Ejemplos de configuraciones de dispositivos de gateway de cliente para el direccionamiento estático - AWS Site-to-Site VPN

Ejemplos de configuraciones de dispositivos de gateway de cliente para el direccionamiento estático

Archivos de configuración de ejemplo

Para descargar un archivo de configuración de ejemplo con valores específicos para la configuración de la conexión Site-to-Site VPN, utilice la consola de Amazon VPC, la línea de comandos AWS o la API de Amazon EC2. Para obtener más información, consulte Para descargar el archivo de configuración.

También puede descargar archivos de configuración de ejemplo genéricos para enrutamiento estático que no incluyan valores específicos de la configuración de conexión Site-to-Site VPN: static-routing-examples.zip

Los archivos utilizan valores de marcadores de posición para algunos componentes. Por ejemplo, usan:

  • Valores de ejemplo para el ID de conexión de VPN, el ID de gateway de cliente y el ID de gateway privada virtual

  • Marcadores de posición para los puntos de enlace de direcciones IP remotas de AWS (externas) (AWS_ENDPOINT_1 y AWS_ENDPOINT_2)

  • Un marcador de posición de posición para la dirección IP de la interfaz externa direccionable a Internet en el dispositivo de gateway de cliente (su-dirección-ip-cgw).

  • Un marcador de posición para el valor de clave previamente compartida (clave previamente compartida)

  • Valores de ejemplo de direcciones IP interiores para el túnel.

Además de proporcionar valores de marcadores de posición, en los archivos se especifican los requisitos mínimos para una conexión Site-to-Site VPN de AES128, SHA1 y grupo 2 de Diffie-Hellman en la mayoría de Regiones AWS, y AES128, SHA2 y Diffie-Hellman grupo 14 en las Regiones AWS de GovCloud. También se especifican claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.

En el siguiente diagrama se ofrece una descripción general de los diferentes componentes que se configuran en el dispositivo de gateway de cliente. Incluye valores de ejemplo para las direcciones IP de la interfaz del túnel.


                Dispositivo de gateway de cliente con direccionamiento estático

Procedimientos de interfaz de usuario para el direccionamiento estático

A continuación, se presentan algunos procedimientos de ejemplo para configurar un dispositivo de gateway de cliente a través de su interfaz de usuario (si está disponible).

Check Point

Estos son los pasos para configurar su dispositivo de gateway de cliente si su dispositivo es un dispositivo Check Point Security Gateway que ejecuta R77.10 o una versión posterior utilizando el sistema operativo Gaia y Check Point SmartDashboard. También puede consultar el artículo Check Point Security Gateway IPsec VPN to Amazon Web Services VPC en el centro de soporte técnico de Check Point.

Para configurar la interfaz de túnel

El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) de la gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice la información proporcionada en la sección IPSec Tunnel #1 del archivo de configuración. Para crear el segundo túnel, utilice los valores proporcionados en la sección IPSec Tunnel #2 del archivo de configuración.

  1. Abra el portal de Gaia de su dispositivo Check Point Security Gateway.

  2. Elija Network Interfaces, Add, VPN tunnel.

  3. En el cuadro de diálogo, configure los ajustes tal como se muestra y elija OK cuando haya terminado:

    • Para VPN Tunnel ID, escriba cualquier valor único, como 1.

    • Para Peer, escriba un nombre único para cada túnel, como AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.

    • Asegúrese de que la opción Numbered (Numerado) esté seleccionada y, en Local Address (Dirección local), escriba la dirección IP especificada para CGW Tunnel IP en el archivo de configuración; por ejemplo: 169.254.44.234.

    • Para Remote Address, escriba la dirección IP especificada para VGW Tunnel IP en el archivo de configuración; por ejemplo: 169.254.44.233.

    
                                    Cuadro de diálogo Add VPN Tunnel (Agregar túnel de VPN) de Check Point
  4. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado, cambie a clish ejecutando el siguiente comando: .: clish

  5. Para el túnel 1, ejecute el siguiente comando:

    set interface vpnt1 mtu 1436

    Para el túnel 2, ejecute el siguiente comando:

    set interface vpnt2 mtu 1436
  6. Repita estos pasos para crear un segundo túnel, utilizando la información de la sección IPSec Tunnel #2 del archivo de configuración.

