Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Su dispositivo de gateway de cliente
Un dispositivo de gateway de cliente es un dispositivo físico o de software que usted posee o administra en la red local (en su extremo de una conexión de Site-to-Site VPN). Usted o el administrador de red tienen que configurar el dispositivo para que funcione con la conexión de Site-to-Site VPN.
En el siguiente diagrama se muestra su red, el dispositivo de puerta de enlace de cliente y la conexión de VPN que va a una puerta de enlace privada virtual que está asociada a su VPC. Las dos líneas entre la puerta de enlace de cliente y la puerta de enlace privada virtual representan los túneles para la conexión de VPN. Si se produce un fallo en el dispositivo AWS, tu conexión VPN pasa automáticamente por error al segundo túnel para que el acceso no se interrumpa. De vez en cuando, AWS también realiza un mantenimiento rutinario de la conexión VPN, lo que podría deshabilitar brevemente uno de los dos túneles de la conexión VPN. Para obtener más información, consulte Sustitución de los puntos de enlace de un túnel de Site-to-Site VPN. Por lo tanto, es importante que configure el dispositivo de puerta de enlace de cliente para utilizar ambos túneles.
Si desea ver los pasos necesarios para configurar una conexión de VPN, consulte Empezar con AWS Site-to-Site VPN. Durante este proceso, se crea un recurso de pasarela de clientes en AWS el que se proporciona información AWS sobre el dispositivo, por ejemplo, su dirección IP pública. Para obtener más información, consulte Opciones de la gateway de cliente para su conexión de Site-to-Site VPN. El recurso de puerta de enlace de cliente AWS no configura ni crea el dispositivo de puerta de enlace de cliente. Debe configurar el dispositivo usted mismo.
También puede encontrar dispositivos de VPN por software en AWS Marketplace
Temas
- Archivos de configuración de ejemplo
- Requisitos para el dispositivo de gateway del cliente
- Prácticas recomendadas para su dispositivo de puerta de enlace de cliente
- Reglas de firewall
- Múltiples escenarios de conexión de VPN
- Enrutamiento para su dispositivo de gateway de cliente
- Configuraciones de ejemplo de direccionamiento estático
- Ejemplos de configuraciones para el enrutamiento dinámico
- Windows Server como dispositivo de gateway de cliente
- Resolución de problemas
Archivos de configuración de ejemplo
Después de crear la conexión de VPN, también tiene la opción de descargar un proporcionado por AWS el archivo de configuración de ejemplo desde la consola de Amazon VPC o mediante la API de EC2. Para obtener más información, consulte Paso 6: Descargar el archivo de configuración. También puede descargar archivos .zip de configuraciones de ejemplo específicamente para enrutamiento estático frente a dinámico:
Descargar archivos .zip
-
Configuración estática: Archivos de configuración de ejemplo
-
Configuración dinámica: Archivos de configuración de ejemplo
El archivo AWS de configuración de ejemplo proporcionado contiene información específica sobre su conexión VPN que puede utilizar para configurar el dispositivo de puerta de enlace del cliente. Estos archivos de configuración específicos del dispositivo sólo están disponibles para los dispositivos que han sido probados por AWS. Si su dispositivo específico gateway de cliente no aparece en la lista, puede descargar un archivo de configuración genérico para empezar.
importante
El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de Site-to-Site VPN completamente. Especifica los requisitos mínimos para una conexión VPN de sitio a sitio de AES128, SHA1 y Diffie-Hellman del grupo 2 en la mayoría de las regiones, y de AES128, SHA2 y Diffie-Hellman del grupo 14 en AWS las regiones. AWS GovCloud También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.
nota
Estos AWS archivos de configuración específicos del dispositivo se proporcionan con el máximo esfuerzo. Si bien han sido probados por AWS, estas pruebas son limitadas. Si experimenta un problema con los archivos de configuración, es posible que deba contactar al proveedor específico para obtener asistencia adicional.
La tabla siguiente contiene una lista de dispositivos que tienen un archivo de configuración de ejemplo disponible para descargar que se ha actualizado para ser compatible con IKEv2. Hemos agregado la compatibilidad con IKEv2 en los archivos de configuración para muchos dispositivos populares de gateway de cliente y continuaremos agregando archivos adicionales con el tiempo. Esta lista se actualizará a medida que se agreguen más archivos de configuración de ejemplo.
