Commencez avec AWS Site-to-Site VPN

Pour configurer une AWS Site-to-Site VPN connexion, procédez comme suit. Pendant la création, vous devrez spécifier une passerelle réseau privé virtuel, une passerelle de transit ou l'option « Non associée » comme type de passerelle cible. Si vous spécifiez « Non associé », vous pouvez choisir le type de passerelle cible ultérieurement, ou vous pouvez l'utiliser comme VPN pièce jointe pour AWS CloudWAN. Ce didacticiel vous aide à créer une VPN connexion à l'aide d'une passerelle privée virtuelle. Cela suppose que vous en avez un existant VPC avec un ou plusieurs sous-réseaux.

Pour configurer une VPN connexion à l'aide d'une passerelle privée virtuelle, procédez comme suit :

Tâches associées

• Pour créer une VPN connexion pour AWS le cloudWAN, consultezCréation d'une WAN VPN pièce jointe dans le cloud.

• Pour créer une VPN connexion sur une passerelle de transit, voirCréation d'une VPN pièce jointe à une passerelle de transit.

Prérequis

Vous avez besoin des informations suivantes pour configurer et configurer les composants d'une VPN connexion.

Élément	Informations
Périphérique de passerelle client	Le périphérique physique ou logiciel situé de votre côté de la VPN connexion. Vous avez besoin du fournisseur (par exemple, Cisco), de la plate-forme (par exemple, les routeurs de ISR série) et de la version du logiciel (par exemple, IOS 12.4).
Passerelle client	Pour créer la ressource de passerelle client dans AWS, vous avez besoin des informations suivantes : Adresse IP routable par Internet de l'interface externe du périphérique Type de routage : statique ou dynamique Pour le routage dynamique, le Border Gateway Protocol (BGP) Autonomous System Number (ASN) (Facultatif) Formulaire de certificat privé AWS Private Certificate Authority pour authentifier votre VPN Pour de plus amples informations, veuillez consulter Options de passerelle client.
(Facultatif) Le ASN pour le AWS côté de la BGP session	Vous le spécifiez lorsque vous créez une passerelle réseau privé virtuel ou une passerelle de transit. Si vous ne spécifiez aucune valeur, la valeur par défaut ASN s'applique. Pour de plus amples informations, veuillez consulter Passerelle réseau privé virtuel.
VPNconnexion	Pour créer la VPN connexion, vous avez besoin des informations suivantes : Pour le routage statique, préfixes IP de votre réseau privé. (Facultatif) Options de tunnel pour chaque VPN tunnel. Pour de plus amples informations, veuillez consulter Options de tunnel pour votre AWS Site-to-Site VPN connexion.

Étape 1 : Création d'une passerelle client

Une passerelle client fournit des informations AWS sur votre dispositif de passerelle client ou votre application logicielle. Pour de plus amples informations, veuillez consulter Passerelle client.

Si vous prévoyez d'utiliser un certificat privé pour authentifier votreVPN, créez un certificat privé auprès d'une autorité de certification subordonnée à l'aide de. AWS Private Certificate Authority Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter Création et gestion d'une autorité de certification privée dans le Guide de l'utilisateur AWS Private Certificate Authority .

Note

Vous devez spécifier une adresse IP ou l'Amazon Resource Name (ARN) du certificat privé.

Pour créer une passerelle client avec la console

1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Passerelles client.

3. Choisissez Créer la passerelle client.

4. (Facultatif) Pour Name tag (Étiquette de nom), entrez un nom pour votre passerelle client. Une identification est alors créée avec la clé Name et la valeur que vous spécifiez.

5. Pour BGPASN, entrez un numéro de système autonome (BGP) Border Gateway Protocol (ASN) pour votre passerelle client.

6. (Facultatif) Pour IP address (Adresse IP), entrez l'adresse IP statique routable sur Internet pour votre périphérique de passerelle client. Si votre passerelle client se trouve derrière un NAT appareil activé pour NAT -T, utilisez l'adresse IP publique de l'NATappareil.

7. (Facultatif) Si vous souhaitez utiliser un certificat privé, dans Certificat ARN, choisissez le nom de ressource Amazon du certificat privé.

8. (Facultatif) Pour Appareil, saisissez un nom pour l'appareil de passerelle client associé à cette passerelle client.

