Démarrer avec AWS Site-to-Site VPN

Utilisez la procédure suivante pour configurer une connexion AWS Site-to-Site VPN. Pendant la création, vous devrez spécifier une passerelle réseau privé virtuel, une passerelle de transit ou l'option « Non associée » comme type de passerelle cible. Si vous spécifiez « Non associée », vous pouvez choisir le type de passerelle cible ultérieurement ou l'utiliser comme attachement de VPN pour Cloud WAN AWS. Ce didacticiel vous aide à créer une connexion VPN en utilisant une passerelle réseau privé virtuel. Il considère que vous disposez déjà d'un VPC doté d'un ou plusieurs sous-réseaux.

Pour configurer une connexion VPN en utilisant une passerelle réseau privé virtuel, procédez comme suit :

Tâches associées

• Pour créer une connexion VPN pour Cloud WAN AWS, consultez Création d'un attachement de VPN pour Cloud WAN AWS.

• Pour créer une connexion VPN sur une passerelle de transit, consultez Création d'un attachement de VPN de passerelle de transit.

Prérequis

Vous avez besoin des informations suivantes pour installer et configurer les composants d'une connexion VPN.

Élément	Informations
Périphérique de passerelle client	Périphérique physique ou logiciel de votre côté de la connexion VPN. Vous avez besoin du fournisseur (par exemple, Cisco), de la plateforme (par exemple, routeurs ISR) et de la version du logiciel (par exemple, IOS 12.4)
Passerelle client	Pour créer la ressource de passerelle client dans AWS, vous avez besoin des informations suivantes : Adresse IP routable par Internet de l'interface externe du périphérique Type de routage : statique ou dynamique Pour le routage dynamique, numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) (Facultatif) Certificat privé de AWS Private Certificate Authority pour authentifier votre VPN Pour de plus amples informations, veuillez consulter Options de passerelle client.
(Facultatif) L'ASN du côté AWS de la session BGP	Vous le spécifiez lorsque vous créez une passerelle réseau privé virtuel ou une passerelle de transit. Si vous ne spécifiez pas de valeur, l'ASN par défaut s'applique. Pour plus d'informations, consultez Passerelle réseau privé virtuel.
Connexion VPN	Pour créer la connexion VPN, vous avez besoin des informations suivantes : Pour le routage statique, préfixes IP de votre réseau privé. (Facultatif) Options de tunnel de chaque tunnel VPN. Pour de plus amples informations, veuillez consulter Options de tunnel pour votre connexion Site-to-Site VPN.

Étape 1 : Création d'une passerelle client

Une passerelle client fournit des informations à AWS au sujet de votre périphérique ou application logicielle de passerelle client. Pour plus d'informations, consultez Passerelle client.

Si vous prévoyez d'utiliser un certificat privé pour authentifier votre VPN, créez un certificat privé à partir d'une autorité de certification subordonnée à l'aide de AWS Private Certificate Authority. Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter Création et gestion d'une autorité de certification privée dans le Guide de l'utilisateur AWS Private Certificate Authority.

Note

Vous devez spécifier une adresse IP ou l'Amazon Resource Name (ARN) du certificat privé.

Pour créer une passerelle client avec la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Passerelles client.

3. Choisissez Créer la passerelle client.

4. (Facultatif) Pour Name tag (Étiquette de nom), entrez un nom pour votre passerelle client. Une identification est alors créée avec la clé Name et la valeur que vous spécifiez.

5. Dans BGP ASN (Version du moteur de cache), saisissez le numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de votre passerelle client.

6. (Facultatif) Pour IP address (Adresse IP), entrez l'adresse IP statique routable sur Internet pour votre périphérique de passerelle client. Si votre appareil de passerelle client est situé derrière un appareil NAT activé pour NAT-T, utilisez l'adresse IP publique de l’appareil NAT.

7. (Facultatif) Si vous souhaitez utiliser un certificat privé, pour ARN du certificat, choisissez l'Amazon Resource Name (ARN) du certificat privé.

8. (Facultatif) Pour Appareil, saisissez un nom pour l'appareil de passerelle client associé à cette passerelle client.

9. Choisissez Créer la passerelle client.

Pour créer une passerelle client à l'aide de la ligne de commande ou de l'API

• CreateCustomerGateway (API de requête Amazon EC2)

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

Étape 2 : Création d'une passerelle cible

Pour établir une connexion VPN entre votre VPC et votre réseau sur site, vous devez créer une passerelle cible du côté AWS de la connexion. La passerelle cible peut être une passerelle réseau privé virtuel ou une passerelle de transit.

