Su dispositivo de gateway de cliente - AWS Site-to-Site VPN

Su dispositivo de gateway de cliente

Un dispositivo de gateway de cliente es un dispositivo físico o de software que usted posee o administra en la red local (en su extremo de una conexión de Site-to-Site VPN). Usted o el administrador de red tienen que configurar el dispositivo para que funcione con la conexión de Site-to-Site VPN.

En el siguiente diagrama se muestra su red, el dispositivo de gateway de cliente y la conexión de VPN que va a una gateway privada virtual (anexa a su VPC). Las dos líneas entre el dispositivo de gateway de cliente y la gateway privada virtual representan los túneles para la conexión de VPN. Si se produce un error del dispositivo en AWS, su conexión de VPN cambiará automáticamente al segundo túnel para que su acceso no se vea interrumpido. Cada cierto tiempo, AWS también lleva a cabo un mantenimiento rutinario en la conexión de VPN, lo que podría desactivar uno de los dos túneles de la conexión de VPN durante un breve periodo. Para obtener más información, consulte Sustitución de los puntos de enlace de un túnel de Site-to-Site VPN . Por lo tanto, al configurar el dispositivo de gateway de cliente, es importante que configure ambos túneles.


            Introducción a la gateway de cliente de alto nivel

Si desea ver los pasos necesarios para configurar una conexión de VPN, consulte Introducción. Durante este proceso, crea un recurso de gateway de cliente en AWS, que proporciona información a AWS sobre el dispositivo como, por ejemplo, su dirección IP pública. Para obtener más información, consulte Opciones de la gateway de cliente para su conexión de Site-to-Site VPN . El recurso de gateway de cliente en AWS no configura ni crea el dispositivo de gateway de cliente. Debe configurar el dispositivo usted mismo.

También puede encontrar dispositivos de VPN por software en AWS Marketplace.

Archivos de configuración de ejemplo

Después de crear la conexión de VPN, también tiene la opción de descargar un proporcionado por AWS el archivo de configuración de ejemplo desde la consola de Amazon VPC o mediante la API de EC2. Para obtener más información, consulte Para descargar el archivo de configuración. También puede descargar archivos .zip de configuraciones de ejemplo específicamente para enrutamiento estático frente a dinámico:

Descargar archivos .zip

El archivo de configuración de ejemplo proporcionado por AWS contiene información específica de su conexión de VPN que puede usar para configurar su dispositivo de gateway de cliente. Estos archivos de configuración específicos del dispositivo sólo están disponibles para los dispositivos que han sido probados por AWS. Si su dispositivo específico gateway de cliente no aparece en la lista, puede descargar un archivo de configuración genérico para empezar.

importante

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de Site-to-Site VPN completamente. Especifica los requisitos mínimos para una conexión Site-to-Site VPN de AES128, SHA1 y Diffie-Hellman grupo 2 en la mayoría de Regiones AWS, y AES128, SHA2 y Diffie-Hellman grupo 14 en las Regiones AWS de GovCloud. También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.

nota

Estos archivos de configuración específicos del dispositivo son proporcionados por AWS en la medida de lo posible. Si bien han sido probados por AWS, esta prueba es limitada. Si experimenta un problema con los archivos de configuración, es posible que deba contactar al proveedor específico para obtener asistencia adicional.

La tabla siguiente contiene una lista de dispositivos que tienen un archivo de configuración de ejemplo disponible para descargar que se ha actualizado para ser compatible con IKEv2. Hemos agregado la compatibilidad con IKEv2 en los archivos de configuración para muchos dispositivos populares de gateway de cliente y continuaremos agregando archivos adicionales con el tiempo. Esta lista se actualizará a medida que se agreguen más archivos de configuración de ejemplo.

Proveedor Plataforma Software

Punto de comprobación

Gaia

R80.10+

Cisco Meraki

Serie MX

15.12+ (WebUI)

Cisco Systems, Inc.

Serie ASA 5500

ASA 9.7+ VTI

Cisco Systems, Inc.

AMI CSrV

IOS 12.4+

Fortinet

Serie Fortigate 40+

ForTIOS 6.4.4+ (GUI)

Juniper Networks, Inc.

Routers Serie J

JunOS 9.5+

Juniper Networks, Inc.

