Su dispositivo de gateway de cliente - AWS Site-to-Site VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Su dispositivo de gateway de cliente

Un dispositivo de gateway de cliente es un dispositivo físico o de software que usted posee o administra en la red local (en su extremo de una conexión de Site-to-Site VPN). Usted o el administrador de red tienen que configurar el dispositivo para que funcione con la conexión de Site-to-Site VPN.

En el siguiente diagrama se muestra su red, el dispositivo de puerta de enlace de cliente y la conexión de VPN que va a una puerta de enlace privada virtual que está asociada a su VPC. Las dos líneas entre la puerta de enlace de cliente y la puerta de enlace privada virtual representan los túneles para la conexión de VPN. Si hay una falla en el dispositivo AWS, tu conexión VPN pasa automáticamente al segundo túnel para que tu acceso no se interrumpa. De vez en cuando, AWS también realiza un mantenimiento rutinario de la conexión VPN, lo que podría deshabilitar brevemente uno de los dos túneles de la conexión VPN. Para obtener más información, consulte Sustitución de los puntos de enlace de un túnel de Site-to-Site VPN. Por lo tanto, es importante que configure el dispositivo de puerta de enlace de cliente para utilizar ambos túneles.

Introducción a la gateway de cliente de alto nivel

Si desea ver los pasos necesarios para configurar una conexión de VPN, consulte Empezar con AWS Site-to-Site VPN. Durante este proceso, se crea un recurso de pasarela de clientes en AWS el que se proporciona información AWS sobre el dispositivo, por ejemplo, su dirección IP pública. Para obtener más información, consulte Opciones de la gateway de cliente para su conexión de Site-to-Site VPN. El recurso de puerta de enlace de cliente AWS no configura ni crea el dispositivo de puerta de enlace de cliente. Debe configurar el dispositivo usted mismo.

También puede encontrar dispositivos de VPN por software en AWS Marketplace.

Archivos de configuración de ejemplo

Después de crear la conexión de VPN, también tiene la opción de descargar un proporcionado por AWS el archivo de configuración de ejemplo desde la consola de Amazon VPC o mediante la API de EC2. Para obtener más información, consulte Paso 6: Descargar el archivo de configuración. También puede descargar archivos .zip de configuraciones de ejemplo específicamente para enrutamiento estático frente a dinámico:

Descargar archivos .zip

El archivo AWS de configuración de ejemplo proporcionado contiene información específica sobre su conexión VPN que puede utilizar para configurar el dispositivo de puerta de enlace del cliente. Estos archivos de configuración específicos del dispositivo sólo están disponibles para los dispositivos que han sido probados por AWS. Si su dispositivo específico gateway de cliente no aparece en la lista, puede descargar un archivo de configuración genérico para empezar.

importante

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de Site-to-Site VPN completamente. Especifica los requisitos mínimos para una conexión VPN de sitio a sitio de AES128, SHA1 y Diffie-Hellman del grupo 2 en la mayoría de las regiones, y de AES128, SHA2 y Diffie-Hellman del grupo 14 en AWS las regiones. AWS GovCloud También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovecharse de los algoritmos de seguridad adicionales, los grupos Diffie-Hellman, los certificados privados y el tráfico IPv6.

nota

Estos AWS archivos de configuración específicos del dispositivo se proporcionan con el máximo esfuerzo. Si bien han sido probados por AWS, estas pruebas son limitadas. Si experimenta un problema con los archivos de configuración, es posible que deba contactar al proveedor específico para obtener asistencia adicional.

La tabla siguiente contiene una lista de dispositivos que tienen un archivo de configuración de ejemplo disponible para descargar que se ha actualizado para ser compatible con IKEv2. Hemos agregado la compatibilidad con IKEv2 en los archivos de configuración para muchos dispositivos populares de gateway de cliente y continuaremos agregando archivos adicionales con el tiempo. Esta lista se actualizará a medida que se agreguen más archivos de configuración de ejemplo.

Proveedor Plataforma Software

Punto de comprobación

Gaia

R80.10+

Cisco Meraki

Serie MX

15.12+ (WebUI)

Cisco Systems, Inc.

Serie ASA 5500

ASA 9.7+ VTI

Cisco Systems, Inc.

AMI CSrV

IOS 12.4+

Fortinet

Serie Fortigate 40+

ForTIOS 6.4.4+ (GUI)

Juniper Networks, Inc.

Routers Serie J

JunOS 9.5+

Juniper Networks, Inc.