Créer une passerelle réseau privé virtuel

Lorsque vous créez une passerelle réseau privé virtuel, vous pouvez spécifier le numéro d'ASN (Autonomous System Number) privé pour le côté Amazon de la passerelle. Ce numéro d'ASN doit être différent de celui spécifié pour la passerelle client.

Après avoir créé une passerelle réseau privé virtuel, vous devez l'attacher à votre VPC.

Pour créer une passerelle réseau privé virtuel et l'attacher à votre VPC

1. Dans le volet de navigation, choisissez Passerelles réseau privé virtuel.

2. Cliquez sur Create virtual private gateway (Créer une passerelle réseau privé virtuel).

3. (Facultatif) Pour Identification de nom, saisissez un nom pour la passerelle réseau privé virtuel. Une identification est alors créée avec la clé Name et la valeur que vous spécifiez.

4. Pour Numéro de système autonome (ASN), conservez la sélection par défaut, ASN par défaut Amazon, pour utiliser l'ASN par défaut Amazon. Sinon, choisissez ASN personnalisé et entrez une valeur. Pour un ASN de 16 bits, la valeur doit être comprise entre 64512 et 65534. Pour un ASN de 32 bits, la valeur doit être comprise entre 4200000000 et 4294967294.

5. Cliquez sur Create virtual private gateway (Créer une passerelle réseau privé virtuel).

6. Sélectionnez la passerelle réseau privé virtuel que vous avez créée, puis choisissez Actions, Attach to VPC (Attacher au VPC).

7. Pour VPC disponibles, choisissez votre VPC, puis Attacher au VPC.

Pour créer une passerelle réseau privé virtuel à l'aide de la ligne de commande ou de l'API

• CreateVpnGateway (API de requête Amazon EC2)

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

Pour attacher une passerelle réseau privé virtuel à un VPC à l'aide de la ligne de commande ou de l'API

• AttachVpnGateway (API de requête Amazon EC2)

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Créer une passerelle de transit

Pour plus d'informations sur la création d'une passerelle de transit, consultez Passerelles de transit dans Passerelles de transit Amazon VPC.

Étape 3 : Configuration du routage

Pour permettre aux instances de votre VPC d'atteindre la passerelle client, vous devez configurer la table de routage pour y inclure les routes utilisées par la connexion VPN et les diriger vers la passerelle réseau privé virtuel ou la passerelle de transit.

(Passerelle réseau privé virtuel) Activer la propagation de route dans votre table de routage

Vous pouvez activer la propagation de route pour que votre table de routage propage automatiquement les routes Site-to-Site VPN.

Pour un routage statique, les préfixes IP statiques que vous spécifiez dans votre configuration VPN sont propagés vers la table de routage lorsque la connexion VPN a le statut UP. De même, pour un routage dynamique, les routes publiées par BGP depuis votre passerelle client sont propagées vers la table de routage quand la connexion VPN a le statut UP.

Note

Si votre connexion est interrompue mais que la connexion VPN reste à l'état UP (en fonction), toutes les routes propagées qui se trouvent dans votre table de routage ne sont pas automatiquement supprimées. Gardez cela à l'esprit si, par exemple, vous voulez que le trafic soit transféré à une route statique en cas de besoin. Dans ce cas, vous devrez peut-être désactiver la propagation de route pour supprimer les routes propagées.

Pour activer la propagation de route avec la console

1. Dans le volet de navigation, choisissez Route tables (Tables de routage).

2. Sélectionnez la table de routage associée au sous-réseau.

3. Dans l'onglet Propagation de routage, choisissez Modifier la propagation de routage. Sélectionnez la passerelle réseau privé virtuel que vous avez créée dans la procédure précédente, puis choisissez Enregistrer.

Note

Si vous n'autorisez pas la propagation de routage, vous devez saisir manuellement les routes statiques utilisées par votre connexion VPN. Pour ce faire, sélectionnez votre table de routage et choisissez Routes, Modifier. Pour Destination, ajoutez la route statique utilisée par votre connexion Site-to-Site VPN. Pour Cible, sélectionnez l'ID de passerelle réseau privé virtuel et choisissez Enregistrer.

