Su dispositivo de gateway de cliente - AWS Site-to-Site VPN

Su dispositivo de gateway de cliente

Un dispositivo de gateway de cliente es un dispositivo físico o de software que usted posee o administra en la red local (en su extremo de una conexión de Site-to-Site VPN). Usted o el administrador de red tienen que configurar el dispositivo para que funcione con la conexión de Site-to-Site VPN.

En el siguiente diagrama se muestra su red, el dispositivo de gateway de cliente y la conexión de VPN que va a una gateway privada virtual (asociada a su VPC). Las dos líneas entre el dispositivo de gateway de cliente y la gateway privada virtual representan los túneles para la conexión de VPN. Si se produce un error del dispositivo en AWS, su conexión de VPN cambiará automáticamente al segundo túnel para que su acceso no se vea interrumpido. Cada cierto tiempo, AWS también lleva a cabo un mantenimiento rutinario en la conexión de VPN, lo que podría desactivar uno de los dos túneles de la conexión de VPN durante un breve periodo. Para obtener más información, consulte Sustitución de los puntos de enlace de un túnel de Site-to-Site VPN. Por lo tanto, al configurar el dispositivo de gateway de cliente, es importante que configure ambos túneles.


				Introducción a la gateway de cliente de alto nivel

Si desea ver los pasos necesarios para configurar una conexión de VPN, consulte Introducción. Durante este proceso, crea un recurso de gateway de cliente en AWS, que proporciona información a AWS sobre el dispositivo como, por ejemplo, su dirección IP pública. Para obtener más información, consulte Opciones de la gateway de cliente para su conexión de Site-to-Site VPN. El recurso de gateway de cliente en AWS no configura ni crea el dispositivo de gateway de cliente. Debe configurar el dispositivo usted mismo.

Después de crear la conexión de VPN, descargue el archivo de configuración de la consola de Amazon VPC, que contiene información específica sobre la conexión de VPN. Utilice esta información para configurar el dispositivo de gateway de cliente. En algunos casos, hay archivos de configuración específicos del dispositivo disponibles para los dispositivos que hemos probado. De lo contrario, puede descargar el archivo de configuración genérico.

Archivos de configuración de ejemplo

El dispositivo de gateway de cliente puede ser un dispositivo físico o de software. A continuación, se muestran ejemplos de algunos dispositivos que tienen archivos de configuración específicos para el dispositivo en la consola de Amazon VPC.

  • Software Check Point Security Gateway con la versión R77.10 (o posterior)

  • Software Cisco ASA con la versión Cisco ASA 8.2 (o posterior)

  • Software Cisco IOS con la versión Cisco IOS 12.4 (o posterior)

  • Software SonicWALL con la versión SonicOS 5.9 (o posterior)

  • Software Fortinet Fortigate 40+ Series con la versión FortiOS 4.0 (o posterior)

  • Software Juniper J-Series con la versión JunOS 9.5 (o posterior)

  • Software Juniper SRX con la versión JunOS 11.0 (o posterior)

  • Software Juniper SSG con la versión ScreenOS 6.1 o 6.2 (o posterior)

  • Software Juniper ISG con la versión ScreenOS 6.1 o 6.2 (o posterior)

  • Netgate pfSense con la versión OS 2.2.5 (o posterior).

  • Software Palo Alto Networks PANOS 4.1.2 (o posterior)

  • Enrutadores Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 y SRT100

  • Software Microsoft Windows Server 2008 R2 (o posterior)

  • Software Microsoft Windows Server 2012 R2 (o posterior)

  • Software Zyxel Zywall Series 4.20 (o una versión posterior) para conexiones de VPN direccionadas estáticamente o software 4.30 (o una versión posterior) para conexiones de VPN direccionadas dinámicamente

Si tiene uno de estos dispositivos, pero lo configura para IPsec de una forma distinta a la presentada en el archivo de configuración, puede cambiar la configuración que sugerimos en función de sus necesidades. Puede obtener archivos de configuración de ejemplo de cualquiera de los siguientes:

También puede encontrar dispositivos de VPN por software en AWS Marketplace.