| Proveedor | Plataforma | Software |
|---|---|---|
|
Punto de comprobación |
Gaia |
R80.10+ |
|
Cisco Meraki |
Serie MX |
15.12+ (WebUI) |
|
Cisco Systems, Inc. |
Serie ASA 5500 |
ASA 9.7+ VTI |
|
Cisco Systems, Inc. |
AMI CSrV |
IOS 12.4+ |
|
Fortinet |
Serie Fortigate 40+ |
ForTIOS 6.4.4+ (GUI) |
|
Juniper Networks, Inc. |
Routers Serie J |
JunOS 9.5+ |
|
Juniper Networks, Inc. |
Routers SRX |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6.44.3 |
|
Palo Alto Networks |
Serie PA |
PANOS 7.0+ |
|
SonicWall |
NSA, TZ |
OS 6.5 |
|
Sophos |
Sophos Firewall |
v19+ |
|
Strongswan |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
Routers RTX |
Rev.10.01.16+ |
Requisitos para el dispositivo de gateway del cliente
Si tiene un dispositivo que no está en la lista de ejemplos anterior, en esta sección se describen los requisitos que debe cumplir para que pueda utilizarse con una conexión de Site-to-Site VPN.
Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientes símbolos representan cada parte de la configuración.
|
Asociación de seguridad de intercambio de claves de Internet (IKE). Necesaria para intercambiar claves utilizadas para establecer la asociación de seguridad de IPsec. |
|
Asociación de seguridad IPsec. Gestiona el cifrado del túnel, la autenticación, etc. |
|
Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel. |
|
(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Para dispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente y la gateway privada virtual. |
En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (a modo de referencia) y comentarios acerca de los requisitos.
Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación de seguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitación es de una única pareja de asociación de seguridad (SA) por túnel (un entrante y uno saliente) y, por lo tanto, dos únicas parejas de SA en total para los dos túneles (cuatro SA). Algunos dispositivos utilizan una VPN basada en políticas y crean tantas SA como entradas de ACL. Por lo tanto, es posible que necesite consolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.
De forma predeterminada, el túnel de VPN aparece cuando se genera tráfico y se inicia la negociación de IKE desde el lado de la conexión de VPN. En su lugar, puede configurar la conexión VPN para iniciar la negociación del IKE desde el AWS lado de la conexión. Para obtener más información, consulte Opciones de inicio del túnel de Site-to-Site VPN.
Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviado tráfico de renegociación.
| Requisito | RFC | Comentarios |
|---|---|---|
|
Establecimiento de una asociación de seguridad de IKE
|
La asociación de seguridad IKE se establece primero entre la puerta de enlace privada virtual y el dispositivo de puerta de enlace del cliente mediante una clave previamente compartida o un certificado privado que se utiliza AWS Private Certificate Authority como autenticador. Cuando se establece, IKE negocia una clave efímera para proteger los mensajes futuros de IKE. Tiene que haber un acuerdo completo entre los parámetros, incluidos los parámetros de cifrado y autenticación. Al crear una conexión VPN en AWS, puede especificar su propia clave previamente compartida para cada túnel o puede dejar que AWS genere una por usted. Como alternativa, puede especificar el certificado privado que se utilizará AWS Private Certificate Authority para el dispositivo de pasarela de su cliente. Para obtener más información sobre la configuración de túneles de VPN, consulte Opciones del túnel de una conexión de Site-to-Site VPN. Las siguientes versiones son compatibles: IKEv1 e IKEv2. El modo principal solo se admite con IKEv1. El servicio Site-to-Site VPN es una solución basada en rutas. Si utiliza una configuración basada en políticas, debe limitar su configuración a una asociación de seguridad (SA) única. |
|
|
Establecimiento de asociaciones de seguridad de IPsec en modo de túnel
|
Mediante la clave efímera de IKE, se establecen las claves entre la gateway privada virtual y el dispositivo de gateway de cliente para crear una asociación de seguridad (SA) de IPsec. El tráfico entre las gateways se cifra y se descifra mediante esta SA. IKE cambia automáticamente las claves efímeras utilizadas para cifrar el tráfico dentro de la SA de IPsec de forma periódica para garantizar la confidencialidad de las comunicaciones. |
|
|
Uso del cifrado AES de 128 bits o la función de cifrado AES de 256 bits |
La función de cifrado se utiliza para garantizar la privacidad entre las asociaciones de seguridad de IKE y de IPsec. |
|
|
Uso de la función de hash SHA-1 o SHA-2 (256) |
Esta función de hash se utiliza para autenticar asociaciones de seguridad de IKE y de IPsec. |