Pour désactiver la propagation de route avec la console

1. Dans le volet de navigation, choisissez Route tables (Tables de routage).

2. Sélectionnez la table de routage associée au sous-réseau.

3. Dans l'onglet Propagation de routage, choisissez Modifier la propagation de routage. Décochez la case Propager correspondant à la passerelle réseau privé virtuel.

4. Choisissez Save (Enregistrer).

Pour activer la propagation de route à l'aide de la ligne de commande ou d'une API

• EnableVgwRoutePropagation (API de requête Amazon EC2)

• enable-vgw-route-propagation (AWS CLI)

• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Pour désactiver la propagation de route à l'aide de la ligne de commande ou d'une API

• DisableVgwRoutePropagation (API de requête Amazon EC2)

• disable-vgw-route-propagation (AWS CLI)

• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Passerelle de transit) Ajouter une route à votre table de routage

Si vous avez activé la propagation de la table de routage pour votre passerelle de transit, les routes de l'attachement VPN sont propagées vers la table de routage de la passerelle de transit. Pour plus d'informations, consultez Routage dans Passerelles de transit Amazon VPC.

Si vous attachez un VPC à votre passerelle de transit et que vous souhaitez permettre aux ressources du VPC d'atteindre votre passerelle client, vous devez ajouter à votre table de routage de sous-réseau une route pointant vers la passerelle de transit.

Pour ajouter une route vers une table de routage de VPC

1. Dans le volet de navigation, choisissez Tables de routage.

2. Choisissez la table de routage associée à votre VPC.

3. Dans l'onglet Routes, choisissez Edit routes (Modifier les routes).

4. Choisissez Ajouter une route.

5. Pour Destination, saisissez la plage d'adresses IP de destination. Pour Cible, choisissez la passerelle de transit.

6. Choisissez Enregistrer les modifications.

Étape 3 : Mise à jour du groupe de sécurité

Pour autoriser l'accès aux instances dans votre VPC à partir de votre réseau, vous devez mettre à jour les règles des groupes de sécurité afin de permettre l'accès SSH, RDP et ICMP entrant.

Pour ajouter des règles à votre groupe de sécurité afin d'autoriser l'accès

1. Dans le panneau de navigation, choisissez Groupes de sécurité.

2. Sélectionnez le groupe de sécurité par défaut du VPC.

3. Sous l'onglet Inbound Rules (Règles entrantes), sélectionnez Edit inbound rules (Modifier les règles entrantes).

4. Ajoutez des règles qui autorisent l'accès SSH, RDP et ICMP entrant depuis votre réseau, puis choisissez Enregistrer les règles. Pour en savoir plus, consultez Utilisation de règles de groupe de sécurité dans le Guide de l'utilisateur Amazon VPC.

Étape 5 : Création d'une connexion VPN

Créez la connexion VPN en utilisant la passerelle client en association avec la passerelle réseau privé virtuel ou la passerelle de transit que vous avez créée précédemment.

Pour créer une connexion VPN :

1. Dans le volet de navigation, choisissez Connexions VPN site à site.

2. Choisissez Create VPN connection (Créer une connexion VPN).

3. (Facultatif) Pour Identification de nom, saisissez un nom pour votre connexion VPN. Cette étape crée une balise avec une clé de Name et la valeur que vous spécifiez.

4. Pour Target Gateway Type (Type de passerelle cible), choisissez Virtual Private Gateway (Passerelle réseau privé virtuel) ou Transit Gateway (Passerelle de transit). Ensuite, choisissez la passerelle réseau privé virtuel ou la passerelle de transit que vous avez créée précédemment.

5. Pour Passerelle client, sélectionnez Existante, puis choisissez la passerelle client que vous avez créée précédemment à partir de ID de passerelle client.

6. Sélectionnez une des options de routage en fonction de la prise en charge ou non de Border Gateway Protocol (BGP) par votre périphérique de passerelle client :

   • Si votre périphérique de passerelle client prend en charge BGP, choisissez Dynamique (nécessite BGP).

   • Si votre périphérique de passerelle client ne prend pas en charge BGP, choisissez Statique. Pour Préfixes IP statiques, spécifiez chaque préfixe IP pour le réseau privé de votre connexion VPN.

7. Si votre type de passerelle cible est la passerelle de transit, pour Version des adresses IP internes du tunnel, indiquez si les tunnels VPN prennent en charge le trafic IPv4 ou IPv6. Le trafic IPv6 n'est pris en charge que pour les connexions VPN sur une passerelle de transit.

