Votre périphérique de passerelle client - VPN site à site AWS

Votre périphérique de passerelle client

Un périphérique de passerelle client est une appliance physique ou logicielle que vous possédez ou gérez dans votre réseau sur site (de votre côté d’une connexion Site-to-Site VPN). Vous ou votre administrateur réseau devez configurer le périphérique pour qu'il fonctionne avec la connexion Site-to-Site VPN.

Le diagramme suivant illustre votre réseau, le périphérique de passerelle client et la connexion VPN qui mène à une passerelle réseau privé virtuel (qui est attachée à votre VPC). Les deux lignes entre le périphérique de passerelle client et la passerelle réseau privé virtuel représentent les tunnels de la connexion VPN. En cas de dysfonctionnement d'un périphérique dans AWS, votre connexion VPN bascule automatiquement vers le deuxième tunnel pour éviter que votre accès ne soit interrompu. De temps en temps, AWS procède également à une maintenance de routine sur la connexion VPN, ce qui peut désactiver brièvement l'un des deux tunnels de votre connexion VPN. Pour plus d'informations, consultez Remplacements de points de terminaison de tunnel Site-to-Site VPN. Lorsque vous configurez votre périphérique de passerelle client, il est donc important de configurer les deux tunnels.


            Présentation de la passerelle client de haut niveau

Pour plus d’informations sur la configuration d'une connexion VPN, consultez Mise en route. Au cours de ce processus, vous créez une ressource de passerelle client dans AWS, qui fournit à AWS des informations sur votre périphérique, par exemple, son adresse IP publique. Pour plus d'informations, consultez Options de passerelle client pour votre connexion Site-to-Site VPN. La ressource de passerelle client dans AWS ne configure ni ne crée le périphérique de passerelle client. Vous devez configurer l'appareil vous-même.

Vous trouverez également des dispositifs de VPN logiciel sur AWS Marketplace.

Exemples de fichiers de configuration

Après avoir créé la connexion VPN, vous avez également la possibilité de télécharger un exemple de fichier de configuration fourni par AWS depuis la console Amazon VPC ou via l'API EC2. Pour plus d'informations, consultez Télécharger le fichier de configuration. Vous pouvez également télécharger des fichiers .zip d'exemples de configuration spécifiques pour un routage statique ou dynamique :

Téléchargement des fichiers .zip

L'exemple de fichier de configuration fourni par AWS contient des informations propres à votre connexion VPN dont vous pouvez vous servir pour configurer votre périphérique de passerelle client. Ces fichiers de configuration spécifiques au périphérique sont disponibles uniquement pour les périphériques testés par AWS. Si votre périphérique de passerelle client spécifique n'est pas répertorié, vous pouvez commencer par télécharger un fichier de configuration générique.

Important

Le fichier de configuration présenté est un simple exemple et peut ne pas correspondre entièrement aux paramètres de connexion Site-to-Site VPN souhaités. Il spécifie la configuration minimale requise pour une connexion Site-to-Site VPN d'AES128, SHA1 et Diffie-Hellman groupe 2 dans la plupart desAWSRégions, et AES128, SHA2 et Diffie-Hellman groupe 14 dans leAWSRégions GovCloud. Il spécifie également des clés prépartagées pour l'authentification. Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic IPv6.

Note

Ces fichiers de configuration spécifiques à l'appareil sont fournis par AWS sur la base du meilleur effort. Bien qu'ils aient été testés par AWS, ces tests sont limités. Si vous rencontrez un problème avec les fichiers de configuration, vous devrez peut-être contacter le fournisseur concerné pour obtenir une assistance supplémentaire.

Le tableau suivant contient la liste des périphériques pour lesquels il est possible de télécharger un exemple de fichier de configuration mis à jour pour prendre en charge IKEv2. Nous avons introduit la prise en charge d'IKEv2 dans les fichiers de configuration pour de nombreux périphériques de passerelle client très répandus et continuerons d'ajouter des fichiers supplémentaires au fil du temps. Cette liste sera mise à jour à mesure que d'autres exemples de fichiers de configuration seront ajoutés.

