de tamaño de ventana

      • Intervalo de detección de pares muertos

      • Acción de tiempo de espera de detección de pares muertos

      • Acción de inicio

      • Opciones de registro de túnel de VPN

    Para obtener más información sobre estas opciones, consulte Opciones del túnel de una conexión de Site-to-Site VPN.

  10. Elija Create VPN Connection (Crear conex‎ión VPN). Puede tardar unos minutos en crear la conexión de Site-to-Site VPN.

Para crear una conexión de Site-to-Site VPN a través de la línea de comandos o la API

Para descargar el archivo de configuración

Una vez creada la conexión de Site-to-Site VPN, puede descargar un archivo de configuración de ejemplo que se utilizará para configurar el dispositivo de gateway de cliente.

importante

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de Site-to-Site VPN completamente. Especifica los requisitos mínimos para una conexión Site-to-Site VPN de AES128, SHA1 y Diffie-Hellman grupo 2 en la mayoría de Regiones AWS, y AES128, SHA2 y Diffie-Hellman grupo 14 en las Regiones AWS de GovCloud. También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.

Hemos agregado la compatibilidad con IKEv2 en los archivos de configuración para muchos dispositivos populares de gateway de cliente y continuaremos agregando archivos adicionales con el tiempo. Esta lista se actualizará a medida que se agreguen más archivos de configuración de ejemplo. Consulte Su dispositivo de gateway de cliente para obtener una lista completa de los archivos de configuración compatibles con IKEv2.

Para descargar el archivo de configuración desde AWS Management Console

nota

Para cargar correctamente la pantalla de configuración de descarga desde la AWS Management Console asegúrese de que su rol de IAM o usuario tiene permiso para las dos API de Amazon EC2 siguientes: GetVPNConnectionDeviceTypes y GetVPNConnectionDeviceSampleConfiguration.

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).

  3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).

  4. Seleccione el vendor, la platform, el software y la IKE version que corresponden a su dispositivo de gateway de cliente. Si su dispositivo no aparece en la lista, elija Generic.

  5. Elija Download (Descargar).

Para descargar un archivo de configuración de ejemplo mediante la línea de comandos AWS o API

Configurar el dispositivo de gateway de cliente

Utilice el archivo de configuración de ejemplo para configurar su dispositivo de gateway de cliente. El dispositivo de gateway de cliente es un dispositivo físico o de software que se encuentra en su extremo de la conexión de Site-to-Site VPN. Para obtener más información, consulte Su dispositivo de gateway de cliente.