Para configurar las rutas estáticas

En este paso, debe especificar la ruta estática de la subred en la VPC para que cada túnel le permita enviar tráfico a través de las interfaces del túnel. El segundo túnel permite la conmutación por error en caso de que haya un problema con el primer túnel. Si se detecta un problema, la ruta estática basada en políticas se quitará de la tabla de ruteo y se activará la segunda ruta. También debe habilitar la gateway de Check Point para hacer ping al otro extremo del túnel y comprobar si el túnel está activo.

  1. En el portal de Gaia, elija IPv4 Static Routes, Add.

  2. Especifique el CIDR de su subred; por ejemplo: ., 10.28.13.0/24.

  3. Elija Add Gateway, IP Address.

  4. Escriba la dirección IP especificada para VGW Tunnel IP en el archivo de configuración (por ejemplo: 169.254.44.233) y especifique una prioridad de 1.

  5. Seleccione Ping.

  6. Repita los pasos 3 y 4 para el segundo túnel, utilizando el valor VGW Tunnel IP de la sección IPSec Tunnel #2 del archivo de configuración. Especifique una prioridad de 2.

    
                                    Cuadro de diálogo Edit Destination Route (Editar ruta de destino) de Check Point
  7. Seleccione Save.

Si va a utilizar un clúster, repita los pasos anteriores para los demás miembros del clúster.

Para definir un nuevo objeto de red

En este paso, creará un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador de posición para el dominio de VPN.

  1. Abra Check Point SmartDashboard.

  2. Para Groups, abra el menú contextual y elija Groups, Simple Group. Puede utilizar el mismo grupo para cada objeto de red.

  3. Para Network Objects, abra el menú contextual (clic con el botón derecho) y elija New, Interoperable Device.

  4. Para Name (Nombre), escriba el nombre que ha proporcionado para cada túnel, por ejemplo: AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.

  5. Para IPv4 Address, escriba la dirección IP externa de la gateway privada virtual proporcionada en el archivo de configuración; por ejemplo: 54.84.169.196. Guarde la configuración y cierre el cuadro de diálogo.

    
                                    Cuadro de diálogo Interoperable Device (Dispositivo interoperable) de Check Point
  6. En SmartDashboard, abra las propiedades de su gateway y, en el panel Category, elija Topology.

  7. Para recuperar la configuración de la interfaz, elija Get Topology.

  8. En la sección VPN Domain (Dominio de VPN), elija Manually defined (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione OK.

    nota

    Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante, asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPN no estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtiene automáticamente.

  9. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección IPSec Tunnel #2 del archivo de configuración.

nota

Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster. Utilice las direcciones IP especificadas en el archivo de configuración.

Para crear y configurar los ajustes de comunidad de VPN, IKE e IPsec

En este paso, creará una comunidad de VPN en su gateway de Check Point, a la que agregará los objetos de red (dispositivos interoperables) para cada túnel. También configurará los ajustes de intercambio de claves por Internet (IKE) y de IPsec.

  1. En las propiedades de su gateway, elija IPSec VPN en el panel Category.

  2. Elija Communities, New, Star Community.

  3. Proporcione un nombre para su comunidad (por ejemplo, AWS_VPN_Star) y, a continuación, elija Center Gateways en el panel Category.

  4. Elija Add y agregue su gateway o clúster a la lista de gateways participantes.

  5. En el panel Category (Categoría), elija Satellite Gateways (Gateways satélite), Add (Agregar), y luego agregue los dispositivos interoperables que creó anteriormente (AWS_VPC_Tunnel_1 y AWS_VPC_Tunnel_2) a la lista de gateways participantes.

  6. En el panel Category, elija Encryption. En la sección Encryption Method, elija IKEv1 only. En la sección Encryption Suite, elija Custom, Custom Encryption.

  7. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija OK cuando haya terminado:

    • Propiedades de asociación de seguridad de IKE (fase 1):

      • Perform key exchange encryption with: AES-128

      • Perform data integrity with: SHA-1

    • Propiedades de asociación de seguridad de IPsec (fase 2):

      • Perform IPsec data encryption with: AES-128

      • Perform data integrity with: SHA-1

  8. En el panel Category, elija Tunnel Management. Elija Set Permanent Tunnels, On all tunnels in the community. En la sección VPN Tunnel Sharing, elija One VPN tunnel per Gateway pair.

  9. En el panel Category, expanda Advanced Settings y elija Shared Secret.

  10. Seleccione el nombre homólogo para el primer túnel, elija Edit (Editar) y escriba la clave previamente compartida según lo especificado en la sección IPSec Tunnel #1 del archivo de configuración.

