Options de passerelle client pour votre AWS Site-to-Site VPN connexion

Le tableau suivant décrit les informations dont vous aurez besoin pour créer une ressource de passerelle client dans AWS.

Élément	Description
(Facultatif) Identification de nom	Crée une identification avec la clé « Nom » et la valeur que vous spécifiez.
(Routage dynamique uniquement) Numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de la passerelle client.	Un ASN compris entre 1 et 4 294 967 295 est pris en charge. Vous pouvez utiliser un numéro ASN public existant affecté à votre réseau, à l'exception des numéros suivants : 7224 — Réservé dans toutes les régions 9059 — Réservé dans la région `eu-west-1` 10124 — Réservé dans la région `ap-northeast-1` 17943 — Réservé dans la région `ap-southeast-1` Si vous n'avez pas d'ASN public, vous pouvez utiliser un ASN privé compris entre 64 512 et 65 534 ou entre 4 200 000 000 et 4 294 967 294. L'ASN par défaut est 64512. Pour plus d'informations sur le routage, consultezAWS Site-to-Site VPN options de routage.
Adresse IP de l'interface externe du dispositif de passerelle client.	L'adresse IP doit être statique et peut être IPv4 soit IPv6. Pour les IPv4 adresses : si votre dispositif de passerelle client se trouve derrière un périphérique de traduction d'adresses réseau (NAT), utilisez l'adresse IP de votre périphérique NAT. Assurez-vous également que les paquets UDP sur le port 500 (et le port 4500, si la traversée NAT est utilisée) sont autorisés à passer entre votre réseau et les AWS Site-to-Site VPN points de terminaison. Pour plus d’informations, consultez Règles de pare-feu. Pour les IPv6 adresses : l'adresse doit être une adresse valide pouvant être routée par Internet IPv6 . IPv6 les adresses ne sont prises en charge que pour les connexions VPN sur une passerelle de transit ou un Cloud WAN. Aucune adresse IP n'est requise lorsque vous utilisez un certificat privé AWS Private Certificate Authority et un VPN public.
(Facultatif) Certificat privé d'une autorité de certification subordonnée utilisant AWS Certificate Manager (ACM).	Si vous souhaitez utiliser l'authentification basée sur le certificat, fournissez l'ARN d'un certificat privé ACM qui sera utilisé sur votre périphérique de passerelle client. Lorsque vous créez une passerelle client, vous pouvez configurer la passerelle client pour utiliser des certificats AWS Private Certificate Authority privés afin d'authentifier le Site-to-Site VPN. Lorsque vous choisissez d'utiliser cette option, vous créez une autorité de certification privée (CA) entièrement AWS hébergée pour un usage interne par votre organisation. Le certificat de l'autorité de certification racine et les certificats de l'autorité de certification subordonnée sont stockés et gérés par Autorité de certification privée AWS. Avant de créer la passerelle client, vous créez un certificat privé à partir d'une autorité de certification subordonnée en utilisant AWS Private Certificate Authority, puis vous spécifiez le certificat lorsque vous configurez la passerelle client. Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter Création et gestion d'une autorité de certification privée dans le Guide de l'utilisateur AWS Private Certificate Authority .
Appareil (Facultatif).	Nom de l'appareil de passerelle client associé à cette passerelle client.

IPv6 options de passerelle client

Lorsque vous créez une passerelle client avec une IPv6 adresse, tenez compte des points suivants :

IPv6 les passerelles client ne sont prises en charge que pour les connexions VPN sur une passerelle de transit ou sur le Cloud WAN.
L' IPv6 adresse doit être une adresse valide et routable par Internet IPv6 .
Votre dispositif de passerelle client doit prendre en charge l' IPv6 adressage et être capable d'établir des IPsec tunnels avec les IPv6 points de terminaison.

Pour créer une passerelle IPv6 client à l'aide de l'AWS CLI, utilisez une IPv6 adresse pour le --ip-address paramètre :


aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Désactiver le contrôle du cycle de vie des points de terminaison de tunnel

Connexions VPN accélérées