9. Choisissez Créer la passerelle client.

Pour créer une passerelle client à l'aide de la ligne de commande ou API

• CreateCustomerGateway(EC2Requête AmazonAPI)

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

Étape 2 : Création d'une passerelle cible

Pour établir une VPN connexion entre votre réseau VPC et votre réseau local, vous devez créer une passerelle cible du AWS côté de la connexion. La passerelle cible peut être une passerelle réseau privé virtuel ou une passerelle de transit.

Créer une passerelle réseau privé virtuel

Lorsque vous créez une passerelle privée virtuelle, vous pouvez spécifier un numéro de système autonome privé personnalisé (ASN) pour le côté Amazon de la passerelle, ou utiliser le numéro par défaut d'AmazonASN. Cela ASN doit être différent de celui ASN que vous avez spécifié pour la passerelle client.

Après avoir créé une passerelle privée virtuelle, vous devez l'associer à votreVPC.

Pour créer une passerelle privée virtuelle et l'associer à votre VPC

1. Dans le volet de navigation, choisissez Passerelles réseau privé virtuel.

2. Cliquez sur Create virtual private gateway (Créer une passerelle réseau privé virtuel).

3. (Facultatif) Pour Identification de nom, saisissez un nom pour la passerelle réseau privé virtuel. Une identification est alors créée avec la clé Name et la valeur que vous spécifiez.

4. Pour Autonomous System ASN Number (), conservez la sélection par défautASN, Amazon default, pour utiliser Amazon par défautASN. Sinon, choisissez Personnalisé ASN et entrez une valeur. Pour un 16 bitsASN, la valeur doit être comprise entre 64512 et 65534. Pour un 32 bitsASN, la valeur doit être comprise entre 4200000000 et 4294967294.

5. Cliquez sur Create virtual private gateway (Créer une passerelle réseau privé virtuel).

6. Sélectionnez la passerelle privée virtuelle que vous avez créée, puis choisissez Actions, Attacher à VPC.

7. Dans Disponible VPCs, choisissez votre, VPC puis choisissez Joindre à VPC.

Pour créer une passerelle privée virtuelle à l'aide de la ligne de commande ou API

• CreateVpnGateway(EC2Requête AmazonAPI)

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

Pour associer une passerelle privée virtuelle à un à VPC l'aide de la ligne de commande ou API

• AttachVpnGateway(EC2Requête AmazonAPI)

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Créer une passerelle de transit

Pour plus d'informations sur la création d'une passerelle de transit, consultez la section Passerelles de transit dans Amazon VPC Transit Gateways.

Étape 3 : Configuration du routage

Pour permettre aux instances de votre passerelle client d'accéder VPC à votre table de routage, vous devez configurer votre table de routage pour inclure les itinéraires utilisés par votre VPN connexion et les pointer vers votre passerelle privée virtuelle ou votre passerelle de transit.

(Passerelle réseau privé virtuel) Activer la propagation de route dans votre table de routage

Vous pouvez activer la propagation des itinéraires pour que votre table de routage propage automatiquement Site-to-Site VPN les itinéraires.

Pour le routage statique, les préfixes IP statiques que vous spécifiez pour votre VPN configuration sont propagés à la table de routage lorsque l'état de la VPN connexion est. UP De même, pour le routage dynamique, les itinéraires BGP annoncés depuis votre passerelle client sont propagés vers la table de routage lorsque l'état de la VPN connexion est. UP

Note

Si votre connexion est interrompue mais qu'elle reste active, les routes propagées figurant dans votre table de routage ne sont pas automatiquement supprimées. VPN Gardez cela à l'esprit si, par exemple, vous voulez que le trafic soit transféré à une route statique en cas de besoin. Dans ce cas, vous devrez peut-être désactiver la propagation de route pour supprimer les routes propagées.

Pour activer la propagation de route avec la console

1. Dans le volet de navigation, choisissez Route tables (Tables de routage).

2. Sélectionnez la table de routage associée au sous-réseau.

3. Dans l'onglet Propagation de routage, choisissez Modifier la propagation de routage. Sélectionnez la passerelle réseau privé virtuel que vous avez créée dans la procédure précédente, puis choisissez Enregistrer.

Note

Si vous n'activez pas la propagation des itinéraires, vous devez saisir manuellement les itinéraires statiques utilisés par votre VPN connexion. Pour ce faire, sélectionnez votre table de routage et choisissez Routes, Modifier. Pour Destination, ajoutez la route statique utilisée par votre Site-to-Site VPN connexion. Pour Cible, sélectionnez l'ID de passerelle réseau privé virtuel et choisissez Enregistrer.