8. Si vous avez spécifié IPv4 pour Version des adresses IP internes du tunnel, vous pouvez éventuellement spécifier les plages d'adresses CIDR IPv4 pour la passerelle client et les côtés AWS autorisés à communiquer via les tunnels VPN. La valeur par défaut est 0.0.0.0/0.

   Si vous avez spécifié IPv6 pour Version des adresses IP internes du tunnel, vous pouvez éventuellement spécifier les plages d'adresses CIDR IPv6 pour la passerelle client et les côtés AWS autorisés à communiquer via les tunnels VPN. La valeur par défaut pour les deux plages est ::/0.

9. Pour Type d'adresse IP externe, conservez l'option par défaut, PublicIpv4.

10. (Facultatif) Pour Options de tunnel, vous pouvez spécifier les informations suivantes pour chaque tunnel :

    • Bloc d’adresses CIDR de taille /30 IPv4 de la plage 169.254.0.0/16 pour les adresses IPv4 internes du tunnel.

    • Si vous avez spécifié IPv6 pour Version des adresses IP internes du tunnel, un bloc d'adresses CIDR /126 IPv6 de la plage fd00::/8 pour les adresses IPv6 internes du tunnel.

    • La clé pré-partagée (PSK) IKE. Les versions suivantes sont prises en charge : IKEv1 et IKEv2.

    • Pour modifier les options avancées de votre tunnel, choisissez Modifier les options du tunnel. Pour de plus amples informations, veuillez consulter Options de tunnel VPN.

11. Choisissez Create VPN connection (Créer une connexion VPN). La création de la connexion VPN peut prendre quelques minutes.

Pour créer une connexion VPN à l'aide de la ligne de commande ou de l'API

• CreateVpnConnection (API de requête Amazon EC2)

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

Étape 6 : Téléchargement du fichier de configuration

Après avoir créé la connexion VPN, vous pouvez télécharger un exemple de fichier de configuration à utiliser pour configurer l'appareil de passerelle client.

Important

Le fichier de configuration présenté est un simple exemple et peut ne pas correspondre entièrement aux paramètres de connexion VPN que vous souhaitez. Il spécifie la configuration minimale requise pour une connexion VPN d'AES128, SHA1 et Diffie-Hellman groupe 2 dans la plupart des régions AWS, et AES128, SHA2 et Diffie-Hellman groupe 14 dans les régions AWS GovCloud. Il spécifie également des clés prépartagées pour l'authentification. Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic IPv6.

Nous avons introduit la prise en charge d'IKEv2 dans les fichiers de configuration pour de nombreux périphériques de passerelle client très répandus et continuerons d'ajouter des fichiers supplémentaires au fil du temps. Pour obtenir la liste des fichiers de configuration avec prise en charge d'IKEv2, consultez Votre périphérique de passerelle client.

Autorisations

Pour charger correctement l'écran de configuration du téléchargement à partir de la AWS Management Console, vous devez vérifier que votre rôle ou utilisateur IAM dispose de l'autorisation nécessaire pour les API Amazon EC2 suivantes : GetVpnConnectionDeviceTypes et GetVpnConnectionDeviceSampleConfiguration.

Pour télécharger le fichier de configuration en utilisant la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Connexions VPN site à site.

3. Sélectionnez votre connexion VPN, puis choisissez Télécharger la configuration.

4. Sélectionnez le fournisseur, la plateforme, les logiciels et la version IKE qui correspondent à votre appareil de passerelle client. Si votre périphérique n'est pas répertorié, choisissez Generic (Générique).

5. Choisissez Téléchargement.

Pour télécharger un exemple de fichier de configuration à l'aide de la ligne de commande ou de l'API

• GetVPNConnectionDeviceTypes (API de requête Amazon EC2)

• GetVPNConnectionDeviceSampleConfiguration (API de requête Amazon EC2)

• get-vpn-connection-device-types (AWS CLI)

• get-vpn-connection-device-sample-configuration (AWS CLI)

Étape 7 : Configuration de l'appareil de passerelle client

Utilisez l'exemple de fichier de configuration pour configurer votre périphérique de passerelle client. Un appareil de passerelle client est une appliance physique ou logicielle située de votre côté de la connexion VPN. Pour de plus amples informations, veuillez consulter Votre périphérique de passerelle client.