Vendor Plateforme Logiciels

Checkpoint

Gaia

R80.10+

Cisco Meraki

MX Series

15.12+ (WebUI)

Cisco Systems, Inc.

ASA 5500 Series

ASA 9.7+ VTI

Cisco Systems, Inc.

CSRv AMI

IOS 12.4+

Fortinet

Fortigate 40+ Series

FortiOS 6.4.4+ (GUI)

Juniper Networks, Inc.

Routeurs J-Series

JunOS 9.5+

Juniper Networks, Inc.

Routeurs SRX

JunOS 11.0+

Mikrotik

RouterOS

6.44.3

Palo Alto Networks

PA Series

PANOS 7.0+

SonicWall

NSA, TZ

OS 6.5

Sophos

Par-feu Sophos

v19+

Strongswan

Ubuntu 16.04

Strongswan 5.5.1+

Yamaha

Routeurs RTX

Rev.10.01.16+

Conditions obligatoires pour votre périphérique de passerelle client

Si votre périphérique ne figure pas dans la liste d’exemples précédente, cette section décrit les conditions requises qu'il doit respecter pour que vous puissiez l'utiliser pour établir une connexion Site-to-Site VPN.

La configuration de votre périphérique de passerelle client est composée de 4 éléments principaux. Les symboles suivants représentent chaque partie de la configuration.

Association de sécurité IKE (Internet Key Exchange). Cette association est nécessaire pour échanger les clés utilisées pour établir l'association de sécurité IPsec.

Association de sécurité IPsec. Cette association gère, entre autres, le chiffrement et l'authentification du tunnel.

Interface du tunnel. Cette interface reçoit le trafic allant vers le tunnel et en revenant.

(Facultatif) Appairage Border Gateway Protocol (BGP). Pour les périphériques utilisant BGP, cet appairage échange les routes entre le périphérique de passerelle client et la passerelle réseau privé virtuel.

Le tableau ci-dessous répertorie les conditions que le périphérique de passerelle client doit respecter, la RFC concernée (pour information) et des commentaires sur ces conditions.

Chaque connexion VPN se compose de deux tunnels distincts. Chaque tunnel comporte une association de sécurité IKE, une association de sécurité IPsec et un appairage BGP. Vous êtes limité à une paire d'association de sécurité (SA) unique par tunnel (une entrante et une sortante), et donc à deux paires de SA uniques au total pour deux tunnels (quatre SA). Certains périphériques utilisent un VPN basé sur une stratégie et créent autant de SA que d'entrées ACL (liste de contrôle d'accès). Par conséquent, vous pouvez être amené à regrouper vos règles, puis à définir des filtres afin de ne pas autoriser le trafic non souhaité.

Par défaut, le tunnel VPN est activé lorsque le trafic est généré et que la négociation IKE est lancée depuis votre côté de la connexion VPN. Vous pouvez configurer la connexion VPN pour lancer la négociation IKE à partir du côté AWS de la connexion. Pour plus d'informations, consultez Options d'initiation du tunnel Site-to-Site VPN.

Les points de terminaison VPN prennent en charge le changement de clé et peuvent initier les renégociations lorsque la phase 1 est sur le point d'expirer si la passerelle client n'a envoyé aucun trafic de renégociation.

Exigence RFC Commentaires

Établir une association de sécurité IKE

RFC 2409

RFC 7296

L'association de sécurité IKE est d'abord établie entre la passerelle réseau privé virtuel et le périphérique de passerelle client en utilisant la clé prépartagée ou un certificat privé utilisant AWS Private Certificate Authority comme authentificateur. Une fois l'association établie, IKE négocie une clé éphémère afin de sécuriser les futurs messages IKE. Il doit y avoir un accord complet entre les paramètres, y compris les paramètres de chiffrement et d'authentification.

Lorsque vous créez une connexion VPN dans AWS, vous pouvez spécifier votre propre clé prépartagée pour chaque tunnel, ou laisser AWS en générer une pour vous. Vous pouvez aussi indiquer le certificat privé avec AWS Private Certificate Authority à utiliser pour votre périphérique de passerelle client. Pour plus d'informations sur la configuration des tunnels VPN, consultez Options de tunnel pour votre connexion Site-to-Site VPN.

