AWS Site-to-Site VPN
Guía del usuario

¿Qué es AWS Site-to-Site VPN?

De manera predeterminada, las instancias que se lanzan en una Amazon VPC no pueden comunicarse con su propia red (remota). No obstante, puede habilitar el acceso a su red remota desde su VPC asociando una gateway privada virtual a la VPC, creando una tabla de ruteo personalizada, y actualizando las reglas del grupo de seguridad y creando una conexión de AWS Site-to-Site VPN (Site-to-Site VPN).

Aunque el término conexión de VPN es un término general, en esta documentación, una conexión de VPN hace referencia a la conexión entre su VPC y su red local. Site-to-Site VPN admite conexiones de VPN con cifrado Internet Protocol Security (IPsec).

Su conexión de Site-to-Site VPN es una AWS Classic VPN o una AWS VPN. Para obtener más información, consulte Categorías de AWS Site-to-Site VPN.

importante

Actualmente, no se admite el tráfico IPv6 mediante una conexión de Site-to-Site VPN.

Componentes de su Site-to-Site VPN

Las conexiones de Site-to-Site VPN constan de los componentes siguientes. Para obtener más información acerca de los límites de Site-to-Site VPN, consulte Límites de Amazon VPC en la Guía del usuario de Amazon VPC.

Gateway privada virtual

La gateway privada virtual es el concentrador VPN que se encuentra en el extremo de Amazon de la conexión de Site-to-Site VPN. Cree una gateway privada virtual y asóciela a la VPC desde la que desea crear una conexión de Site-to-Site VPN.

Al crear una gateway privada virtual, puede especificar el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. Si no especifica un ASN, la gateway privada virtual se crea con el ASN predeterminado (64512). No se puede cambiar el ASN una vez que ha creado la gateway privada virtual. Para comprobar el ASN de su gateway privada virtual, consulte sus detalles en la pantalla Virtual Private Gateways (Gateways privadas virtuales) en la consola de Amazon VPC o utilice el comando de la AWS CLI describe-vpn-gateways.

nota

Si crea su gateway privada virtual antes del 30-06-2018, el ASN predeterminado es 17493 en la región Asia Pacífico (Singapur), 10124 en la región Asia Pacífico (Tokio), 9059 en la región UE (Irlanda) y 7224 en todas las demás regiones.

AWS Transit Gateway

Puede modificar la gateway de destino de la conexión de AWS Site-to-Site VPN desde una gateway privada virtual por una gateway de tránsito. Una gateway de tránsito es un centro de tránsito que puede utilizar para interconectar sus Virtual Private Clouds (VPC) y las redes locales. Para obtener más información, consulte Modificación de una gateway de destino de la conexión de Site-to-Site VPN.

Gateway de cliente

La gateway de cliente es un dispositivo físico o aplicación de software en su extremo de la conexión de Site-to-Site VPN.

Para crear una conexión de AWS, debe crear un recurso de gateway de cliente en Site-to-Site VPN, que proporciona información a AWS acerca del dispositivo de gateway de cliente. La siguiente tabla describe la información que necesitará para crear un recurso de gateway de cliente.

Elemento Descripción

Dirección IP direccionable de Internet (estática) de la interfaz externa de la gateway de cliente.

El valor de dirección IP pública debe ser estático. Si su gateway de cliente se encuentra detrás de un dispositivo de conversión de direcciones de red (NAT) que admite NAT traversal (NAT-T), utilice la dirección IP pública de su dispositivo NAT y ajuste las reglas de su firewall para desbloquear el puerto UDP 4500.

El tipo de direccionamiento: estático o dinámico.

Para obtener más información, consulte Opciones de direccionamiento de Site-to-Site VPN.

(Solo direccionamiento dinámico) Número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) de la gateway de cliente.

Puede utilizar un ASN existente asignado a su red. Si no tiene ninguno, puede utilizar un ASN privado (en el intervalo 64512–65534).

Si utiliza el asistente para la creación de VPC de la consola para configurar su VPC, se utilizará automáticamente el valor 65000 como ASN.