  11. Seleccione el nombre homólogo para el segundo túnel, elija Edit (Editar) y escriba la clave previamente compartida según lo especificado en la sección IPSec Tunnel #2 del archivo de configuración.

    
                                    Cuadro de diálogo Interoperable Shared Secret (Secreto compartido interoperable) de Check Point
  12. Aún en la categoría Advanced Settings (Configuración avanzada), elija Advanced VPN Properties (Propiedades avanzadas de VPN), configure las propiedades según se indica y elija OK (Aceptar) cuando haya terminado:

    • IKE (fase 1):

      • Use Diffie-Hellman group (Usar el grupo Diffie-Hellman: Group 2

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (fase 2):

      • Elija Use Perfect Forward Secrecy

      • Use Diffie-Hellman group (Usar el grupo Diffie-Hellman: Group 2

      • Renegotiate IPsec security associations every 3600 seconds

Para crear reglas de firewall

En este paso, configurará una política con reglas de firewall y reglas de coincidencia direccional que permitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.

  1. En SmartDashboard, elija Global Properties para su gateway. En el panel Category, expanda VPN y elija Advanced.

  2. Elija Enable VPN Directional Match in VPN Column y guarde los cambios.

  3. En SmartDashboard, elija Firewall y cree una política con las siguientes reglas:

    • Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios.

    • Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios.

  4. Abra el menú contextual para la celda de la columna de VPN, y elija Edit Cell.

  5. En el cuadro de diálogo VPN Match Conditions, elija Match traffic in this direction only. Cree las siguientes reglas de coincidencia direccional; para ello, elija Add para cada una, y seleccione OK cuando haya terminado:

    • internal_clear > VPN community (Comunidad VPN) (la comunidad Star de VPN que creó antes; por ejemplo, AWS_VPN_Star)

    • VPN community > VPN community

    • Comunidad VPN > internal_clear

  6. En SmartDashboard, elija Policy, Install.

  7. En el cuadro de diálogo, elija su gateway y seleccione OK para instalar la política.

Para modificar la propiedad tunnel_keepalive_method

Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad de AWS VPN (consulte el paso 8).

De forma predeterminada, la propiedad tunnel_keepalive_method de una gateway de VPN está configurada como tunnel_test. Debe cambiar el valor a dpd. Cada gateway de VPN de la comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedad tunnel_keepalive_method, incluida cualquier gateway de VPN de terceros. No puede configurar mecanismos de monitorización distintos para la misma gateway.

Puede actualizar la propiedad tunnel_keepalive_method utilizando la herramienta GuiDBedit.

  1. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management Server.

  2. Elija File, Database Revision Control..., y cree una instantánea de revisión.

  3. Cierre todas las ventanas de SmartConsole, como SmartDashboard, SmartView Tracker y SmartView Monitor.

  4. Inicie la herramienta GuiBDedit. Para obtener más información, consulte el artículo Check Point Database Tool, en el centro de soporte técnico de Check Point.

  5. Elija Security Management Server, Domain Management Server.

  6. En el panel superior izquierdo, elija Table, Network Objects, network_objects.

  7. En el panel superior derecho, seleccione el objeto de Security Gateway, Cluster correspondiente.

  8. Presione CTRL+F, o utilice el menú Search para buscar lo siguiente: tunnel_keepalive_method.

  9. En el panel inferior, abra el menú contextual de tunnel_keepalive_method y seleccione Edit... (Editar...). Elija dpd y luego OK (Aceptar).

  10. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de AWS VPN.

  11. Elija File, Save All.

  12. Cierre la herramienta GuiDBedit.

  13. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management Server.

  14. Instale la política en el objeto Security Gateway, Cluster correspondiente.

Para obtener más información, consulte el artículo New VPN features in R77.10, en el centro de soporte técnico de Check Point.

Para habilitar el bloqueo TCP MSS

El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar la fragmentación de los paquetes.

  1. Vaya al siguiente directorio: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Abra la herramienta Check Point Database ejecutando el archivo GuiDBEdit.exe.

  3. Elija Table, Global Properties, properties.

  4. Para fw_clamp_tcp_mss, elija Edit. Cambie el valor a true y elija OK.

Para verificar el estado del túnel

Puede verificar el estado del túnel ejecutando el siguiente comando desde la herramienta de línea de comandos en el modo experto.

vpn tunnelutil

En las opciones que aparecen, elija 1 para verificar las asociaciones de IKE y 2 para verificar las asociaciones de IPsec.