|
|
Uso de la confidencialidad directa total Diffie-Hellman |
IKE utiliza Diffie-Hellman para establecer claves efímeras para proteger todas las comunicaciones entre los dispositivos de gateway de cliente y las gateways privadas virtuales. Se admiten los siguientes grupos:
|
|
|
(Conexiones de VPN enrutadas dinámicamente) Uso de la detección de pares muertos de IPsec |
La detección de pares muertos permite a los dispositivos de VPN identificar rápidamente cuándo una condición de red impide la entrega de paquetes a través de Internet. Cuando esto sucede, las gateways eliminan las asociaciones de seguridad e intentan crear nuevas asociaciones. Durante este proceso, se utiliza el túnel IPsec alternativo, si es posible. |
|
|
(Conexiones de VPN enrutadas dinámicamente) Vincular el túnel a la interfaz lógica (VPN basada en rutas)
|
Ninguna |
El dispositivo debe poder vincular el túnel IPSec a una interfaz lógica. La interfaz lógica contiene una dirección IP utilizada para establecer el intercambio de tráfico BGP con la gateway privada virtual. Esta interfaz lógica no debería realizar ninguna encapsulación adicional (por ejemplo, GRE o IP en IP). Su interfaz debería configurarse en una unidad de transmisión máxima (MTU) de 1399 bytes. |
|
(Conexiones de VPN enrutadas dinámicamente) Establecimiento de intercambio de tráfico BGP
|
BGP se utiliza para intercambiar rutas entre el dispositivo de gateway de cliente y la gateway privada virtual para dispositivos que utilizan BGP. Todo el tráfico BGP se cifra y se transmite mediante la asociación de seguridad de IPsec. BGP es necesario para que ambas gateways intercambien los prefijos IP, a los que se obtiene acceso mediante la SA de IPsec. |
Una conexión AWS VPN no admite Path MTU Discovery (RFC 1191
Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Configuración de un firewall entre Internet y el dispositivo de gateway de cliente.
Prácticas recomendadas para su dispositivo de puerta de enlace de cliente
Utilice IKEv2
Recomendamos encarecidamente utilizar IKEv2 para la conexión VPN de Site-to-Site. IKEv2 es un protocolo más simple, robusto y seguro que IKEv1. Solo debe utilizar el IKEv1 si el dispositivo de puerta de enlace del cliente no es compatible con el IKEv2. Para obtener más información sobre las diferencias entre el IKEv1 y el IKEv2, consulte el apéndice A del RFC7296.
Restablecimiento de la marca “Don't Fragment (DF)” en los paquetes
Algunos paquetes llevan una marca, conocida como la marca "Don't Fragment" (DF), que indica que el paquete no debe fragmentarse. Si los paquetes llevan la marca, las gateways generan un mensaje "ICMP Path MTU Exceeded". En algunos casos, las aplicaciones no contienen los mecanismos suficientes para procesar estos mensajes ICMP y reducir la cantidad de datos transmitidos en cada paquete. Algunos dispositivos VPN pueden anular la marca DF y fragmentar los paquetes de forma incondicional según sea necesario. Si el dispositivo de gateway de cliente tiene esta capacidad, recomendamos que la utilice según corresponda. Consulte RFC 791
Fragmentación de paquetes IP antes del cifrado
Si los paquetes que se envían a través de la conexión VPN de Site-to-Site superan el tamaño de la MTU, deben estar fragmentados. Para evitar una disminución del rendimiento, le recomendamos que configure el dispositivo de puerta de enlace del cliente para fragmentar los paquetes antes de cifrarlos. Luego, la VPN Site-to-Site volverá a ensamblar los paquetes fragmentados antes de reenviarlos al siguiente destino, a fin de lograr un mayor flujo a través de la red. packet-per-second AWS Consulte RFC 4459
Asegúrese de que el tamaño del paquete no supere la MTU para las redes de destino
Dado que la VPN Site-to-Site volverá a ensamblar los paquetes fragmentados recibidos desde el dispositivo de puerta de enlace del cliente antes de reenviarlos al siguiente destino, tenga en cuenta que es posible que haya que tener en cuenta el tamaño del paquete o la MTU en las redes de destino a las que estos paquetes se reenvíen a continuación, por ejemplo, a través de AWS Direct Connect
Ajuste los tamaños de MTU y MSS de acuerdo con los algoritmos en uso
Los paquetes TCP suelen ser el tipo más común de paquetes en los túneles IPsec. Site-to-Site VPN admite una unidad máxima de transmisión (MTU) de 1446 bytes y un tamaño máximo de segmento (MSS) correspondiente de 1406 bytes. Sin embargo, los algoritmos de cifrado tienen distintos tamaños de encabezado y pueden impedir la capacidad de alcanzar estos valores máximos. Para obtener un rendimiento óptimo evitando la fragmentación, le recomendamos que configure la MTU y el MSS basándose específicamente en los algoritmos que se utilizan.