Routers SRX

JunOS 11.0+

Mikrotik

RouterOS

6.44.3

Palo Alto Networks

Serie PA

PANOS 7.0+

SonicWall

NSA, TZ

OS 6.5

Sophos

Sophos Firewall

v19+

Strongswan

Ubuntu 16.04

Strongswan 5.5.1+

Yamaha

Routers RTX

Rev.10.01.16+

Requisitos para el dispositivo de gateway del cliente

Si tiene un dispositivo que no está en la lista de ejemplos anterior, en esta sección se describen los requisitos que debe cumplir para que pueda utilizarse con una conexión de Site-to-Site VPN.

Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientes símbolos representan cada parte de la configuración.

Asociación de seguridad de intercambio de claves de Internet (IKE). Necesaria para intercambiar claves utilizadas para establecer la asociación de seguridad de IPsec.

Asociación de seguridad IPsec. Gestiona el cifrado del túnel, la autenticación, etc.

Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel.

(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Para dispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente y la gateway privada virtual.

En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (a modo de referencia) y comentarios acerca de los requisitos.

Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación de seguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitación es de una única pareja de asociación de seguridad (SA) por túnel (un entrante y uno saliente) y, por lo tanto, dos únicas parejas de SA en total para los dos túneles (cuatro SA). Algunos dispositivos utilizan una VPN basada en políticas y crean tantas SA como entradas de ACL. Por lo tanto, es posible que necesite consolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.

De forma predeterminada, el túnel de VPN aparece cuando se genera tráfico y se inicia la negociación de IKE desde el lado de la conexión de VPN. Puede configurar la conexión de VPN para iniciar la negociación de IKE desde el lado de la conexión AWS. Para obtener más información, consulte Opciones de inicio del túnel de Site-to-Site VPN .

Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviado tráfico de renegociación.

Requisito RFC Comentarios

Establecimiento de una asociación de seguridad de IKE

RFC 2409

RFC 7296

La asociación de seguridad de IKE se establece primero entre la gateway privada virtual y el dispositivo de gateway de cliente mediante una clave compartida previamente o un certificado privado que usen AWS Private Certificate Authority como autenticador. Cuando se establece, IKE negocia una clave efímera para proteger los mensajes futuros de IKE. Tiene que haber un acuerdo completo entre los parámetros, incluidos los parámetros de cifrado y autenticación.

Al crear una conexión de VPN en AWS, puede especificar su propia clave previamente compartida para cada túnel o puede dejar que AWS genere una automáticamente. Como opción alternativa, puede especificar el certificado privado mediante AWS Private Certificate Authority para utilizarlo para el dispositivo de gateway de cliente. Para obtener más información sobre la configuración de túneles de VPN, consulte Opciones del túnel de una conexión de Site-to-Site VPN.

Las siguientes versiones son compatibles: IKEv1 e IKEv2.

El modo principal solo se admite con IKEv1.

El servicio Site-to-Site VPN es una solución basada en rutas. Si utiliza una configuración basada en políticas, debe limitar su configuración a una asociación de seguridad (SA) única.

Establecimiento de asociaciones de seguridad de IPsec en modo de túnel

RFC 4301

Mediante la clave efímera de IKE, se establecen las claves entre la gateway privada virtual y el dispositivo de gateway de cliente para crear una asociación de seguridad (SA) de IPsec. El tráfico entre las gateways se cifra y se descifra mediante esta SA. IKE cambia automáticamente las claves efímeras utilizadas para cifrar el tráfico dentro de la SA de IPsec de forma periódica para garantizar la confidencialidad de las comunicaciones.

Uso del cifrado AES de 128 bits o la función de cifrado AES de 256 bits

RFC 3602

La función de cifrado se utiliza para garantizar la privacidad entre las asociaciones de seguridad de IKE y de IPsec.

Uso de la función de hash SHA-1 o SHA-2 (256)

RFC 2404

Esta función de hash se utiliza para autenticar asociaciones de seguridad de IKE y de IPsec.

Uso de la confidencialidad directa total Diffie-Hellman

RFC 2409

IKE utiliza Diffie-Hellman para establecer claves efímeras para proteger todas las comunicaciones entre los dispositivos de gateway de cliente y las gateways privadas virtuales.