También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexión se están cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado a través del túnel 1 y se ha cifrado.


                            Archivo de registro de Check Point
SonicWALL

El procedimiento siguiente muestra cómo configurar los túneles de VPN en el dispositivo SonicWALL utilizando la interfaz de gestión SonicOS.

Para configurar los túneles

  1. Abra la interfaz de gestión SonicWALL SonicOS.

  2. En el panel izquierdo, elija VPN, Settings. En VPN Policies, elija Add....

  3. En la ventana de política de VPN de la pestaña General , complete la información siguiente:

    • Policy Type (Tipo de política): seleccione Tunnel Interface (Interfaz de túnel).

    • Authentication Method: elija IKE using Preshared Secret.

    • Name: escriba un nombre para la política de VPN. Le recomendamos utilizar el nombre del ID de VPN tal como se indica en el archivo de configuración.

    • Nombre o dirección de gateway principal de IPsec: escriba la dirección IP de la gateway privada virtual tal como se indica en el archivo de configuración (por ejemplo, 72.21.209.193).

    • IPsec Secondary Gateway Name or Address: deje el valor predeterminado.

    • Shared Secret: escriba la clave previamente compartida tal como se indica en el archivo de configuración y vuelva a escribirla en Confirm Shared Secret.

    • Local IKE ID: escriba la dirección IPv4 de la gateway de cliente (dispositivo SonicWALL).

    • Peer IKE ID: escriba la dirección IPv4 de la gateway privada virtual.

  4. En la pestaña Network, complete la información siguiente:

    • En Local Networks, elija Any address. Se recomienda utilizar esta opción para evitar problemas de conectividad en su red local.

    • En Remote Networks, elija Choose a destination network from list. Cree un objeto de dirección con el CIDR de su VPC en AWS.

  5. En la pestaña Proposals (Propuestas), complete la información siguiente:

    • En IKE (Phase 1) Proposal, haga lo siguiente:

      • Exchange: elija Main Mode.

      • DH Group (Grupo de DH): escriba un valor para el grupo Diffie-Hellman (por ejemplo, 2).

      • Encryption: elija AES-128 o AES-256.

      • Authentication: elija SHA1 o SHA256.

      • Life Time: escriba 28800.

    • En IKE (Phase 2) Proposal, haga lo siguiente:

      • Protocol: elija ESP.

      • Encryption: elija AES-128 o AES-256.

      • Authentication: elija SHA1 o SHA256.

      • Seleccione la casilla de verificación Enable Perfect Forward Secrecy y elija el grupo Diffie-Hellman.

      • Life Time: escriba 3600.

    importante

    Si creó su gateway privada virtual antes de octubre de 2015, debe especificar el grupo 2 de Diffie-Hellman, AES-128 y SHA1 para ambas fases.

  6. En la pestaña Advanced, complete la información siguiente:

    • Seleccione Enable Keep Alive.

    • Seleccione Enable Phase2 Dead Peer Detection y escriba lo siguiente:

      • En Dead Peer Detection Interval, escriba 60 (este es el valor mínimo que puede aceptar el dispositivo SonicWALL).

      • En Failure Trigger Level, escriba 3.

    • En VPN Policy bound to, seleccione Interface X1. Esta es la interfaz que suele designarse para las direcciones IP públicas.

  7. Seleccione OK. En la página Settings, debe seleccionar la casilla de verificación Enable para el túnel de manera predeterminada. El punto verde indica que el túnel está activo.

Información adicional para dispositivos Cisco

Algunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA, solo puede tener un túnel activo cada vez. El otro túnel en espera se activará si el primer túnel se vuelve no disponible. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Cisco ASA a partir de la versión 9.7.1 y posteriores admiten el modo Activo/Activo. Al utilizar estos Cisco ASA, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Para los dispositivos Cisco, debe hacer lo siguiente:

  • Configurar la interfaz externa.

  • Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.

  • Asegurarse de que el número de secuencia de política de Crypto List es único.

  • Asegurarse de que Crypto IPsec Transform Set y la secuencia de política de Crypto ISAKMP son coherentes con los demás túneles IPsec que están configurados en el dispositivo.

  • Asegurarse de que el número de monitorización de SLA es único.

  • Configurar todo el direccionamiento interno que mueve el tráfico entre el dispositivo de gateway de cliente y su red local.

Testing

Para obtener más información acerca de cómo probar la conexión de Site-to-Site VPN, consulte Prueba de la conexión de Site-to-Site VPN.