Para utilizar Amazon VPC con una conexión de Site-to-Site VPN, usted o su administrador de red también deberán configurar la aplicación o el dispositivo de gateway de cliente en su red remota. Cuando se crea la conexión de Site-to-Site VPN, le facilitamos la información de configuración necesaria y el administrador de red normalmente lleva a cabo esta configuración. Para obtener información acerca de la configuración y los requisitos de la gateway de cliente, consulte Su gateway de cliente en la Guía para administradores de red de Amazon VPC.

El túnel de VPN aparece cuando el tráfico se genera desde su lado de la conexión de Site-to-Site VPN. La gateway privada virtual no es el iniciador; su gateway de cliente debe iniciar los túneles. Si su conexión de Site-to-Site VPN registra un periodo de inactividad (de unos 10 segundos, en función de su configuración), es posible que el túnel se ralentice. Para evitar este problema, utilice una herramienta de monitorización de red para generar pings keepalive como, por ejemplo, IP SLA.

Para obtener una lista de gateways de cliente probadas con Amazon VPC, consulte las preguntas frecuentes de Amazon Virtual Private Cloud.

Categorías de AWS Site-to-Site VPN

La conexión de Site-to-Site VPN es una conexión de AWS Classic VPN o una conexión de AWS VPN. Cualquier nueva conexión de Site-to-Site VPN que cree es una conexión de AWS VPN. Las siguientes características solo se admiten en conexiones de VPN AWS:

  • Internet Key Exchange versión 2 (IKEv2)

  • Recorrido de NAT

  • ASN de 4 bytes (además del ASN de 2 bytes)

  • Métricas de CloudWatch

  • Direcciones IP reutilizables para sus gateways de cliente

  • Opciones de cifrado adicionales; incluido el cifrado AES de 256 bits, hash SHA-2 y grupos adicionales Diffie-Hellman

  • Opciones de túnel configurables

  • ASN privado personalizado para el lado de Amazon de una sesión BGP

Puede averiguar la categoría de su conexión de Site-to-Site VPN utilizando la consola de Amazon VPC o una herramienta de línea de comandos.

Para identificar la categoría de Site-to-Site VPN mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).

  3. Seleccione la conexión de Site-to-Site VPN y compruebe el valor de Category (Categoría) en el panel de detalles. Un valor de VPN indica una conexión AWS VPN. Un valor de VPN-Classic indica una conexión AWS Classic VPN.

Para identificar la categoría de Site-to-Site VPN con una herramienta de la línea de comandos

  • Puede utilizar el comando de la AWS CLI describe-vpn-connections. En el resultado devuelto, busque y anote el valor de Category. Un valor de VPN indica una conexión AWS VPN. Un valor de VPN-Classic indica una conexión AWS Classic VPN.

    En el siguiente ejemplo, la conexión de Site-to-Site VPN es una conexión de AWS VPN.

    aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
    { "VpnConnections": [ { "VpnConnectionId": "vpn-1a2b3c4d", ... "State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34", "Type": "ipsec.1", "Category": "VPN" } ] }

También puede usar uno de los siguientes comandos:

Migración de AWS Classic VPN a AWS VPN

Si su conexión de Site-to-Site VPN existente es una conexión AWS Classic VPN, puede migrar a una conexión AWS VPN creando una nueva gateway privada virtual y conexión de Site-to-Site VPN, desasociando la antigua gateway privada virtual de su VPC y asociando la nueva gateway privada virtual a su VPC.

Si su gateway privada virtual existente está asociada a varias conexiones de Site-to-Site VPN, debe volver a crear cada conexión de Site-to-Site VPN para la nueva gateway privada virtual. Si hay varias interfaces virtuales privadas de AWS Direct Connect asociadas a su gateway privada virtual, debe volver a crear cada interfaz virtual privada para la nueva gateway privada virtual. Para obtener más información, consulte Creación de una interfaz virtual en la Guía del usuario de AWS Direct Connect.

Si su conexión de Site-to-Site VPN es una conexión de AWS VPN, no puede migrar a una conexión de AWS Classic VPN.

nota

Durante este procedimiento, la conectividad en la conexión VPC actual se interrumpe al deshabilitar la propagación de rutas y desasociar la gateway privada virtual antigua de su VPC. La conectividad se restaura cuando la nueva gateway privada virtual se asocia a su VPC y la nueva conexión de Site-to-Site VPN está activa. Asegúrese de planificar el tiempo de inactividad previsto.