Se admiten los siguientes grupos:

  • Grupos de fase 1: 2, 14-24

  • Grupos de fase 2: 2, 5, 14-24

(Conexiones de VPN enrutadas dinámicamente) Uso de la detección de pares muertos de IPsec

RFC 3706

La detección de pares muertos permite a los dispositivos de VPN identificar rápidamente cuándo una condición de red impide la entrega de paquetes a través de Internet. Cuando esto sucede, las gateways eliminan las asociaciones de seguridad e intentan crear nuevas asociaciones. Durante este proceso, se utiliza el túnel IPsec alternativo, si es posible.

(Conexiones de VPN enrutadas dinámicamente) Vincular el túnel a la interfaz lógica (VPN basada en rutas)

Ninguno

El dispositivo debe poder vincular el túnel IPSec a una interfaz lógica. La interfaz lógica contiene una dirección IP utilizada para establecer el intercambio de tráfico BGP con la gateway privada virtual. Esta interfaz lógica no debería realizar ninguna encapsulación adicional (por ejemplo, GRE o IP en IP). Su interfaz debería configurarse en una unidad de transmisión máxima (MTU) de 1399 bytes.

(Conexiones de VPN enrutadas dinámicamente) Establecimiento de intercambio de tráfico BGP

RFC 4271

BGP se utiliza para intercambiar rutas entre el dispositivo de gateway de cliente y la gateway privada virtual para dispositivos que utilizan BGP. Todo el tráfico BGP se cifra y se transmite mediante la asociación de seguridad de IPsec. BGP es necesario para que ambas gateways intercambien los prefijos IP, a los que se obtiene acceso mediante la SA de IPsec.

Una conexión de VPN de AWS no es compatible con la detección de la ruta MTU Discovery (RFC 1191).

Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Configuración de un firewall entre Internet y el dispositivo de gateway de cliente.

Prácticas recomendadas para su dispositivo de puerta de enlace de cliente

Restablecimiento de la marca “Don't Fragment (DF)” en los paquetes

Algunos paquetes llevan una marca, conocida como la marca "Don't Fragment" (DF), que indica que el paquete no debe fragmentarse. Si los paquetes llevan la marca, las gateways generan un mensaje "ICMP Path MTU Exceeded". En algunos casos, las aplicaciones no contienen los mecanismos suficientes para procesar estos mensajes ICMP y reducir la cantidad de datos transmitidos en cada paquete. Algunos dispositivos VPN pueden anular la marca DF y fragmentar los paquetes de forma incondicional según sea necesario. Si el dispositivo de gateway de cliente tiene esta capacidad, recomendamos que la utilice según corresponda. Consulte RFC 791 para obtener más información.

Fragmentación de paquetes IP antes del cifrado

Se recomienda encarecidamente fragmentar paquetes antes de que se cifren para evitar un rendimiento deficiente. Cuando los paquetes son demasiado grandes para transmitirse, deben fragmentarse. Recomendamos configurar el dispositivo VPN para fragmentar paquetes antes de encapsularlos con los encabezados VPN si deben estar fragmentados. Consulte RFC 4459 para obtener más información.

Ajuste los tamaños de MTU y MSS de acuerdo con los algoritmos en uso

Los paquetes TCP suelen ser el tipo más común de paquetes en los túneles IPsec. Site-to-Site VPN admite una unidad máxima de transmisión (MTU) de 1446 bytes y un tamaño máximo de segmento (MSS) correspondiente de 1406 bytes. Sin embargo, los algoritmos de cifrado tienen distintos tamaños de encabezado y pueden impedir la capacidad de alcanzar estos valores máximos. Para obtener un rendimiento óptimo evitando la fragmentación, le recomendamos que configure la MTU y el MSS basándose específicamente en los algoritmos que se utilizan.