Pour désactiver la propagation de route avec la console

1. Dans le volet de navigation, choisissez Route tables (Tables de routage).

2. Sélectionnez la table de routage associée au sous-réseau.

3. Dans l'onglet Propagation de routage, choisissez Modifier la propagation de routage. Décochez la case Propager correspondant à la passerelle réseau privé virtuel.

4. Choisissez Save (Enregistrer).

Pour activer la propagation des itinéraires à l'aide de la ligne de commande ou API

• EnableVgwRoutePropagation(EC2Requête AmazonAPI)

• enable-vgw-route-propagation (AWS CLI)

• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Pour désactiver la propagation des itinéraires à l'aide de la ligne de commande ou API

• DisableVgwRoutePropagation(EC2Requête AmazonAPI)

• disable-vgw-route-propagation (AWS CLI)

• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Passerelle de transit) Ajouter une route à votre table de routage

Si vous avez activé la propagation de la table de routage pour votre passerelle de transit, les itinéraires de la VPN pièce jointe sont propagés vers la table de routage de la passerelle de transit. Pour plus d'informations, consultez la section Routage dans Amazon VPC Transit Gateways.

Si vous attachez une VPC à votre passerelle de transit et que vous souhaitez activer les ressources de cette passerelle VPC pour atteindre votre passerelle client, vous devez ajouter un itinéraire à la table de routage de votre sous-réseau pour pointer vers la passerelle de transit.

Pour ajouter un itinéraire à une table de VPC routage

1. Dans le volet de navigation, choisissez Tables de routage.

2. Choisissez la table de routage associée à votreVPC.

3. Dans l'onglet Routes, choisissez Edit routes (Modifier les routes).

4. Choisissez Ajouter une route.

5. Pour Destination, saisissez la plage d'adresses IP de destination. Pour Cible, choisissez la passerelle de transit.

6. Sélectionnez Enregistrer les modifications.

Étape 3 : Mise à jour du groupe de sécurité

Pour autoriser l'accès aux instances VPC de votre réseau depuis votre réseau, vous devez mettre à jour les règles de votre groupe de sécurité afin d'activer le trafic entrant SSH et ICMP l'accès. RDP

Pour ajouter des règles à votre groupe de sécurité afin d'autoriser l'accès

1. Dans le panneau de navigation, choisissez Groupes de sécurité.

2. Sélectionnez le groupe de sécurité pour les instances VPC auxquelles vous souhaitez autoriser l'accès.

3. Sous l’onglet Inbound Rules (Règles entrantes), sélectionnez Edit inbound rules (Modifier les règles entrantes).

4. Ajoutez des règles qui autorisent le trafic entrant SSH et ICMP l'accès depuis votre réseau, puis choisissez Enregistrer les règles. RDP Pour plus d'informations, consultez la section Utiliser les règles des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

Étape 5 : Création d'une VPN connexion

Créez la VPN connexion à l'aide de la passerelle client en combinaison avec la passerelle privée virtuelle ou la passerelle de transit que vous avez créée précédemment.

Pour créer une connexion VPN

1. Dans le volet de navigation, sélectionnez Site-to-Site VPNconnections.

2. Choisissez Créer une VPN connexion.

3. (Facultatif) Dans le champ Name tag, saisissez le nom de votre VPN connexion. Cette étape crée une balise avec une clé de Name et la valeur que vous spécifiez.

4. Pour Target Gateway Type (Type de passerelle cible), choisissez Virtual Private Gateway (Passerelle réseau privé virtuel) ou Transit Gateway (Passerelle de transit). Ensuite, choisissez la passerelle réseau privé virtuel ou la passerelle de transit que vous avez créée précédemment.

5. Pour Passerelle client, sélectionnez Existante, puis choisissez la passerelle client que vous avez créée précédemment à partir de ID de passerelle client.

6. Sélectionnez l'une des options de routage selon que votre dispositif de passerelle client prend en charge le protocole Border Gateway (BGP) :

   • Si votre dispositif de passerelle client est compatibleBGP, choisissez Dynamic (obligatoireBGP).

   • Si votre dispositif de passerelle client n'est pas compatibleBGP, choisissez Static. Pour les préfixes IP statiques, spécifiez chaque préfixe IP pour le réseau privé de votre VPN connexion.

