Opciones del túnel de una conexión de Site-to-Site VPN - AWS Site-to-Site VPN

Opciones del túnel de una conexión de Site-to-Site VPN

Utilice una conexión de Site-to-Site VPN para conectar la red remota a una VPC. Cada conexión Site-to-Site VPN tiene dos túneles y cada uno utiliza una dirección IP pública única. Es importante configurar ambos túneles para la redundancia. Cuando un túnel deja de estar disponible (por ejemplo, por tareas de mantenimiento), el tráfico de red se direcciona automáticamente al túnel disponible de esa conexión de Site-to-Site VPN específica.

En el siguiente diagrama, se muestran los dos túneles de una conexión de Site-to-Site VPN.

Cuando cree una conexión de Site-to-Site VPN, tendrá que descargar un archivo de configuración específico para su dispositivo de gateway de cliente, que contendrá información para configurar el dispositivo y también cada túnel. Si lo desea, puede especificar usted mismo algunas de las opciones del túnel al crear la conexión de Site-to-Site VPN. De lo contrario, AWS proporciona los valores predeterminados.

nota

Los puntos de enlace de túnel de Site-to-Site VPN evalúan las propuestas de la gateway del cliente comenzando por el valor configurado más bajo de la siguiente lista, independientemente del orden de la propuesta de la gateway del cliente. Puede utilizar el comando modify-vpn-connection-options para restringir la lista de opciones que aceptarán los puntos de enlace de AWS. Para obtener más información, consulte lasopciones de modify-vpn-connection en la Referencia de la línea de comandos de Amazon EC2.

A continuación, se muestran las opciones de túnel que puede configurar.

Tiempo de espera de detección de pares muertos (DPD)

La duración, en segundos, después de la cual se produce el tiempo de espera de DPD. Puede especificar 30 o un valor superior.

Predeterminado: 30

Acción de tiempo de espera de DPD

La acción que se debe realizar después de que se agote el tiempo de espera de detección de pares muertos (DPD). Puede especificar lo siguiente:

  • Clear: finalice la sesión de IKE cuando se cumpla el tiempo de espera de DPD (detenga el túnel y borre las rutas)

  • None: no realice ninguna acción cuando se cumpla el tiempo de espera de DPD

  • Restart: reinicie la sesión de IKE cuando se cumpla el tiempo de espera de DPD

Para obtener más información, consulte Opciones de inicio del túnel de Site-to-Site VPN.

Valor predeterminado: Clear

Opciones de registro de VPN

Con los registros de Site-to-Site VPN, puede obtener acceso a detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones de intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).

Para obtener más información, consulte Registros de AWS Site-to-Site VPN .

Formatos de registro disponibles: json, text

Versiones de IKE

Las versiones de IKE permitidas para el túnel de VPN. Puede especificar uno o varios valores predeterminados.

Predeterminado: ikev1, ikev2

Túnel interior de CIDR IPv4

Intervalo de direcciones IPv4 internas (internas) para el túnel VPN. Pude especificar un bloque de CIDR de tamaño /30 desde el rango 169.254.0.0/16. El bloque de CIDR debe ser único en todas las conexiones de Site-to-Site VPN que utilicen la misma gateway privada virtual.

nota

El bloque de CIDR no tiene por qué ser único en todas las conexiones de una puerta de enlace de tránsito. En caso de no ser único, puede crear un conflicto en la puerta de enlace de cliente. Tenga cuidado cuando vuelva a utilizar el mismo bloque de CIDR en varias conexiones de Site-to-Site VPN de una puerta de enlace de tránsito.

Los siguientes bloques de CIDR están reservados y no se pueden utilizar:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Predeterminado: un bloque de CIDR IPv4 de tamaño /30 del intervalo 169.254.0.0/16.

Túnel interior de CIDR IPv6

(Sólo conexiones VPN IPv6) Intervalo de direcciones IPv6 internas (internas) para el túnel VPN. Puede especificar un bloque CIDR de tamaño /126 desde el rango local fd00::/8. El bloque de CIDR debe ser único en todas las conexiones de Site-to-Site VPN que utilicen la misma gateway de tránsito.

Predeterminado: un bloque de CIDR IPv6 de tamaño /126 del intervalo local fd00::/8.

CIDR de red IPv4 local

(Sólo conexión VPN IPv4) Intervalo CIDR IPv4 en el lado de la gateway del cliente (en las instalaciones) que puede comunicarse a través de los túneles VPN.

Valor predeterminado: 0.0.0.0/0

CIDR de red IPv4 remota

(Solo conexión de VPN IPv4) El rango CIDR IPv4 en el lado de AWS que puede comunicarse a través de los túneles de VPN.