Utilice la siguiente tabla para configurar su MTU o MSS a fin de evitar la fragmentación y lograr un rendimiento óptimo:

Algoritmo de cifrado Algoritmo hash NAT transversal MTU MSS (IPv4) MSS (IPv6 en IPv4)

AES-GCM-16

N/A

disabled

1446

1406

1386

AES-GCM-16

N/A

enabled

1438

1398

1378

AES-CBC

SHA1, SHA2-256

disabled

1438

1398

1378

AES-CBC

SHA1, SHA2-256

enabled

1422

1382

1362

AES-CBC

SHA2-384

disabled

1422

1382

1362

AES-CBC

SHA2-384

enabled

1422

1382

1362

AES-CBC

SHA2-512

disabled

1422

1382

1362

AES-CBC

SHA2-512

enabled

1406

1366

1346

nota

Los algoritmos AES-GCM cubren tanto el cifrado como la autenticación, por lo que no existe una opción distinta de algoritmo de autenticación que afecte a la MTU.

Configuración de un firewall entre Internet y el dispositivo de gateway de cliente

Debe tener una dirección IP estática para utilizarla como punto de conexión de los túneles IPsec que conectan su dispositivo de puerta de enlace de cliente con los puntos de conexión de AWS Site-to-Site VPN. Si existe un firewall entre AWS y su dispositivo de puerta de enlace de cliente, las reglas de las tablas siguientes deben estar aplicadas para establecer los túneles IPsec. Las direcciones IP en AWS estará en el archivo de configuración.

Regla de entrada I1

IP de origen

Gateway privada virtual 1

IP destino

Gateway de cliente

Protocolo

UDP

Puerto de origen

500

Destino

500

Regla de entrada I2

IP de origen

Gateway privada virtual 2

IP destino

Gateway de cliente

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de entrada I3

IP de origen

Gateway privada virtual 1

IP destino

Gateway de cliente

Protocolo

IP 50 (ESP)

Regla de entrada I4

IP de origen

Gateway privada virtual 2

IP destino

Gateway de cliente

Protocolo

IP 50 (ESP)

Regla de salida O1

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 1

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de salida O2

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 2

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de salida O3

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 1

Protocolo

IP 50 (ESP)

Regla de salida O4

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 2

Protocolo

IP 50 (ESP)

Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten la transmisión de paquetes IPsec que contienen el tráfico de red cifrado.

nota

Si utiliza NAT transversal (NAT-T) en el dispositivo, asegúrese de que el tráfico UDP en el puerto 4500 también puede pasar entre la red y los puntos de conexión de AWS Site-to-Site VPN. Compruebe si su dispositivo anuncia NAT-T.

Múltiples escenarios de conexión de VPN

A continuación, presentamos varios escenarios en los que puede crear varias conexiones de VPN con uno o varios dispositivos de gateway de cliente.

Varias conexiones de VPN que utilizan el mismo dispositivo de gateway de cliente

Puede crear conexiones de VPN adicionales desde la ubicación de las instalaciones a otras VPC con el mismo dispositivo de gateway de cliente. Puede reutilizar la misma dirección IP de gateway de cliente para cada una de estas conexiones de VPN.

Conexión de VPN redundante que usa otro dispositivo de gateway de cliente

Para protegerse contra la pérdida de conectividad en caso de que el dispositivo de gateway de cliente deje de estar disponible, puede configurar otra conexión de VPN que use otro dispositivo de gateway de cliente. Para obtener más información, consulte Uso de conexiones redundantes de Site-to-Site VPN para realizar la conmutación por error . Al establecer dispositivos de gateway de cliente redundantes en una única ubicación, ambos dispositivos deberían anunciar los mismos rangos IP.

Varios dispositivos de gateway de cliente a una única gateway privada virtual (AWS VPN CloudHub)

Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivos de gateway de cliente. Esto le permite tener varias ubicaciones conectadas a AWS VPN CloudHub. Para obtener más información, consulte Comunicaciones seguras entre sitios mediante VPN CloudHub . Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo debería anunciar un único conjunto de rangos IP específicos de la ubicación.

Enrutamiento para su dispositivo de gateway de cliente

AWS recomienda anunciar rutas de BGP específicas para influir en las decisiones de enrutamiento de la gateway privada virtual. Compruebe la documentación de su proveedor acerca de los comandos específicos de su dispositivo.

Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPN apropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, La ruta depende de cómo se haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente a las rutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual. Si selecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.

Para obtener más información sobre la prioridad de una ruta, consulte Tablas de enrutamiento y prioridad de rutas de VPN.