7. Si votre type de passerelle cible est une passerelle de transit, pour la version Tunnel inside IP, spécifiez si les VPN tunnels prennent en charge le IPv6 trafic IPv4 ou le trafic. IPv6le trafic n'est pris en charge que pour VPN les connexions sur une passerelle de transit.

8. Si vous avez spécifié IPv4la version Tunnel inside IP, vous pouvez éventuellement spécifier les IPv4 CIDR plages pour la passerelle client et AWS les côtés autorisés à communiquer via les VPN tunnels. L’argument par défaut est 0.0.0.0/0.

   Si vous avez spécifié IPv6la version Tunnel inside IP, vous pouvez éventuellement spécifier les IPv6 CIDR plages pour la passerelle client et AWS les côtés autorisés à communiquer via les VPN tunnels. La valeur par défaut pour les deux plages est ::/0.

9. Pour le type d'adresse IP externe, conservez l'option par défaut, PublicIpv4.

10. (Facultatif) Pour Options de tunnel, vous pouvez spécifier les informations suivantes pour chaque tunnel :

    • Un IPv4 CIDR bloc de taille /30 par rapport à la 169.254.0.0/16 plage des IPv4 adresses du tunnel intérieur.

    • Si vous avez spécifié IPv6pour la version IP du tunnel intérieur, un IPv6 CIDR bloc /126 à partir de la fd00::/8 plage des IPv6 adresses du tunnel intérieur.

    • La clé IKE pré-partagée (PSK). Les versions suivantes sont prises en charge : IKEv1 ouIKEv2.

    • Pour modifier les options avancées de votre tunnel, choisissez Modifier les options du tunnel. Pour de plus amples informations, veuillez consulter Options de tunnel VPN.

11. Choisissez Créer une VPN connexion. La création de la VPN connexion peut prendre quelques minutes.

Pour créer une VPN connexion à l'aide de la ligne de commande ou API

• CreateVpnConnection(EC2Requête AmazonAPI)

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

Étape 6 : Téléchargement du fichier de configuration

Après avoir créé la VPN connexion, vous pouvez télécharger un exemple de fichier de configuration à utiliser pour configurer le dispositif de passerelle client.

Important

Le fichier de configuration n'est qu'un exemple et peut ne pas correspondre entièrement aux paramètres de VPN connexion souhaités. Il spécifie les exigences minimales pour une VPN connexion de AES128SHA1, et Diffie-Hellman groupe 2 dans la plupart des AWS régions, et, AES128SHA2, et Diffie-Hellman groupe 14 dans les régions. AWS GovCloud Il spécifie également des clés prépartagées pour l'authentification. Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic. IPv6

Nous avons intégré la IKEv2 prise en charge des fichiers de configuration pour de nombreux appareils de passerelle client courants et nous continuerons d'ajouter des fichiers supplémentaires au fil du temps. Pour obtenir la liste des fichiers de configuration pris en IKEv2 charge, consultezAWS Site-to-Site VPN dispositifs de passerelle client.

Autorisations

Pour charger correctement l'écran de configuration du téléchargement depuis le AWS Management Console, vous devez vous assurer que votre IAM rôle ou utilisateur est autorisé à accéder à l'Amazon suivant EC2 APIs : GetVpnConnectionDeviceTypes etGetVpnConnectionDeviceSampleConfiguration.

Pour télécharger le fichier de configuration en utilisant la console

1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, sélectionnez Site-to-Site VPNconnections.

3. Sélectionnez votre VPN connexion et choisissez Télécharger la configuration.

4. Sélectionnez le fournisseur, la plate-forme, le logiciel et IKEla version correspondant à votre dispositif de passerelle client. Si votre périphérique n'est pas répertorié, choisissez Generic (Générique).

5. Choisissez Téléchargement.

Pour télécharger un exemple de fichier de configuration à l'aide de la ligne de commande ou API

• GetVpnConnectionDeviceTypes(Amazon EC2API)

• GetVpnConnectionDeviceSampleConfiguration(EC2Requête AmazonAPI)

• get-vpn-connection-device-types ()AWS CLI

• get-vpn-connection-device-exemple de configuration ()AWS CLI

Étape 7 : Configuration de l'appareil de passerelle client

Utilisez l'exemple de fichier de configuration pour configurer votre périphérique de passerelle client. Le dispositif de passerelle client est l'appliance physique ou logicielle située de votre côté de la VPN connexion. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN dispositifs de passerelle client.