Requisitos para el dispositivo de gateway del cliente

Si tiene un dispositivo que no está en la lista de ejemplos anterior, en esta sección se describen los requisitos que debe cumplir para que pueda utilizarse con una conexión de Site-to-Site VPN.

Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientes símbolos representan cada parte de la configuración.

Asociación de seguridad de intercambio de claves de Internet (IKE). Necesaria para intercambiar claves utilizadas para establecer la asociación de seguridad de IPsec.

Asociación de seguridad IPsec. Gestiona el cifrado del túnel, la autenticación, etc.

Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel.

(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Para dispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente y la gateway privada virtual.

En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (a modo de referencia) y comentarios acerca de los requisitos.

Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación de seguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitación es de una única pareja de asociación de seguridad (SA) por túnel (un entrante y uno saliente) y, por lo tanto, dos únicas parejas de SA en total para los dos túneles (cuatro SA). Algunos dispositivos utilizan una VPN basada en políticas y crean tantas SA como entradas de ACL. Por lo tanto, es posible que necesite consolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.

De forma predeterminada, el túnel de VPN aparece cuando se genera tráfico y se inicia la negociación de IKE desde el lado de la conexión de VPN. Puede configurar la conexión de VPN para iniciar la negociación de IKE desde el lado de AWS de la conexión. Para obtener más información, consulte Opciones de inicio del túnel de Site-to-Site VPN.

Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviado tráfico de renegociación.

Requisito RFC Comentarios

Establecimiento de una asociación de seguridad de IKE

RFC 2409

RFC 7296

La asociación de seguridad de IKE se establece primero entre la gateway privada virtual y el dispositivo de gateway de cliente mediante una clave compartida previamente o un certificado privado que usen AWS Certificate Manager Private Certificate Authority como autenticador. Cuando se establece, IKE negocia una clave efímera para proteger los mensajes futuros de IKE. Tiene que haber un acuerdo completo entre los parámetros, incluidos los parámetros de cifrado y autenticación.

Al crear una conexión de VPN en AWS, puede especificar su propia clave previamente compartida para cada túnel o puede dejar que AWS genere una automáticamente. Como opción alternativa, puede especificar el certificado privado mediante AWS Certificate Manager Private Certificate Authority para utilizarlo para el dispositivo de gateway de cliente. Para obtener más información sobre la configuración de túneles de VPN, consulte Opciones del túnel de una conexión de Site-to-Site VPN.

Las siguientes versiones son compatibles: IKEv1 e IKEv2.

El modo principal solo se admite con IKEv1.

El servicio Site-to-Site VPN es una solución basada en rutas. Si utiliza una configuración basada en políticas, debe limitar su configuración a una asociación de seguridad (SA) única.

Establecimiento de asociaciones de seguridad de IPsec en modo de túnel

RFC 4301

Mediante la clave efímera de IKE, se establecen las claves entre la gateway privada virtual y el dispositivo de gateway de cliente para crear una asociación de seguridad (SA) de IPsec. El tráfico entre las gateways se cifra y se descifra mediante esta SA. IKE cambia automáticamente las claves efímeras utilizadas para cifrar el tráfico dentro de la SA de IPsec de forma periódica para garantizar la confidencialidad de las comunicaciones.

Uso del cifrado AES de 128 bits o la función de cifrado AES de 256 bits

RFC 3602

La función de cifrado se utiliza para garantizar la privacidad entre las asociaciones de seguridad de IKE y de IPsec.

Uso de la función de hash SHA-1 o SHA-2 (256)

RFC 2404

Esta función de hash se utiliza para autenticar asociaciones de seguridad de IKE y de IPsec.

Uso de la confidencialidad directa total Diffie-Hellman

RFC 2409

IKE utiliza Diffie-Hellman para establecer claves efímeras para proteger todas las comunicaciones entre los dispositivos de gateway de cliente y las gateways privadas virtuales.