Routers SRX

JunOS 11.0+

Mikrotik

RouterOS

6.44.3

Palo Alto Networks

Serie PA

PANOS 7.0+

SonicWall

NSA, TZ

OS 6.5

Sophos

Sophos Firewall

v19+

Strongswan

Ubuntu 16.04

Strongswan 5.5.1+

Yamaha

Routers RTX

Rev.10.01.16+

Requisitos para el dispositivo de gateway del cliente

Si tiene un dispositivo que no está en la lista de ejemplos anterior, en esta sección se describen los requisitos que debe cumplir para que pueda utilizarse con una conexión de Site-to-Site VPN.

Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientes símbolos representan cada parte de la configuración.

Símbolo de intercambio de claves por Internet

Asociación de seguridad de intercambio de claves de Internet (IKE). Necesaria para intercambiar claves utilizadas para establecer la asociación de seguridad de IPsec.

Seguridad del protocolo de Internet

Asociación de seguridad IPsec. Gestiona el cifrado del túnel, la autenticación, etc.

Símbolo de interfaz de túnel

Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel.

Protocolo de puerta de enlace fronteriza

(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Para dispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente y la gateway privada virtual.

En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (a modo de referencia) y comentarios acerca de los requisitos.

Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación de seguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitación es de una única pareja de asociación de seguridad (SA) por túnel (un entrante y uno saliente) y, por lo tanto, dos únicas parejas de SA en total para los dos túneles (cuatro SA). Algunos dispositivos utilizan una VPN basada en políticas y crean tantas SA como entradas de ACL. Por lo tanto, es posible que necesite consolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.

De forma predeterminada, el túnel de VPN aparece cuando se genera tráfico y se inicia la negociación de IKE desde el lado de la conexión de VPN. En su lugar, puede configurar la conexión VPN para iniciar la negociación del IKE desde el AWS lado de la conexión. Para obtener más información, consulte Opciones de inicio del túnel de Site-to-Site VPN.

Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviado tráfico de renegociación.

Requisito RFC Comentarios

Establecimiento de una asociación de seguridad de IKE

IKE

RFC 2409

RFC 7296

La asociación de seguridad IKE se establece primero entre la puerta de enlace privada virtual y el dispositivo de puerta de enlace del cliente mediante una clave previamente compartida o un certificado privado que se utiliza AWS Private Certificate Authority como autenticador. Cuando se establece, IKE negocia una clave efímera para proteger los mensajes futuros de IKE. Tiene que haber un acuerdo completo entre los parámetros, incluidos los parámetros de cifrado y autenticación.

Al crear una conexión VPN en AWS, puede especificar su propia clave previamente compartida para cada túnel o puede dejar que AWS genere una por usted. Como alternativa, puede especificar el certificado privado que se utilizará AWS Private Certificate Authority para el dispositivo de pasarela de su cliente. Para obtener más información sobre la configuración de túneles de VPN, consulte Opciones del túnel de una conexión de Site-to-Site VPN.

Las siguientes versiones son compatibles: IKEv1 e IKEv2.

El modo principal solo se admite con IKEv1.

El servicio Site-to-Site VPN es una solución basada en rutas. Si utiliza una configuración basada en políticas, debe limitar su configuración a una asociación de seguridad (SA) única.

Establecimiento de asociaciones de seguridad de IPsec en modo de túnel

IPsec

RFC 4301

Mediante la clave efímera de IKE, se establecen las claves entre la gateway privada virtual y el dispositivo de gateway de cliente para crear una asociación de seguridad (SA) de IPsec. El tráfico entre las gateways se cifra y se descifra mediante esta SA. IKE cambia automáticamente las claves efímeras utilizadas para cifrar el tráfico dentro de la SA de IPsec de forma periódica para garantizar la confidencialidad de las comunicaciones.

Uso del cifrado AES de 128 bits o la función de cifrado AES de 256 bits

RFC 3602

La función de cifrado se utiliza para garantizar la privacidad entre las asociaciones de seguridad de IKE y de IPsec.

Uso de la función de hash SHA-1 o SHA-2 (256)

RFC 2404

Esta función de hash se utiliza para autenticar asociaciones de seguridad de IKE y de IPsec.

Uso de la confidencialidad directa total Diffie-Hellman

RFC 2409

IKE utiliza Diffie-Hellman para establecer claves efímeras para proteger todas las comunicaciones entre los dispositivos de gateway de cliente y las gateways privadas virtuales.

Se admiten los siguientes grupos:

  • Grupos de fase 1: 2, 14-24

  • Grupos de fase 2: 2, 5, 14-24

(Conexiones de VPN enrutadas dinámicamente) Uso de la detección de pares muertos de IPsec

RFC 3706

La detección de pares muertos permite a los dispositivos de VPN identificar rápidamente cuándo una condición de red impide la entrega de paquetes a través de Internet. Cuando esto sucede, las gateways eliminan las asociaciones de seguridad e intentan crear nuevas asociaciones. Durante este proceso, se utiliza el túnel IPsec alternativo, si es posible.