Utilice la siguiente tabla para configurar su MTU o MSS a fin de evitar la fragmentación y lograr un rendimiento óptimo:
| Algoritmo de cifrado | Algoritmo hash | NAT transversal | MTU | MSS (IPv4) | MSS (IPv6 en IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
enabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1, SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1, SHA2-256 |
enabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
enabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
enabled |
1406 |
1366 |
1346 |
nota
Los algoritmos AES-GCM cubren tanto el cifrado como la autenticación, por lo que no existe una opción distinta de algoritmo de autenticación que afecte a la MTU.
Desactivar los ID únicos de IKE
Algunos dispositivos de puerta de enlace de clientes admiten una configuración que garantiza que, como máximo, exista una asociación de seguridad de fase 1 por configuración de túnel. Esta configuración puede provocar estados de fase 2 incoherentes entre los pares de VPN. Si el dispositivo de puerta de enlace del cliente admite esta configuración, le recomendamos que la desactive.
Configuración de un firewall entre Internet y el dispositivo de gateway de cliente
Debe tener una dirección IP estática para utilizarla como punto final para los túneles IPsec que conectan el dispositivo de puerta de enlace del cliente con los puntos finales. AWS Site-to-Site VPN Si hay un firewall entre AWS y el dispositivo de puerta de enlace del cliente, deben existir las reglas de las siguientes tablas para establecer los túneles IPSec. Las direcciones IP del AWS lado -estarán en el archivo de configuración.
|
Regla de entrada I1 |
|
|---|---|
|
IP de origen |
IP externa de Tunnel1 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Destino |
500 |
|
Regla de entrada I2 |
|
|
IP de origen |
IP externa de Tunnel2 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Puerto de destino |
500 |
|
Regla de entrada I3 |
|
|
IP de origen |
IP externa de Tunnel1 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regla de entrada I4 |
|
|
IP de origen |
IP externa de Tunnel2 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regla de salida O1 |
|
|---|---|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel1 |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Puerto de destino |
500 |
|
Regla de salida O2 |
|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel2 |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Puerto de destino |
500 |
|
Regla de salida O3 |
|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel1 |
|
Protocolo |
IP 50 (ESP) |
|
Regla de salida O4 |
|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel2 |
|
Protocolo |
IP 50 (ESP) |
Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten la transmisión de paquetes IPsec que contienen el tráfico de red cifrado.
nota
Si utiliza el cruce de NAT (NAT-T) en su dispositivo, asegúrese de que el tráfico UDP del puerto 4500 también pueda pasar entre la red y los puntos finales. AWS Site-to-Site VPN Compruebe si su dispositivo anuncia NAT-T.
Múltiples escenarios de conexión de VPN
A continuación, presentamos varios escenarios en los que puede crear varias conexiones de VPN con uno o varios dispositivos de gateway de cliente.
Varias conexiones de VPN que utilizan el mismo dispositivo de gateway de cliente
Puede crear conexiones de VPN adicionales desde la ubicación de las instalaciones a otras VPC con el mismo dispositivo de gateway de cliente. Puede reutilizar la misma dirección IP de gateway de cliente para cada una de estas conexiones de VPN.
Conexión de VPN redundante que usa otro dispositivo de gateway de cliente
Para protegerse contra la pérdida de conectividad en caso de que el dispositivo de gateway de cliente deje de estar disponible, puede configurar otra conexión de VPN que use otro dispositivo de gateway de cliente. Para obtener más información, consulte Uso de conexiones redundantes de Site-to-Site VPN para realizar la conmutación por error. Al establecer dispositivos de gateway de cliente redundantes en una única ubicación, ambos dispositivos deberían anunciar los mismos rangos IP.
Varios dispositivos de puerta de enlace del cliente a una única puerta de enlace privada virtual ()AWS VPN CloudHub
Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivos de gateway de cliente. Esto le permite tener varias ubicaciones conectadas a la AWS VPN CloudHub. Para obtener más información, consulte Proporcionar una comunicación segura entre sitios mediante VPN CloudHub. Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo debería anunciar un único conjunto de rangos IP específicos de la ubicación.
Enrutamiento para su dispositivo de gateway de cliente
AWS recomienda anunciar rutas BGP específicas para influir en las decisiones de enrutamiento en la pasarela privada virtual. Compruebe la documentación de su proveedor acerca de los comandos específicos de su dispositivo.
Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPN apropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, La ruta depende de cómo se haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente a las rutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual. Si selecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.
Para obtener más información sobre la prioridad de una ruta, consulte Tablas de enrutamiento y prioridad de rutas de VPN.