Se admiten los siguientes grupos:

  • Grupos de fase 1: 2, 14-24

  • Grupos de fase 2: 2, 5, 14-24

Fragmentación de paquetes IP antes del cifrado

RFC 4459

Cuando los paquetes son demasiado grandes para transmitirse, deben fragmentarse. No vuelva a ensamblar los paquetes cifrados fragmentados. Por lo tanto, su dispositivo VPN debe fragmentar los paquetes antes de encapsularse con los encabezados de VPN. Los fragmentos se transmiten individualmente al host remoto, que los vuelve a unir.

(Conexiones de VPN enrutadas dinámicamente) Uso de la detección de pares muertos de IPsec

RFC 3706

La detección de pares muertos permite a los dispositivos de VPN identificar rápidamente cuándo una condición de red impide la entrega de paquetes a través de Internet. Cuando esto sucede, las gateways eliminan las asociaciones de seguridad e intentan crear nuevas asociaciones. Durante este proceso, se utiliza el túnel IPsec alternativo, si es posible.

(Conexiones de VPN enrutadas dinámicamente) Vincular el túnel a la interfaz lógica (VPN basada en rutas)

Ninguno

El dispositivo debe poder vincular el túnel IPSec a una interfaz lógica. La interfaz lógica contiene una dirección IP utilizada para establecer el intercambio de tráfico BGP con la gateway privada virtual. Esta interfaz lógica no debería realizar ninguna encapsulación adicional (por ejemplo, GRE o IP en IP). Su interfaz debería configurarse en una unidad de transmisión máxima (MTU) de 1399 bytes.

(Conexiones de VPN enrutadas dinámicamente) Establecimiento de intercambio de tráfico BGP

RFC 4271

BGP se utiliza para intercambiar rutas entre el dispositivo de gateway de cliente y la gateway privada virtual para dispositivos que utilizan BGP. Todo el tráfico BGP se cifra y se transmite mediante la asociación de seguridad de IPsec. BGP es necesario para que ambas gateways intercambien los prefijos IP, a los que se obtiene acceso mediante la SA de IPsec.

Puesto que la conexión encapsula los paquetes con encabezados de red adicionales (incluido IPsec), se reduce la cantidad de datos que se pueden transmitir en un solo paquete. Recomendamos utilizar las técnicas incluidas en la siguiente tabla como ayuda para minimizar los problemas relacionados con la cantidad de datos que se pueden transmitir mediante el túnel IPsec.

Técnica RFC Comentarios

Ajustar el tamaño máximo de segmento (MSS) de los paquetes TCP que entran en el túnel de VPN

RFC 4459

Los paquetes TCP suelen ser el tipo más común de paquetes en los túneles IPsec. Algunas gateways pueden cambiar el parámetro de tamaño máximo de segmento (MSS) de TCP. Esto hace que los puntos de conexión TCP (clientes, servidores) reduzcan la cantidad de datos enviados con cada paquete. Este es un enfoque ideal, ya que los paquetes que llegan a los dispositivos VPN son lo suficientemente pequeños para encapsularse y transmitirse.

Recomendamos configurar el MSS en su dispositivo de gateway del cliente en 1359 cuando utilice los algoritmos hash SHA2-384 o SHA2-512. Esto es necesario para acomodar el encabezado más grande.

Restablecimiento de la marca "Don't Fragment" en los paquetes

RFC 791

Algunos paquetes llevan una marca, conocida como la marca "Don't Fragment" (DF), que indica que el paquete no debe fragmentarse. Si los paquetes llevan la marca, las gateways generan un mensaje "ICMP Path MTU Exceeded". En algunos casos, las aplicaciones no contienen los mecanismos suficientes para procesar estos mensajes ICMP y reducir la cantidad de datos transmitidos en cada paquete. Algunos dispositivos VPN pueden anular la marca DF y fragmentar los paquetes de forma incondicional según sea necesario. Si el dispositivo de gateway de cliente tiene esta capacidad, recomendamos que la utilice según corresponda.

