Options de tunnel pour votre connexion Site-to-Site VPN - AWS Site-to-Site VPN

Options de tunnel pour votre connexion Site-to-Site VPN

Vous utilisez une connexion Site-to-Site VPN pour connecter votre réseau distant à un VPC. Chaque connexion Site-to-Site VPN a deux tunnels, chacun utilisant une adresse IP publique unique. Il est important de configurer deux tunnels pour la redondance. Quand un tunnel devient indisponible (par exemple, à des fins de maintenance), le trafic réseau est automatiquement acheminé vers le tunnel disponible pour cette connexion Site-to-Site VPN spécifique.

Le schéma suivant illustre les deux tunnels d'une connexion VPN. Chaque tunnel se termine dans une zone de disponibilité différente afin d'améliorer la disponibilité. Le trafic en provenance du réseau sur site vers AWS utilise les deux tunnels. Le trafic en provenance d'AWS vers le réseau sur site préfère l'un des tunnels, mais il peut basculer automatiquement vers l'autre tunnel en cas de panne du côté d'AWS.

Les deux tunnels d'une connexion VPN entre une passerelle réseau privé virtuel et une passerelle client.

Lorsque vous créez une connexion Site-to-Site VPN, vous téléchargez un fichier de configuration spécifique à votre périphérique de passerelle client qui contient les informations nécessaires à la configuration du périphérique, notamment pour chacun des tunnels. Si vous le souhaitez, vous pouvez spécifier vous-même certaines options de tunnel lorsque vous créez la connexion Site-to-Site VPN. Sinon, AWS fournit des valeurs par défaut.

Note

Les points de terminaison du tunnel VPN de site à site évaluent les propositions de votre passerelle client en commençant par la valeur configurée la plus basse dans la liste ci-dessous, quel que soit l'ordre de proposition de la passerelle client. Vous pouvez utiliser la commande modify-vpn-connection-options pour restreindre la liste des options que les points de terminaison AWS accepteront. Pour plus d'informations, consultez modify-vpn-connection-options dans Amazon EC2 Command Line Reference (Référence de ligne de commande Amazon EC2).

Voici les options de tunnel que vous pouvez configurer.

Expiration du délai d'attente de la fonction Dead Peer Detection (DPD)

Nombre de secondes au bout duquel le délai d'attente de la fonction DPD arrive à expiration. Un délai d'attente DPD de 40 secondes signifie que le point de terminaison VPN considère que le pair est perdu 30 secondes après le premier keep-alive en échec. Vous pouvez spécifier 30 secondes ou plus.

Valeur par défaut : 40

Action d'expiration du délai d'attente de la fonction Dead Peer Detection

Action à effectuer après l'expiration du délai d'attente de la fonction Dead peer detection (DPD). Vous pouvez spécifier les valeurs suivantes :

  • Clear : fin de la session IKE lors de l'expiration du délai d'attente de la fonction Dead Peer Detection (arrêt du tunnel et effacement des routes)

  • None : aucune action lors de l'expiration du délai d'attente de la fonction Dead Peer Detection

  • Restart : redémarrage de la session IKE lors de l'expiration du délai d'attente de la fonction Dead Peer Detection

Pour plus d'informations, consultez Options d'initiation du tunnel Site-to-Site VPN.

Par défaut: Clear

Options de journalisation de VPN

Les journaux Site-to-Site VPN vous permettent d'accéder aux détails de l'établissement d'un tunnel IP Security (IPsec), des négociations IKE (Internet Key Exchange) et des messages de protocole DPD (Dead Peer Detection).

Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPNJournaux .

Formats de journal disponibles :json, text

Versions IKE

Versions IKE autorisées pour le tunnel VPN. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : ikev1, ikev2

Bloc d'adresses CIDR IPv4 internes du tunnel

Plage d'adresses IPv4 internes du tunnel VPN. Vous pouvez spécifier un bloc d'adresse CIDR d'une taille de /30 dans la plage 169.254.0.0/16. Le bloc d'adresse CIDR doit être unique sur l'ensemble des connexions Site-to-Site VPN qui utilisent la même passerelle réseau privé virtuel.

Note

Le bloc d'adresse CIDR n'a pas besoin d'être unique sur l'ensemble des connexions d'une passerelle de transit. Cependant, s'il n'est pas unique, cela peut créer un conflit sur votre passerelle client. Procéder avec précaution lors de la réutilisation du même bloc d'adresse CIDR sur plusieurs connexions Site-to-Site VPN sur une passerelle de transit.

Les blocs d'adresse CIDR suivants sont réservés et ne peuvent pas être utilisés :

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Valeur par défaut : bloc d'adresses CIDR IPV4 de taille /30 de la plage 169.254.0.0/16.

Bloc d'adresses CIDR IPv6 internes du tunnel

(Connexions VPN IPv6 uniquement) Plage d'adresses IPv6 internes du tunnel VPN. Vous pouvez spécifier un bloc d'adresses CIDR d'une taille de /126 de la plage fd00::/8 locale. Le bloc d'adresse CIDR doit être unique sur l'ensemble des connexions Site-to-Site VPN qui utilisent la même passerelle de transit.

Valeur par défaut : bloc d'adresses CIDR IPv6 de taille /126 de la plage fd00::/8 locale.

CIDR de réseau IPv4 local

(Connexion VPN IPv4 uniquement) Plage CIDR IPv4 côté passerelle client (sur site) autorisée à communiquer via les tunnels VPN.

