AWS Site-to-Site VPN
Guía del usuario

Introducción

Utilice los procedimientos siguientes para configurar manualmente la conexión de AWS Site-to-Site VPN. Como opción, puede utilizar el asistente para la creación de VPC para realizar todos estos pasos. Para obtener más información acerca de la utilización del asistente de creación de VPC para configurar la gateway privada virtual, consulte Escenario 3: VPC con subredes públicas y privadas y acceso de AWS Site-to-Site VPN o Escenario 4: VPC solo con una subred privada y acceso AWS Site-to-Site VPN en la Guía del usuario de Amazon VPC.

Siga los pasos que se describen a continuación para configurar una conexión de Site-to-Site VPN:

En este procedimiento se supone que dispone de una VPC con una o varias subredes.

Creación de una gateway de cliente

Una gateway de cliente proporciona información a AWS acerca de su dispositivo de gateway de cliente o aplicación de software. Para obtener más información, consulte Gateway de cliente.

Para crear una gateway de cliente con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Customer Gateways (Gateways de cliente) y, a continuación, elija Create Customer Gateway (Crear gateway de cliente).

  3. Complete la siguiente información y, a continuación, elija Create Customer Gateway (Crear gateway de cliente):

    • (Opcional) En Name (Nombre), escriba un nombre para su gateway de cliente. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

    • En Routing (Direccionamiento), seleccione el tipo de direccionamiento.

    • Para direccionamiento dinámico, para BGP ASN (ASN de BGP), escriba el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP).

    • En IP Address (Dirección IP), escriba la dirección IP estática direccionable de Internet de su dispositivo de gateway de cliente. Si su gateway de cliente se encuentra detrás de un dispositivo NAT habilitado para NAT-T, utilice la dirección IP pública del dispositivo NAT.

Para crear una gateway de cliente mediante la línea de comandos o la API

Creación de una gateway privada virtual

Al crear una gateway privada virtual, puede especificar opcionalmente el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. El ASN debe ser distinto del BGP ASN especificado para la gateway de cliente.

Después de crear una gateway privada virtual, debe asociarla a su VPC.

Para crear una gateway privada virtual y asociarla a su VPC.

  1. En el panel de navegación, elija Virtual Private Gateways, Create Virtual Private Gateway.

  2. (Opcional) Escriba un nombre para su gateway privada virtual. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  3. En ASN, deje la selección predeterminada para utilizar el ASN de Amazon predeterminado. De lo contrario, elija Custom ASN (ASN predeterminado) y escriba un valor. Para un ASN de 16 bits ASN, el valor debe estar dentro del intervalo de 64512 a 65534. Para un ASN de 32 bits ASN, el valor debe estar dentro del intervalo de 4200000000 a 4294967294.

  4. Elija Create Virtual Private Gateway (Crear gateway privada virtual).

  5. Seleccione la gateway privada virtual que ha creado y, a continuación, elija Actions (Acciones), Attach to VPC (Asociar a VPC).

  6. Seleccione la VPC en la lista y elija Yes, Attach (Sí, asociar).

Para crear una gateway privada virtual mediante la línea de comandos o la API

Para asociar una gateway privada virtual a una VPC mediante la línea de comandos o la API

Habilitación de la propagación de rutas en su tabla de ruteo

Para que las instancias de su VPC puedan conectarse con la gateway de cliente, debe configurar su tabla de ruteo para que incluya las rutas que utiliza su conexión de Site-to-Site VPN y hacer que apunten a su gateway privada virtual. Puede habilitar la propagación de rutas para que su tabla de ruteo propague automáticamente dichas rutas a la tabla.

Para el direccionamiento estático, los prefijos de IP estática que especifique en la configuración de su Site-to-Site VPN se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP. Del mismo modo, para el direccionamiento dinámico, las rutas anunciadas mediante GBP desde su gateway de cliente se propagarán a la tabla de ruteo cuando el estado de la conexión de Site-to-Site VPN sea UP.

nota

Si una conexión se interrumpe, las rutas propagadas en la tabla de ruteo no se retiran automáticamente. Puede ser necesario deshabilitar la propagación de rutas para retirar las rutas propagadas (por ejemplo, si desea que el tráfico conmute por error a una ruta estática).

Para habilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la tabla de ruteo asociada a la subred. De manera predeterminada, esta es la tabla de ruteo principal de la VPC.

  2. En la pestaña Route Propagation (Propagación de rutas) del panel de detalles, elija Edit (Editar), seleccione la gateway privada virtual que creó en el procedimiento anterior y, a continuación, elija Save (Guardar).

nota

Para el direccionamiento estático, si no habilita la propagación de rutas, deberá escribir manualmente las rutas estáticas que utiliza su conexión de Site-to-Site VPN. Para ello, seleccione su tabla de ruteo y elija Routes (Rutas), Edit (Editar). En Destination (Destino), añada la ruta estática utilizada por su conexión de Site-to-Site VPN. En Target (Objetivo), seleccione el ID de gateway privada virtual y elija Save (Guardar).

Para deshabilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Route Tables (Tablas de ruteo) y, a continuación, seleccione la tabla de ruteo asociada a la subred.

  2. Elija Route Propagation (Propagación de rutas), Edit (Editar). Desactive la casilla de verificación Propagate (Propagar) de la gateway privada virtual y elija Save (Guardar).

Para habilitar la propagación de rutas mediante la línea de comandos o la API

Para deshabilitar la propagación de rutas mediante la línea de comandos o la API

Actualización de su grupo de seguridad

Para permitir el acceso a instancias en su VPC desde su red, debe actualizar las reglas del grupo de seguridad para habilitar acceso SSH, RDP e ICMP entrante.