(Conexiones de VPN enrutadas dinámicamente) Vincular el túnel a la interfaz lógica (VPN basada en rutas)

Tunnel

Ninguna

El dispositivo debe poder vincular el túnel IPSec a una interfaz lógica. La interfaz lógica contiene una dirección IP utilizada para establecer el intercambio de tráfico BGP con la gateway privada virtual. Esta interfaz lógica no debería realizar ninguna encapsulación adicional (por ejemplo, GRE o IP en IP). Su interfaz debería configurarse en una unidad de transmisión máxima (MTU) de 1399 bytes.

(Conexiones de VPN enrutadas dinámicamente) Establecimiento de intercambio de tráfico BGP

BGP

RFC 4271

BGP se utiliza para intercambiar rutas entre el dispositivo de gateway de cliente y la gateway privada virtual para dispositivos que utilizan BGP. Todo el tráfico BGP se cifra y se transmite mediante la asociación de seguridad de IPsec. BGP es necesario para que ambas gateways intercambien los prefijos IP, a los que se obtiene acceso mediante la SA de IPsec.

Una conexión AWS VPN no admite Path MTU Discovery (RFC 1191).

Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Configuración de un firewall entre Internet y el dispositivo de gateway de cliente.

Prácticas recomendadas para su dispositivo de puerta de enlace de cliente

Utilice IKEv2

Recomendamos encarecidamente utilizar IKEv2 para la conexión VPN de Site-to-Site. IKEv2 es un protocolo más simple, robusto y seguro que IKEv1. Solo debe utilizar el IKEv1 si el dispositivo de puerta de enlace del cliente no es compatible con el IKEv2. Para obtener más información sobre las diferencias entre el IKEv1 y el IKEv2, consulte el apéndice A del RFC7296.

Restablecimiento de la marca “Don't Fragment (DF)” en los paquetes

Algunos paquetes llevan una marca, conocida como la marca "Don't Fragment" (DF), que indica que el paquete no debe fragmentarse. Si los paquetes llevan la marca, las gateways generan un mensaje "ICMP Path MTU Exceeded". En algunos casos, las aplicaciones no contienen los mecanismos suficientes para procesar estos mensajes ICMP y reducir la cantidad de datos transmitidos en cada paquete. Algunos dispositivos VPN pueden anular la marca DF y fragmentar los paquetes de forma incondicional según sea necesario. Si el dispositivo de gateway de cliente tiene esta capacidad, recomendamos que la utilice según corresponda. Consulte RFC 791 para obtener más información.

Fragmentación de paquetes IP antes del cifrado

Si los paquetes que se envían a través de la conexión VPN de Site-to-Site superan el tamaño de la MTU, deben estar fragmentados. Para evitar una disminución del rendimiento, le recomendamos que configure el dispositivo de puerta de enlace del cliente para fragmentar los paquetes antes de cifrarlos. Luego, la VPN Site-to-Site volverá a ensamblar los paquetes fragmentados antes de reenviarlos al siguiente destino, a fin de lograr un mayor flujo a través de la red. packet-per-second AWS Consulte RFC 4459 para obtener más información.

Asegúrese de que el tamaño del paquete no supere la MTU para las redes de destino

Dado que la VPN Site-to-Site volverá a ensamblar todos los paquetes fragmentados recibidos desde el dispositivo de puerta de enlace del cliente antes de reenviarlos al siguiente destino, tenga en cuenta que es posible que haya que tener en cuenta el tamaño del paquete o la MTU en las redes de destino a las que estos paquetes se reenvíen a continuación, por ejemplo, a través de AWS Direct Connect

Ajuste los tamaños de MTU y MSS de acuerdo con los algoritmos en uso

Los paquetes TCP suelen ser el tipo más común de paquetes en los túneles IPsec. Site-to-Site VPN admite una unidad máxima de transmisión (MTU) de 1446 bytes y un tamaño máximo de segmento (MSS) correspondiente de 1406 bytes. Sin embargo, los algoritmos de cifrado tienen distintos tamaños de encabezado y pueden impedir la capacidad de alcanzar estos valores máximos. Para obtener un rendimiento óptimo evitando la fragmentación, le recomendamos que configure la MTU y el MSS basándose específicamente en los algoritmos que se utilizan.

Utilice la siguiente tabla para configurar su MTU o MSS a fin de evitar la fragmentación y lograr un rendimiento óptimo:

Algoritmo de cifrado Algoritmo hash NAT transversal MTU MSS (IPv4) MSS (IPv6 en IPv4)

AES-GCM-16

N/A

disabled

1446

1406

1386

AES-GCM-16

N/A

enabled

1438

1398

1378

AES-CBC

SHA1, SHA2-256

disabled

1438

1398

1378

AES-CBC

SHA1, SHA2-256

enabled

1422

1382

1362

AES-CBC

SHA2-384

disabled

1422

1382

1362

AES-CBC

SHA2-384

enabled

1422

1382

1362

AES-CBC

SHA2-512

disabled

1422

1382

1362

AES-CBC

SHA2-512

enabled

1406

1366

1346

nota

Los algoritmos AES-GCM cubren tanto el cifrado como la autenticación, por lo que no existe una opción distinta de algoritmo de autenticación que afecte a la MTU.

