Règles de pare-feu pour votre dispositif de passerelle client

Vous devez disposer d'une adresse IP statique à utiliser comme point de terminaison pour les IPsec tunnels qui connectent votre dispositif de passerelle client aux AWS Site-to-Site VPN points de terminaison. Si un pare-feu est en place entre AWS et votre dispositif de passerelle client, les règles décrites dans les tableaux suivants doivent être en place pour établir les IPsec tunnels. Les adresses IP du AWS côté -side figureront dans le fichier de configuration.

Règle entrante I1
IP Source	Adresse IP extérieure Tunnel1
IP Dest	Passerelle client
Protocole	UDP
Port source	500
Destination	500
Règle entrante I2
IP Source	Adresse IP extérieure Tunnel2
IP Dest	Passerelle client
Protocole	UDP
Port source	500
Port de destination	500
Règle entrante I3
IP Source	Adresse IP extérieure Tunnel1
IP Dest	Passerelle client
Protocole	IP 50 (ESP)
Règle entrante I4
IP Source	Adresse IP extérieure Tunnel2
IP Dest	Passerelle client
Protocole	IP 50 (ESP)

Règle sortante O1
IP Source	Passerelle client
IP Dest	Adresse IP extérieure Tunnel1
Protocole	UDP
Port source	500
Port de destination	500
Règle sortante O2
IP Source	Passerelle client
IP Dest	Adresse IP extérieure Tunnel2
Protocole	UDP
Port source	500
Port de destination	500
Règle sortante O3
IP Source	Passerelle client
IP Dest	Adresse IP extérieure Tunnel1
Protocole	IP 50 (ESP)
Règle sortante O4
IP Source	Passerelle client
IP Dest	Adresse IP extérieure Tunnel2
Protocole	IP 50 (ESP)

Les règles I1, I2, O1 et O2 permettent la transmission de paquets. IKE Les règles I3, I4, O3 et O4 permettent la transmission de IPsec paquets contenant le trafic réseau chiffré.

Note

Si vous utilisez la NAT traversée (NAT-T) sur votre appareil, assurez-vous que le UDP trafic sur le port 4500 est également autorisé à passer entre votre réseau et les AWS Site-to-Site VPN points de terminaison. Vérifiez si votre appareil fait de la publicité NAT pour -T.