Para migrar a una conexión AWS VPN

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Virtual Private Gateways (Gateways privadas virtuales), Create Virtual Private Gateway (Crear gateway privada virtual) y cree una gateway privada virtual.

  3. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones de Site-to-Site VPN), Create VPN Connection (Crear conexión de VPN). Especifique la información siguiente y elija Yes, Create (Sí, crear).

    • Virtual Private Gateway (Gateway privada virtual): seleccione la gateway privada virtual que creó en el paso anterior.

    • Customer Gateway (Gateway de cliente): elija Existing (Existente) y seleccione la gateway de cliente existente para su conexión AWS Classic VPN actual.

    • Especifique las opciones de direccionamiento según corresponda.

  4. Seleccione la nueva conexión de Site-to-Site VPN y elija Download Configuration (Descargar configuración). Descargue el archivo de configuración adecuado para su dispositivo de gateway de cliente.

  5. Utilice el archivo de configuración para configurar túneles de VPN en su dispositivo de gateway de cliente. Para ver ejemplos, consulte Guía para administradores de red de Amazon VPC. No habilite los túneles todavía. Póngase en contacto con su proveedor si necesita asesoramiento para mantener deshabilitados los túneles recién configurados.

  6. (Opcional) Cree la VPC de prueba y asocie la gateway privada virtual a la VPC de prueba. Cambie las direcciones de destino origen/dominio de cifrado según corresponda y pruebe la conectividad desde un host en su red local con una instancia de prueba en la VPC de prueba.

  7. Si está utilizando la propagación de rutas para su tabla de ruteo, elija Route Tables (Tablas de ruteo) en el panel de navegación. Seleccione la tabla de ruteo para su VPC y elija Route Propagation (Propagación de rutas), Edit (Editar). Desactive la casilla de verificación para la gateway privada virtual antigua y elija Save (Guardar).

    nota

    A partir de este paso, la conectividad se interrumpe hasta que la nueva gateway privada virtual se asocia y la nueva conexión de Site-to-Site VPN está activa.

  8. En el panel de navegación, elija Virtual Private Gateways (Gateways privadas virtuales). Seleccione la antigua gateway privada virtual y elija Actions (Acciones), Detach from VPC (Separar de la VPC), Yes, Detach (Sí, separar). Seleccione la nueva gateway privada virtual y elija Actions (Acciones), Attach to VPC (Asociar a la VPC). Especifique la VPC para su conexión de Site-to-Site VPN y elija Yes, Attach (Sí, asociar).

  9. En el panel de navegación, elija Route Tables (Tables de ruteo). Seleccione la tabla de ruteo para su VPC y realice una de las siguientes acciones:

    • Si está utilizando la propagación de rutas, elija Route Propagation (Propagación de rutas), Edit (Editar). Seleccione la nueva gateway privada virtual que ha asociado a la VPC y elija Save (Guardar).

    • Si está utilizando rutas estáticas, elija Routes (Rutas), Edit (Editar). Modifique la ruta para que apunte a la nueva gateway privada virtual y elija Save (Guardar).

  10. Habilite los nuevos túneles en su dispositivo de gateway de cliente y deshabilite los túneles antiguos. Para abrir el túnel, debe iniciar la conexión desde su red local.

    Si procede, compruebe su tabla de ruteo para asegurarse de que las rutas se están propagando. Las rutas se propagan a la tabla de ruteo cuando el estado del túnel de VPN es UP.

    nota

    Si necesita revertir a su configuración anterior, desasocie la nueva gateway privada virtual y siga los pasos 8 y 9 para volver a asociar a la antigua gateway privada virtual y actualizar las rutas.

  11. Si ya no necesita su conexión de AWS Classic VPN y no desea seguir incurriendo en cargos en la misma, quite las configuraciones de túnel anteriores de su dispositivo de gateway de cliente y elimine la conexión de Site-to-Site VPN. Para ello, vaya a Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN), seleccione la conexión de Site-to-Site VPN y elija Delete (Eliminar).

    importante

    Después de haber eliminado la conexión AWS Classic VPN, no puede revertir o migrar su conexión de AWS VPN de vuelta a una conexión AWS Classic VPN.