Para añadir reglas a su grupo de seguridad para habilitar el acceso SSH, RDP e ICMP entrante

  1. En el panel de navegación, elija Security Groups (Grupos de seguridad) y, a continuación, seleccione el grupo de seguridad predeterminado para la VPC.

  2. En la pestaña Inbound (Entrada) del panel de detalles, añada reglas que permitan el acceso SSH, RDP e ICMP entrante desde su red y, a continuación, elija Save (Guardar). Para obtener más información acerca de la adición de reglas entrantes, consulte Adición, eliminación y actualización de reglas en la Guía del usuario de Amazon VPC.

Para obtener más información acerca del uso de grupos de seguridad utilizando la AWS CLI, visite Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

Creación de una conexión de Site-to-Site VPN y configuración de la gateway de cliente

Después de crear la conexión de Site-to-Site VPN, descargue la información de configuración y utilícela para configurar el dispositivo de gateway de cliente o la aplicación de software.

Para crear una conexión de Site-to-Site VPN y configurar la gateway de cliente

  1. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones de Site-to-Site VPN), Create VPN Connection (Crear conexión de VPN).

  2. Complete la siguiente información y, a continuación, elija Create VPN Connection (Crear conexión de VPN):

    • (Opcional) En Name tag (Etiqueta de nombre), escriba un nombre para su conexión de Site-to-Site VPN. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

    • Seleccione la gateway privada virtual que creó anteriormente.

    • Seleccione la gateway de cliente que creó anteriormente.

    • Seleccione una de las opciones de direccionamiento en función de si el router de su VPN admite el protocolo de gateway fronteriza (BGP):

      • Si el router de su VPN admite BGP, elija Dynamic (requires BGP) (Dinámico (requiere BGP)).

      • Si el router de su VPN no admite BGP, elija Static (Estático). En Static IP Prefixes (Prefijos de IP estática), especifique cada prefijo de IP para la red privada de su conexión de Site-to-Site VPN.

    • En Tunnel Options (Opciones de túnel), puede especificar opcionalmente la siguiente información para cada túnel:

      • Un bloque de CIDR de tamaño /30 desde el intervalo 169.254.0.0/16 para las direcciones IP de túnel interior.

      • La clave previamente compartida de IKE (PSK). Las siguientes versiones son compatibles: IKEv1 o IKEv2.

      Para obtener más información sobre estas opciones, consulte Configuración de los túneles de VPN para su conexión de Site-to-Site VPN.

    La creación de la conexión de Site-to-Site VPN puede tardar unos minutos. Cuando haya finalizado, seleccione la conexión y elija Download Configuration (Descargar configuración).

  3. En el cuadro de diálogo Download Configuration (Descargar configuración), seleccione el proveedor, la plataforma y el software que corresponde a su software o dispositivo de gateway de cliente y, a continuación, elija Yes, Download (Sí, descargar).

  4. Proporcione el archivo de configuración a su administrador de red junto con la guía siguiente: Guía para administradores de red de AWS Site-to-Site VPN. Cuando el administrador de red haya configurado la gateway de cliente, la conexión de Site-to-Site VPN estará operativa.

Para crear una conexión de Site-to-Site VPN mediante la línea de comandos o la API

Edición de las reglas estáticas de una conexión de Site-to-Site VPN

Para el direccionamiento estático, puede añadir, modificar o quitar las rutas estáticas de su configuración de VPN.

Para añadir, modificar o quitar una ruta estática

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).

  3. Elija Static Routes (Rutas estáticas), Edit (Editar).

  4. Modifique los prefijos IP estáticos existentes o elija Remove (Eliminar) para eliminarlos. Elija Add Another Rule (Añadir otra regla) para agregar un nuevo prefijo IP a su configuración. Cuando haya terminado, elija Save (Guardar).

nota

Si no ha habilitado la propagación de rutas en la tabla de ruteo, deberá actualizar manualmente las rutas de su tabla de ruteo para que reflejen los prefijos IP estáticos actualizados en su conexión de Site-to-Site VPN. Para obtener más información, consulte Habilitación de la propagación de rutas en su tabla de ruteo.

Para añadir una ruta estática mediante la línea de comando o un API

Para eliminar una ruta estática mediante la línea de comandos o la API

Sustitución de las credenciales filtradas

Si cree que las credenciales del túnel de su conexión de Site-to-Site VPN se han podido filtrar, cambie la clave de IKE previamente compartida. Para ello, elimine la conexión de Site-to-Site VPN, cree una nueva utilizando la misma gateway privada virtual y configure las nuevas claves en su gateway de cliente. Puede especificar sus claves previamente compartidas al crear la conexión de Site-to-Site VPN. También deberá asegurarse de que las direcciones internas y externas del túnel coincidan, ya que estas pueden cambiarse al volver a crear la conexión de Site-to-Site VPN. Mientras realiza el procedimiento, se detendrá la comunicación con las instancias de la VPC; sin embargo, las instancias seguirán funcionando de manera ininterrumpida. Cuando el administrador de red implemente la nueva información de configuración, la conexión de Site-to-Site VPN utilizará las nuevas credenciales y se reanudará la conexión de red a sus instancias de la VPC.

importante

Este procedimiento requiere la ayuda de su grupo de administradores de redes.

Para cambiar la clave de IKE previamente compartida

  1. Elimine la conexión de Site-to-Site VPN. Para obtener más información, consulte Eliminación de una conexión de Site-to-Site VPN. No es necesario eliminar la VPC ni la gateway privada virtual.

  2. Cree una nueva conexión de Site-to-Site VPN y especifique sus propias claves previamente compartidas para los túneles o deje que AWS genere nuevas claves previamente compartidas para usted. Para obtener más información, consulte Creación de una conexión de Site-to-Site VPN y configuración de la gateway de cliente.

  3. Descargue el nuevo archivo de configuración.