Par défaut : 0.0.0.0/0

CIDR réseau IPv4 distant

(Connexion VPN IPv4 uniquement) Plage CIDR IPv4 côté AWS autorisée à communiquer via les tunnels VPN.

Par défaut : 0.0.0.0/0

CIDR de réseau IPv6 local

(Connexion VPN IPv6 uniquement) Plage CIDR IPv6 côté passerelle client (sur site) autorisée à communiquer via les tunnels VPN.

Par défaut : ::/0

CIDR de réseau IPv6 distant

(Connexion VPN IPv6 uniquement) Plage CIDR IPv6 côté AWS autorisée à communiquer via les tunnels VPN.

Par défaut : ::/0

Numéros de groupe Diffie-Hellman (DH) de la phase 1

Numéros de groupe DH autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Numéros de groupe Diffie-Hellman (DH) de la phase 2

Numéros de groupe DH autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algorithmes de chiffrement de la phase 1

Algorithmes de chiffrement autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algorithmes de chiffrement de la phase 2

Algorithmes de chiffrement autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : AES128, AES256, AES128-GCM-16, AES256-GCM-16

Algorithmes d'intégrité de la phase 1

Algorithmes d'intégrité autorisés pour le tunnel VPN pour la phase 1 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : SHA1, SHA2-256, SHA2-384, SHA2-512

Algorithmes d'intégrité de la phase 2

Algorithmes d'intégrité autorisés pour le tunnel VPN pour la phase 2 des négociations IKE. Vous pouvez spécifier une ou plusieurs valeurs par défaut.

Valeur par défaut : SHA1, SHA2-256, SHA2-384, SHA2-512

Durée de vie phase 1
Note

AWS relance des chiffrements avec les valeurs de synchronisation définies dans les champs de durée de vie Phase 1 et Phase 2. Si ces durées de vie sont différentes des valeurs de liaison négociées, la connectivité du tunnel risque d'être interrompue.

Durée de vie en secondes de la phase 1 de la négociation IKE. Vous pouvez spécifier un nombre compris entre 900 et 28 800.

Valeur par défaut : 28 800 (8 heures)

Durée de vie phase 2
Note

AWS relance des chiffrements avec les valeurs de synchronisation définies dans les champs de durée de vie Phase 1 et Phase 2. Si ces durées de vie sont différentes des valeurs de liaison négociées, la connectivité du tunnel risque d'être interrompue.

Durée de vie en secondes de la phase 2 de la négociation IKE. Vous pouvez spécifier un nombre compris entre 900 et 3 600. Le nombre que vous spécifiez doit être inférieur au nombre de secondes de la durée de vie de la phase 1.

Valeur par défaut : 3 600 (1 heure)

Clé pré-partagée (PSK)

Clé prépartagée (pre-shared key, PSK) permettant d'établir l'association de sécurité IKE (internet key exchange) initiale entre la passerelle cible et la passerelle client.

La clé pré-partagée doit comporter entre 8 et 64 caractères et ne peut pas commencer par un zéro (0). Les caractères autorisés sont les caractères alphanumériques, les points (.) et les traits de soulignement (_).

Valeur par défaut : chaîne alphanumérique de 32 caractères.

Fuzz du changement de clé

Pourcentage de la fenêtre de changement de clé (déterminé par le temps de la marge du changement de clé) dans laquelle le temps de changement de clé est sélectionné aléatoirement.

Vous pouvez spécifier une valeur de pourcentage comprise entre 0 et 100.

Par défaut : 100

Durée de marge du changement de clé

Durée de marge en secondes avant l'expiration de la durée de vie de la phase 1 et de la phase 2, au cours de laquelle le côté AWS de la connexion VPN effectue un changement de clé IKE.

Vous pouvez spécifier un nombre compris entre 60 et la moitié de la valeur de la durée de vie de la phase 2.

L'heure exacte du changement de clé est sélectionnée aléatoirement en fonction de la valeur du fuzz de changement de clé.

Valeur par défaut : 270 (4,5 minutes)

Paquets de taille de la fenêtre de réexécution

Nombre de paquets dans une fenêtre de réexécution IKE.

Vous pouvez spécifier une valeur comprise entre 64 et 2 048.

Par défaut: 1024

Action de démarrage

Action à effectuer lors de l'établissement du tunnel pour une connexion VPN. Vous pouvez spécifier les valeurs suivantes :

  • Start : AWS lance la négociation IKE pour activer le tunnel. Prise en charge uniquement si votre passerelle client est configurée avec une adresse IP.

  • Add : votre périphérique de passerelle client doit lancer la négociation IKE pour activer le tunnel.

Pour plus d'informations, consultez Options d'initiation du tunnel Site-to-Site VPN.

Par défaut: Add

Contrôle du cycle de vie des points de terminaison de tunnel

Le contrôle du cycle de vie des points de terminaison de tunnel permet de contrôler le calendrier de remplacement des points de terminaison.

Pour de plus amples informations, veuillez consulter Contrôle du cycle de vie des points de terminaison de tunnel.

Par défaut: Off

Vous pouvez spécifier les options de tunnel lorsque vous créez une connexion Site-to-Site VPN ou modifier les options de tunnel pour une connexion VPN existante. Pour plus d'informations, consultez les rubriques suivantes :