Una conexión de VPN de AWS no es compatible con la detección de la MTU de la ruta (RFC 1191).

Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Configuración de un firewall entre Internet y el dispositivo de gateway de cliente.

Configuración de un firewall entre Internet y el dispositivo de gateway de cliente

Debe tener una dirección IP direccionable de Internet para utilizarla como punto de enlace para los túneles IPsec que conectan el dispositivo de gateway de cliente a la gateway privada virtual. Si hay un firewall entre Internet y su gateway, se deben aplicar las reglas de las siguientes tablas para establecer los túneles IPsec. Las direcciones de gateway privada virtual están en el archivo de configuración.

Regla de entrada I1

IP de origen

Gateway privada virtual 1

IP destino

Gateway de cliente

Protocolo

UDP

Puerto de origen

500

Destino

500

Regla de entrada I2

IP de origen

Gateway privada virtual 2

IP destino

Gateway de cliente

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de entrada I3

IP de origen

Gateway privada virtual 1

IP destino

Gateway de cliente

Protocolo

IP 50 (ESP)

Regla de entrada I4

IP de origen

Gateway privada virtual 2

IP destino

Gateway de cliente

Protocolo

IP 50 (ESP)

Regla de salida O1

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 1

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de salida O2

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 2

Protocolo

UDP

Puerto de origen

500

Puerto de destino

500

Regla de salida O3

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 1

Protocolo

IP 50 (ESP)

Regla de salida O4

IP de origen

Gateway de cliente

IP destino

Gateway privada virtual 2

Protocolo

IP 50 (ESP)

Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten la transmisión de paquetes IPsec que contienen el tráfico de red cifrado.

Si va a utilizar NAT Traversal (NAT-T) en su dispositivo, tiene que incluir reglas que permitan el acceso de UDP a través del puerto 4500. Compruebe si su dispositivo anuncia NAT-T.

Múltiples escenarios de conexión de VPN

A continuación, presentamos varios escenarios en los que puede crear varias conexiones de VPN con uno o varios dispositivos de gateway de cliente.

Varias conexiones de VPN que utilizan el mismo dispositivo de gateway de cliente

Puede crear conexiones de VPN adicionales desde la ubicación de las instalaciones a otras VPC con el mismo dispositivo de gateway de cliente. Puede reutilizar la misma dirección IP de gateway de cliente para cada una de estas conexiones de VPN.

Conexión de VPN redundante que usa otro dispositivo de gateway de cliente

Para protegerse contra la pérdida de conectividad en caso de que el dispositivo de gateway de cliente deje de estar disponible, puede configurar otra conexión de VPN que use otro dispositivo de gateway de cliente. Para obtener más información, consulte Uso de conexiones redundantes de Site-to-Site VPN para realizar la conmutación por error. Al establecer dispositivos de gateway de cliente redundantes en una única ubicación, ambos dispositivos deberían anunciar los mismos rangos IP.

Varios dispositivos de gateway de cliente a una única gateway privada virtual (AWS VPN CloudHub)

Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivos de gateway de cliente. Esto le permite tener varias ubicaciones conectadas a AWS VPN CloudHub. Para obtener más información, consulte Comunicaciones seguras entre sitios mediante VPN CloudHub. Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo debería anunciar un único conjunto de rangos IP específicos de la ubicación.

Enrutamiento para su dispositivo de gateway de cliente

AWS recomienda anunciar rutas de BGP específicas para influir en las decisiones de enrutamiento de la gateway privada virtual. Compruebe la documentación de su proveedor acerca de los comandos específicos de su dispositivo.

Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPN apropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, La ruta depende de cómo se haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente a las rutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual. Si selecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.

Para obtener más información sobre la prioridad de una ruta, consulte Tablas de enrutamiento y prioridad de rutas de VPN.