Valor predeterminado: 0.0.0.0/0

CIDR de red IPv6 local

(Sólo conexión VPN IPv6) Intervalo CIDR IPv6 en el lado de la gateway del cliente (local) que puede comunicarse a través de los túneles VPN.

Predeterminado። :/0

CIDR de red IPv6 remota

(Solo conexión de VPN IPv6) El rango CIDR IPv6 en el lado de AWS que puede comunicarse a través de los túneles de VPN.

Predeterminado። :/0

Números de grupo Diffie-Hellman (DH) de fase 1

Los números del grupo DH permitidos para el túnel de VPN para las negociaciones IKE de la fase 1. Puede especificar uno o varios valores predeterminados.

Predeterminado: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Números de grupo Diffie-Hellman (DH) de fase 2

Los números del grupo DH permitidos para el túnel de VPN para las negociaciones IKE de la fase 2. Puede especificar uno o varios valores predeterminados.

Predeterminado: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritmos de cifrado de la fase 1

Los algoritmos de cifrado permitidos para el túnel VPN para las negociaciones IKE de fase 1. Puede especificar uno o varios valores predeterminados.

Predeterminado: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algoritmos de cifrado de la fase 2

Los algoritmos de cifrado permitidos para el túnel VPN para las negociaciones IKE de fase 2. Puede especificar uno o varios valores predeterminados.

Predeterminado: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algoritmos de integridad de la fase 1

Los algoritmos de integridad permitidos para el túnel VPN para las negociaciones IKE de fase 1. Puede especificar uno o varios valores predeterminados.

Predeterminado: SHA-1, SHA2-256, SHA2-384, SHA2-512

Algoritmos de integridad de la fase 2

Los algoritmos de integridad permitidos para el túnel VPN para las negociaciones IKE de fase 2. Puede especificar uno o varios valores predeterminados.

Predeterminado: SHA-1, SHA2-256, SHA2-384, SHA2-512

Vida útil de la fase 1
nota

AWS inicia los cambios de clave con los valores de tiempo establecidos en los campos de vida útil de la fase 1 y 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.

La duración en segundos de la fase 1 de las negociaciones IKE. Puede especificar un número comprendido entre 900 y 28 800.

Predeterminado: 28 800 (8 horas)

Vida útil de la fase 2
nota

AWS inicia los cambios de clave con los valores de tiempo establecidos en los campos de vida útil de la fase 1 y 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.

La duración en segundos de la fase 2 de las negociaciones IKE. Puede especificar un número comprendido entre 900 y 3600. El número que especifique debe ser inferior al número de segundos para la duración de la fase 1.

Predeterminado: 3600 (1 hora)

Clave previamente compartida (PSK)

La clave previamente compartida (PSK) para establecer la asociación de seguridad de intercambio de claves de Internet (IKE) inicial entre la puerta de enlace de destino y la puerta de enlace de cliente.

La PSK debe tener un mínimo de 8 caracteres y un máximo de 64 y no puede comenzar por cero (0). Se permiten caracteres alfanuméricos, puntos (.) y guiones bajos (_).

Predeterminado: una cadena alfanumérica de 32 caracteres.

Difusión de cambio de clave

El porcentaje de la ventana de cambio de clave (determinado por el tiempo del margen de cambio de clave) dentro del cual se selecciona aleatoriamente el tiempo de cambio de clave.

Puede especificar un valor porcentual entre 0 y 100.

Predeterminado: 100

Tiempo de margen de cambio de clave

El tiempo de margen en segundos antes de que venza la duración de la fase 1 y 2, durante el cual el lado de AWS de la conexión VPN realiza un cambio de clave de IKE.

Puede especificar un número comprendido entre 60 y la mitad del valor de la duración de la fase 2.

El tiempo exacto de cambio de clave se selecciona aleatoriamente en función del valor de la difusión del cambio de clave.

Predeterminado: 540 (9 minutos)

Tamaño de paquetes del período de reproducción

El número de paquetes de un período de reproducción de IKE.

Puede especificar un valor comprendido entre 64 y 2048.

Predeterminado: 1024

Acción de inicio

La acción que se debe realizar al establecer el túnel para una conexión de VPN. Puede especificar lo siguiente:

  • Start: AWS inicia la negociación de IKE para mostrar el túnel. Solo se admite si la gateway del cliente está configurada con una dirección IP.

  • Add: su dispositivo de gateway de cliente debe iniciar la negociación de IKE para mostrar el túnel.

Para obtener más información, consulte Opciones de inicio del túnel de Site-to-Site VPN.

Valor predeterminado: Add

Puede especificar las opciones del túnel al crear una conexión de Site-to-Site VPN. También puede o modificar las opciones de túnel de una conexión de VPN existente. No puede configurar las opciones de túnel para una conexión AWS Classic VPN. Para obtener más información, consulte los siguientes temas: