Configuración de Windows Server como dispositivo de gateway de cliente

Puede configurar el servidor que ejecute Windows Server como dispositivo de gateway de cliente para la VPC. Utilice el siguiente proceso tanto si ejecuta Windows Server en una instancia de EC2 en una VPC o en su propio servidor. Los siguientes procedimientos se aplican a Windows Server 2012 R2 y versiones posteriores.

Configuración de instancias de Windows

Si configura Windows Server en una instancia EC2 iniciada desde una AMI de Windows, haga lo siguiente:

• Deshabilite la comprobación de origen/destino para la instancia:

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. Seleccione la instancia de Windows y elija Actions (Acciones), Networking (Redes), Change source/destination check (Cambiar comprobación de origen o destino). Elija Stop (Detener)y, a continuación, seleccione Save (Guardar).

• Actualice la configuración del adaptador para poder direccionar el tráfico procedente de otras instancias:

  1. Conéctese a la instancia de Windows. Para obtener más información, consulte Conexión con la instancia de Windows.

  2. Abra el Panel de control e inicie el Administrador de dispositivos.

  3. Expanda el nodo Adaptadores de red.

  4. Seleccione el adaptador de red (según el tipo de instancia, puede ser Amazon Elastic Network Adapter o Intel 82599 Virtual Function) y elija Action (Acción), Properties (Propiedades).

  5. En la pestaña Advanced, deshabilite las propiedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4) y UDP Checksum Offload (IPv4) y, a continuación, elija OK.

• Asigne una dirección IP elástica a su cuenta y asóciela a la instancia. Para obtener más información, consulte Uso de direcciones IP elásticas. Anote esta dirección, ya que la necesitará para crear la gateway de cliente en su VPC.

• Asegúrese de que las reglas del grupo de seguridad de su instancia permiten el tráfico IPsec saliente. De forma predeterminada, un grupo de seguridad permite todo el tráfico saliente. No obstante, si el estado original de las reglas salientes del grupo de seguridad se ha modificado, debe crear las siguientes reglas de protocolo personalizadas de salida para el tráfico IPsec: protocolo IP 50, protocolo IP 51 y UDP 500.

Tome nota del intervalo CIDR de la red en la que se encuentra la instancia de Windows, por ejemplo, 172.31.0.0/16.

Paso 1: Crear una conexión de VPN y configurar la VPC

Para crear una conexión VPN desde la VPC, haga lo siguiente:

1. Cree una gateway privada virtual y conéctela a su VPC. Para obtener más información, consulte Creación de una gateway privada virtual.

2. A continuación, cree una conexión de VPN y una nueva gateway para cliente. Para la gateway de cliente, especifique la dirección IP pública del servidor de Windows. Para la conexión de VPN, elija el direccionamiento estático y, a continuación, escriba el intervalo de CIDR de la red en la que se encuentra el servidor de Windows, por ejemplo, 172.31.0.0/16. Para obtener más información, consulte Paso 5: Crear una conexión de VPN.

Después de crear la conexión VPN, configure la VPC para habilitar la comunicación a través de la conexión VPN.

Para configurar la VPC

• Cree una subred privada en la VPC (en caso de que no disponga de ninguna) para lanzar instancias que se comunicarán con el servidor de Windows. Para obtener más información, consulte Creación de una subred en la VPC.

  nota

  La subred privada es una subred que no dispone de una ruta a ninguna gateway de Internet. El direccionamiento de esta subred se describe en la sección siguiente.

• Actualice las tablas de ruteo de la conexión de VPN:

  • Agregue una ruta a la tabla de rutas de la subred privada con la gateway privada virtual como destino y la red del servidor de Windows (intervalo CIDR) como destino. Para obtener más información, consulte Agregar y eliminar rutas de una tabla de rutas en la Guía del usuario de Amazon VPC.

  • Habilite la propagación de rutas para la gateway privada virtual. Para obtener más información, consulte (Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento.

• Cree un grupo de seguridad para las instancias que permita la comunicación entre la VPC y la red:

  • Añada reglas que permitan el acceso a SSH o RDP entrante desde su red. Esto le permitirá conectarse a instancias de su VPC desde la red. Por ejemplo, para permitir a los equipos de la red obtener acceso a instancias de Linux de su VPC, cree una regla entrante del tipo SSH y establezca el origine en el rango de CIDR de su red (por ejemplo, 172.31.0.0/16). Para obtener más información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

  • Añada una regla que permita el acceso a ICMP entrante desde su red. Esto permite probar la conexión VPN al hacer ping a una instancia de la VPC desde el servidor de Windows.

Paso 2: Descargar el archivo de configuración de la conexión de VPN

Puede utilizar la consola de Amazon VPC a fin de descargar un archivo de configuración de servidor de Windows para la conexión de VPN.

Para descargar el archivo de configuración

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).

3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).

4. Seleccione Microsoft como proveedor, Windows Server como plataforma y 2012 R2 como software. Elija Descargar. Puede abrir el archivo o guardarlo.

El archivo de configuración contiene una sección de información similar a la del siguiente ejemplo. Verá esta información presentada dos veces, una vez para cada túnel.

vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

La dirección IP que especificó para la gateway del cliente al crear la conexión de VPN.

Remote Tunnel Endpoint

Una de las dos direcciones IP de la puerta de enlace privada virtual que termina la conexión VPN en el AWS lado de la conexión.

Endpoint 1

El prefijo de IP que especificó como ruta estática al crear la conexión de VPN. Estas son las direcciones IP de su red que pueden utilizar la conexión de VPN para obtener acceso a su VPC.

Endpoint 2

Rango de direcciones IP (bloque de CIDR) de la VPC asociada a la gateway privada virtual (por ejemplo 10.0.0.0/16).

Preshared key

Clave previamente compartida que se utiliza para establecer la conexión de VPN IPsec entre el Local Tunnel Endpoint y el Remote Tunnel Endpoint.

Le sugerimos que configure ambos túneles como parte de la conexión VPN. Cada túnel se conecta a un concentrador de VPN independiente en el lado de Amazon de la conexión VPN. Aunque solo hay un túnel activo a la vez, el segundo túnel se establece automáticamente si el primero cae. Los túneles redundantes garantizan una disponibilidad continua en caso de fallo del dispositivo. Puesto que solo hay disponible un túnel cada vez, la consola de Amazon VPC indica que hay un túnel inactivo. Este es el comportamiento esperado, de modo que no necesita realizar ninguna acción.

Con dos túneles configurados, si se produce un fallo en un dispositivo interno AWS, la conexión VPN pasa automáticamente al segundo túnel de la puerta de enlace privada virtual en cuestión de minutos. Al configurar su dispositivo de gateway de cliente, es importante que configure ambos túneles.

nota

De vez en cuando, AWS realiza tareas de mantenimiento rutinarias en la puerta de enlace privada virtual. Este mantenimiento podría deshabilitar uno de los dos túneles de su conexión de VPN durante un breve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundo túnel mientras duren las tareas de mantenimiento.

La información adicional acerca del intercambio de claves por Internet (IKE) y las asociaciones de seguridad de IPsec (SA) se muestran en el archivo de configuración descargado.

MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2

MainModeSecMethods

Algoritmos de cifrado y autenticación para IKE SA. Estas son las configuraciones sugeridas destinadas a la conexión VPN y la configuración predeterminada para las conexiones VPN IPsec del servidor de Windows.

MainModeKeyLifetime

Vida útil de la clave de IKE SA.  Esta es la configuración sugerida para la conexión de VPN y la configuración predeterminada para las conexiones de VPN IPsec del servidor de Windows.

QuickModeSecMethods

Algoritmos de cifrado y autenticación para IPsec SA. Estas son las configuraciones sugeridas destinadas a la conexión VPN y la configuración predeterminada para las conexiones VPN IPsec del servidor de Windows.

QuickModePFS

Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesiones de IPsec.

Paso 3: Configuración de Windows Server

Antes de configurar el túnel VPN, debe instalar y configurar los servicios de direccionamiento y acceso remoto en el servidor de Windows. De esta forma, los usuarios remotos podrán obtener acceso a los recursos de su red.

Para instalar servicios de direccionamiento y acceso remoto

1. Inicie sesión en su servidor de Windows.

2. Vaya al menú Inicio y elija Administrador del servidor.

3. Instale los servicios de acceso remoto y direccionamiento:

   1. Desde el menú Administrar, elija Agregar roles y características.

   2. En la página Antes de comenzar, asegúrese de que su servidor cumple todos los requisitos previos. A continuación, elija Siguiente.

   3. Elija Instalación basada en características o en roles y, a continuación, elija Siguiente.

   4. Elija Select a server from the server pool (Seleccionar un servidor del grupo de servidores), seleccione el servidor de Windows y, a continuación, elija Next (Siguiente).

   5. Seleccione Servicios de acceso y directivas de redes en la lista. En el cuadro de diálogo que aparecerá, elija Agregar características para confirmar las características necesarias para esta función.

   6. En la misma lista, elija Acceso remoto y elija Siguiente.

   7. En la página Seleccionar características, elija Siguiente.

   8. En la página Servicios de acceso y directivas de redes, elija Siguiente.

   9. En la página Acceso remoto, elija Siguiente. En la página siguiente, seleccione DirectAccess una VPN (RAS). En el cuadro de diálogo que aparecerá, elija Agregar características para confirmar las características necesarias para este servicio de función. En la misma lista, elija Enrutamiento y, a continuación, elija Siguiente.

   10. En la página Rol de servidor web (IIS), elija Siguiente. Deje la selección predeterminada y elija Siguiente.

   11. Elija Instalar. Cuando finalice la instalación, elija Cerrar.

Para configurar y habilitar el servidor de enrutamiento y acceso remoto

1. En el panel, elija Notificaciones (icono con la marca). Debería haber una tarea para completar la configuración posterior a la implementación. Elija el enlace Abrir el Asistente para introducción.

2. Elija Implementar solo VPN.

3. En el cuadro de diálogo Enrutamiento y acceso remoto, elija el nombre del servidor, elija Acción y luego seleccione Configurar y habilitar Enrutamiento y acceso remoto.

4. En el Asistente para instalación del servidor de enrutamiento y acceso remoto, en la primera página, elija Siguiente.

5. En la página Configuración, elija Configuración personalizada y Siguiente.

6. Elija Enrutamiento LAN, Siguiente y Finalizar.

7. Cuando lo solicite el cuadro de diálogo Enrutamiento y acceso remoto, elija Iniciar servicio.

Paso 4: Configurar el túnel de VPN

Puede configurar el túnel VPN al ejecutar los scripts netsh incluidos en el archivo de configuración descargado o mediante la interfaz de usuario del servidor de Windows.

importante

Le sugerimos que utilice la clave maestra Perfect Forward Secret (PFS) para sus sesiones de IPSec. Si decide ejecutar el script netsh, incluye un parámetro para habilitar PFS (). qmpfs=dhgroup2 No puede habilitar PFS mediante la interfaz de usuario de Windows; debe hacerlo mediante la línea de comandos.

Opciones

• Opción 1: ejecutar el script netsh
• Opción 2: utilizar la interfaz de usuario del servidor de Windows

Opción 1: ejecutar el script netsh

Copie el script netsh del archivo de configuración descargado y reemplace las variables. A continuación se muestra un ejemplo de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puede sustituir el nombre recomendado (vgw-1a2b3c4d Tunnel 1) por el nombre que prefiera.

LocalTunnelEndpoint: Introduzca la dirección IP privada del servidor Windows de la red.

Endpoint1: el bloque de CIDR de la red en la que reside el servidor de Windows. Por ejemplo, 172.31.0.0/16. Rodee este valor con comillas dobles (“).

Endpoint2: bloque de CIDR de su VPC o subred de su VPC. Por ejemplo, 10.0.0.0/16. Rodee este valor con comillas dobles (“).

Ejecute el script actualizado en una ventana de símbolo del sistema en el servidor de Windows. (El signo ^ le permite cortar y pegar texto incluido en la línea de comandos). Para configurar el segundo túnel de VPN para esta conexión de VPN, repita el proceso utilizando el script netsh en el archivo de configuración.

Cuando haya terminado, vaya a Configurar el firewall de Windows.

Para obtener más información acerca de los parámetros netsh, consulte Comandos Netsh AdvFirewall Consec en la biblioteca de Microsoft. TechNet

Opción 2: utilizar la interfaz de usuario del servidor de Windows

También puede utilizar la interfaz de usuario del servidor de Windows para configurar el túnel de VPN.

importante

No puede habilitar la confidencialidad directa total (PFS) de clave maestra desde la interfaz de usuario del servidor de Windows. PFS debe habilitarse con la línea de comandos, tal como se describe en Habilitación de la confidencialidad directa total (PFS) de clave maestra.

Tareas

• Configurar una regla de seguridad para un túnel VPN
• Confirmar la configuración del túnel
• Habilitación de la confidencialidad directa total (PFS) de clave maestra
• Configurar el firewall de Windows

Configurar una regla de seguridad para un túnel VPN

En esta sección, configure una regla de seguridad en el servidor de Windows para crear un túnel VPN.

Para configurar una regla de seguridad para un túnel de VPN

1. Abra el administrador del servidor, elija Tools (Herramientas)y, a continuación, seleccione Windows Defender Firewall with Advanced Security (Firewall de Windows Defender con seguridad avanzada).

2. Seleccione Reglas de seguridad de conexión, elija Acción y, a continuación, Nueva regla.

3. En el Asistente para nueva regla de seguridad de conexión, en la página Tipo de regla, elija Túnel y, a continuación, elija Siguiente.

4. En la página Tipo de túnel, en ¿Qué tipo de túnel desea crear?, elija Configuración personalizada. En ¿Desea eximir las conexiones protegidas por IPsec de este túnel?, deje el valor predeterminado activado (No. Enviar todo el tráfico de red que coincida con esta regla de seguridad de la conexión por el túnel.) y, a continuación, elija Siguiente.

5. En la página Requisitos, seleccione Requerir autenticación para las conexiones entrantes. No establezca túneles para las conexiones salientes y, a continuación, seleccione Siguiente.

6. En la página Extremos de túnel, en ¿Qué equipos están en el Extremo 1?, elija Agregar. Escriba el intervalo de CIDR de la red (detrás del dispositivo de gateway de cliente del servidor de Windows, por ejemplo 172.31.0.0/16) y, a continuación, seleccione OK (Aceptar). El intervalo puede incluir la dirección IP de su dispositivo de gateway de cliente.

7. En ¿Cuál es el extremo de túnel local (más cercano a los equipos del Extremo 1)?, elija Editar. En el campo IPv4 address (Dirección IPv4), escriba la dirección IP privada del servidor de Windows y, a continuación, elija OK (Aceptar).

8. En ¿Cuál es el extremo de túnel remoto (más cercano a los equipos del Extremo 2)?, elija Editar. En el campo Dirección IPv4, escriba la dirección IP de la gateway privada virtual del Túnel 1 del archivo de configuración (consulte Remote Tunnel Endpoint) y, a continuación, elija Aceptar.

   importante

   Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar el punto de conexión para el Túnel 2.

9. En ¿Qué equipos están en el Extremo 2?, elija Agregar. En el campo Esta dirección IP o subred:, escriba el bloque de CIDR de su VPC y, a continuación, elija Aceptar.

   importante

   Debe desplazarse por el cuadro de diálogo hasta encontrar ¿Qué equipos están en el Extremo 2?. No elija Siguiente hasta que no haya completado este paso, ya que, de lo contrario, no podrá conectarse a su servidor.

   

10. Asegúrese de que todos los parámetros especificados son correctos. A continuación, elija Siguiente.

11. En la página Método de autenticación, seleccione Avanzado y elija Personalizar.

12. En Métodos de primera autenticación, elija Agregar.

13. Seleccione Clave previamente compartida, escriba el valor de la clave previamente compartida del archivo de configuración y luego elija Aceptar.

    importante

    Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar la clave previamente compartida para el Túnel 2.

14. Asegúrese de que la opción La primera autenticación es opcional no esté seleccionada y, a continuación, elija Aceptar.

15. Elija Siguiente.

16. En la página Perfil, active las tres casillas de verificación: Dominio, Privado y Público. Elija Siguiente.

17. En la página Nombre, escriba un nombre para la regla de conexión, por ejemplo, VPN to Tunnel 1 y, a continuación, elija Finalizar.

Repita el procedimiento anterior, especificando los datos para el túnel 2 de su archivo de configuración.

Una vez que haya terminado, tendrá dos túneles configurados para su conexión de VPN.

Confirmar la configuración del túnel

Para confirmar la configuración del túnel

1. Abra Administrador del servidor, elija Herramientas, seleccione Firewall de Windows con seguridad avanzada y, a continuación, seleccione Reglas de seguridad de conexión.

2. Realice las comprobaciones siguientes para ambos túneles:

   • Habilitado está configurado con el valor Yes.

   • Extremo 1 corresponde con el bloque de CIDR de su red.

   • Extremo 2 corresponde con el bloque de CIDR de su VPC.

   • El modo de autenticación está configurado con el valor Require inbound and clear outbound.

   • Método de autenticación está configurado como Custom.

   • Puerto de extremo 1 es Any.

   • Puerto de extremo 2 es Any.

   • Protocolo es Any.

3. Seleccione la primera regla y elija Propiedades.

4. En la pestaña Autenticación, en Método, elija Personalizar. Compruebe que el campo Métodos de primera autenticación contiene la clave previamente compartida correcta del archivo de configuración para el túnel y, a continuación, elija Aceptar.

5. En la pestaña Avanzado, asegúrese de que las opciones Dominio, Privado y Público estén seleccionadas.

6. En Túnel IPsec, elija Personalizar. Compruebe los siguientes parámetros de túnel IPsec y, a continuación, elija Aceptar. A continuación, vuelva a seleccionar Aceptar para cerrar el cuadro de diálogo.

   • La opción Usar túnel IPsec está seleccionada.

   • El punto de enlace del túnel local (más cercano al punto de enlace 1) contiene la dirección IP del servidor de Windows. Si su dispositivo de gateway de cliente es una instancia EC2, deberá indicar la dirección IP privada de la instancia.

   • Extremo de túnel remoto (más cercano al Extremo 2) contiene la dirección IP de la gateway privada virtual de este túnel.

7. Abra las propiedades del segundo túnel. Repita los pasos del 4 al 7 para este túnel.

Habilitación de la confidencialidad directa total (PFS) de clave maestra

La confidencialidad directa total (PFS) de clave maestra se puede habilitar mediante la línea de comandos. Esta característica no puede habilitarse desde la interfaz de usuario.

Para habilitar la confidencialidad directa total de clave maestra

1. En el servidor de Windows, abra una nueva ventana del símbolo del sistema.

2. Introduzca el comando siguiente sustituyendo rule_name por el nombre que asignó en la primera regla de conexión.

   netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Repta el paso 2 para el segundo túnel. Esta vez, sustituya rule_name por el nombre que asignó a la segunda regla de conexión.

Configurar el firewall de Windows

Tras configurar sus reglas de seguridad en el servidor, configure algunos ajustes básicos de IPsec para trabajar con la gateway privada virtual.

Para configurar el firewall de Windows

1. Abra el administrador del servidor, elija Tools (Herramientas), seleccione Windows Defender Firewall with Advanced Security (Firewall de Windows Defender con seguridad avanzada)y, a continuación, elija Properties (Propiedades).

2. En la pestaña Configuración IPsec, en Exenciones IPsec, asegúrese de que la opción ICMP está exento de IPsec está configurada con el valor No (predeterminado). Asegúrese de que la opción Autorización de túnel IPsec está configurada con la opción Ninguno.

3. En Predeterminados de IPsec, elija Personalizar.

4. En Intercambio de claves (modo principal), seleccione Avanzado y, a continuación, elija Personalizar.

5. En Personalizar configuración avanzada de intercambio de claves, en Métodos de seguridad, asegúrese de que se utilizan los siguientes valores predeterminados para la primera entrada:

   • Integridad: SHA-1

   • Cifrado: AES-CBC 128

   • Algoritmo de intercambio de claves: Grupo Diffie-Hellman 2

   • En Duración de la clave, asegúrese de que Minutos tenga el valor 480 y de que Sesiones tenga el valor 0.

   Estos valores corresponden a estas entradas en el archivo de configuración.

   MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
   MainModeKeyLifetime: 480min,0sec

6. En Opciones de intercambio de claves, seleccione Usar Diffie-Hellman para mayor seguridad y, a continuación, elija Aceptar.

7. En Protección de datos (modo rápido), seleccione Avanzado y, a continuación, elija Personalizar.

8. Seleccione Requerir cifrado para todas las reglas de seguridad de conexión que usan esta configuración.

9. En Integridad y cifrado de datos, deje los valores predeterminados:

   • Protocolo: ESP

   • Integridad: SHA-1

   • Cifrado: AES-CBC 128

   • Vigencia: 60 minutos

   Estos valores corresponden a la entrada del archivo de configuración que se muestra a continuación.

   QuickModeSecMethods: 
   ESP:SHA1-AES128+60min+100000kb

10. Elija Aceptar para volver al cuadro de diálogo Personalizar configuración IPsec y elija Aceptar de nuevo para guardar la configuración.

Paso 5: Habilitar la detección de gateways inactivas

A continuación, configure TCP para detectar cuándo una gateway deja de estar disponible. Para ello, modifique la siguiente clave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. No realice este paso hasta no haber completado las secciones anteriores. Después de cambiar la clave de registro, deberá reiniciar el servidor.

Para habilitar la detección de gateways inactivas

1. Desde su servidor Windows, inicie la línea de comandos o una PowerShell sesión e introduzca regedit para iniciar el Editor del Registro.

2. Expanda HKEY_LOCAL_MACHINE, expanda SYSTEM, expanda, expanda Servicios, expanda CurrentControlSetTcpip y, después, expanda Parámetros.

3. Desde el menú Editar, seleccione Nuevo y seleccione Valor de DWORD (32 bits).

4. Introduzca el EnableDeadnombre GWDetect.

5. Seleccione EnableDeadGWDetect y elija Editar, Modificar.

6. En Información del valor, escriba 1 y, a continuación, elija Aceptar.

7. Cierre el Editor del Registro y reinicie el servidor.

Para obtener más información, consulte EnableDeadGWDetect en la TechNetbiblioteca de Microsoft.

Paso 6: Comprobar la conexión de VPN

Para comprobar que la conexión de VPN está funcionando correctamente, lance una instancia en su VPC y asegúrese de que no tiene conexión a Internet. Después de lanzar la instancia, haga ping a la dirección IP privada desde el servidor de Windows. El túnel VPN aparece cuando se genera tráfico desde el dispositivo de gateway de cliente. Por lo tanto, el comando ping también inicia la conexión de VPN.

Si desea ver los pasos para probar la conexión de VPN, consulte Prueba de una conexión de Site-to-Site VPN.

En caso de error en el comando ping, compruebe la información siguiente:

• Asegúrese de haber configurado las reglas de su grupo de seguridad para que permitan ICMP en la instancia de su VPC. Si el servidor de Windows es una instancia EC2, asegúrese de que las reglas salientes de su grupo de seguridad permiten el tráfico IPsec. Para obtener más información, consulte Configuración de instancias de Windows.

• Asegúrese de que el sistema operativo de la instancia en la que está haciendo ping esté configurado para responder a ICMP. Le recomendamos que utilice una de las AMI de Amazon Linux.

• Si la instancia a la que va a hacer ping es una instancia de Windows, conéctese a la instancia y habilite ICMPv4 entrante en el firewall de Windows.

• Asegúrese de haber configurado las tablas de ruteo correctamente para su VPC o su subred. Para obtener más información, consulte Paso 1: Crear una conexión de VPN y configurar la VPC.

• Si el dispositivo de gateway del cliente es una instancia EC2, asegúrese de que ha deshabilitado la comprobación de origen o destino de la instancia. Para obtener más información, consulte Configuración de instancias de Windows.

En la consola de Amazon VPC, en la página VPN Connections, seleccione su conexión de VPN. El primer túnel está en estado activo. El segundo túnel debería configurarse, pero no se utiliza a menos que se desactive el primer túnel. Puede que los túneles cifrados tarden unos minutos en establecerse.