Desactivar los ID únicos de IKE

Algunos dispositivos de puerta de enlace de clientes admiten una configuración que garantiza que, como máximo, exista una asociación de seguridad de fase 1 por configuración de túnel. Esta configuración puede provocar estados de fase 2 incoherentes entre los pares de VPN. Si el dispositivo de puerta de enlace de su cliente admite esta configuración, le recomendamos que la desactive.

Configuración de un firewall entre Internet y el dispositivo de gateway de cliente

Debe tener una dirección IP estática para utilizarla como punto final para los túneles IPsec que conectan el dispositivo de puerta de enlace del cliente con los puntos finales. AWS Site-to-Site VPN Si hay un firewall entre AWS y el dispositivo de puerta de enlace del cliente, deben existir las reglas de las siguientes tablas para establecer los túneles IPSec. Las direcciones IP del AWS lado -estarán en el archivo de configuración.

Regla de entrada I1

IP de origen

IP externa de Tunnel1

IP destino

Gateway de cliente

Protocolo

UDP

Puerto de origen

500

Destino

500

Regla de entrada I2

IP de origen

IP externa de Tunnel2

IP destino

Gateway de cliente

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de entrada I3

IP de origen

IP externa de Tunnel1

IP destino

Gateway de cliente

Protocolo

IP 50 (ESP)

Regla de entrada I4

IP de origen

IP externa de Tunnel2

IP destino

Gateway de cliente

Protocolo

IP 50 (ESP)

Regla de salida O1

IP de origen

Gateway de cliente

IP destino

IP externa de Tunnel1

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de salida O2

IP de origen

Gateway de cliente

IP destino

IP externa de Tunnel2

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de salida O3

IP de origen

Gateway de cliente

IP destino

IP externa de Tunnel1

Protocolo

IP 50 (ESP)

Regla de salida O4

IP de origen

Gateway de cliente

IP destino

IP externa de Tunnel2

Protocolo

IP 50 (ESP)

Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten la transmisión de paquetes IPsec que contienen el tráfico de red cifrado.

nota

Si utiliza el cruce de NAT (NAT-T) en su dispositivo, asegúrese de que el tráfico UDP del puerto 4500 también pueda pasar entre la red y los puntos finales. AWS Site-to-Site VPN Compruebe si su dispositivo anuncia NAT-T.

Múltiples escenarios de conexión de VPN

A continuación, presentamos varios escenarios en los que puede crear varias conexiones de VPN con uno o varios dispositivos de gateway de cliente.

Varias conexiones de VPN que utilizan el mismo dispositivo de gateway de cliente

Puede crear conexiones de VPN adicionales desde la ubicación de las instalaciones a otras VPC con el mismo dispositivo de gateway de cliente. Puede reutilizar la misma dirección IP de gateway de cliente para cada una de estas conexiones de VPN.

Conexión de VPN redundante que usa otro dispositivo de gateway de cliente

Para protegerse contra la pérdida de conectividad en caso de que el dispositivo de gateway de cliente deje de estar disponible, puede configurar otra conexión de VPN que use otro dispositivo de gateway de cliente. Para obtener más información, consulte Uso de conexiones redundantes de Site-to-Site VPN para realizar la conmutación por error. Al establecer dispositivos de gateway de cliente redundantes en una única ubicación, ambos dispositivos deberían anunciar los mismos rangos IP.

Varios dispositivos de puerta de enlace del cliente a una única puerta de enlace privada virtual ()AWS VPN CloudHub

Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivos de gateway de cliente. Esto le permite tener varias ubicaciones conectadas a la AWS VPN CloudHub. Para obtener más información, consulte Comunicaciones seguras entre sitios mediante VPN CloudHub. Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo debería anunciar un único conjunto de rangos IP específicos de la ubicación.

Enrutamiento para su dispositivo de gateway de cliente

AWS recomienda anunciar rutas BGP específicas para influir en las decisiones de enrutamiento en la puerta de enlace privada virtual. Compruebe la documentación de su proveedor acerca de los comandos específicos de su dispositivo.

Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPN apropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, La ruta depende de cómo se haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente a las rutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual. Si selecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.

Para obtener más información sobre la prioridad de una ruta, consulte Tablas de enrutamiento y prioridad de rutas de VPN.