Les versions suivantes sont prises en charge : IKEv1 et IKEv2.

Nous prenons en charge le mode Principal uniquement avec la version IKEv1.

Le service Site-to-Site VPN est une solution basée sur des routages. Si vous utilisez une configuration basée sur des stratégies, vous devez limiter votre configuration à une seule association de sécurité.

Établir des associations de sécurité IPsec en mode tunnel

RFC 4301

Grâce à la clé éphémère IKE, des clés sont établies entre la passerelle réseau privé virtuel et le périphérique de passerelle client de façon à former une association de sécurité (SA) IPsec. Le trafic entre les passerelles est chiffré et déchiffré à l'aide de cette SA. Les clés éphémères utilisées pour chiffrer le trafic au sein de la SA IPsec font l'objet d'une rotation automatique et régulière par IKE afin de garantir la confidentialité des communications.

Utiliser la fonction de chiffrement AES 128 bits ou 256 bits

RFC 3602

La fonction de chiffrement est utilisée pour garantir la confidentialité pour les associations de sécurité IKE et IPsec.

Utiliser la fonction de hachage SHA-1 ou SHA-2 (256)

RFC 2404

Cette fonction de hachage est utilisée pour authentifier les associations de sécurité IKE et IPsec.

Utiliser le protocole de Diffie-Hellman pour une confidentialité persistante parfaite.

RFC 2409

IKE utilise la méthode Diffie-Hellman pour établir des clés éphémères afin de sécuriser toutes les communications entre les passerelles client et les passerelles réseau privé virtuel.

Les groupes suivants sont pris en charge :

  • Phase 1 : groupes 2, 14-24

  • Phase 2 : groupes 2, 5, 14-24

(Connexions VPN routées dynamiquement) Utiliser IPsec Dead Peer Detection

RFC 3706

Le mécanisme DPD (Dead Peer Detection) permet aux périphériques VPN de savoir rapidement quand une condition réseau empêche la transmission de paquets sur Internet. Lorsque cette situation se produit, les passerelles suppriment les associations de sécurité et tentent d'en créer de nouvelles. Au cours de ce processus, l'autre tunnel IPsec est utilisé dans la mesure du possible.

(Connexions VPN routées dynamiquement) Relier le tunnel à l'interface logique (VPN basé sur une route)

Aucun

Votre périphérique doit pouvoir relier le tunnel IPsec à une interface logique. L'interface logique comporte une adresse IP qui est utilisée pour établir l'appairage BGP avec la passerelle réseau privé virtuel. Cette interface logique ne doit exécuter aucune encapsulation supplémentaire (par exemple, GRE ou IP dans IP). Votre interface doit être définie sur une unité de transmission maximale (MTU) de 1 399 octets.

(Connexions VPN routées dynamiquement) Établir des appairages BGP

RFC 4271

Le protocole BGP permet d'échanger des routes entre le périphérique de passerelle client et la passerelle réseau privé virtuel pour les périphériques qui l'utilisent. L'ensemble du trafic BGP est chiffré et transmis via l'association de sécurité IPsec. Le protocole BGP est requis pour les deux passerelles afin d'échanger les préfixes IP qui sont accessibles via l'association de sécurité IPsec.

Une connexion AWS VPN ne prend pas en charge la détection de la MTU du chemin (RFC 1191).

Si vous disposez d'un pare-feu entre votre périphérique de passerelle client et Internet, consultez Configuration d'un pare-feu entre Internet et votre périphérique de passerelle client.

Bonnes pratiques pour votre périphérique de passerelle client

Réinitialiser le drapeau « Don't Fragment (DF) » (Ne pas fragmenter) dans les paquets

Certains paquets comportent un indicateur, appelé indicateur DF (Don't Fragment, Ne pas fragmenter), indiquant qu'il ne faut pas les fragmenter. Si les paquets comportent cet indicateur, les passerelles génèrent un message ICMP indiquant que la taille PMTU (Path MTU) a été dépassée. Dans certains cas, les applications n'incluent pas de mécanismes appropriés pour traiter ces messages ICMP et réduire la quantité de données transmises dans chaque paquet. Certains périphériques VPN peuvent remplacer l'indicateur DF et fragmenter les paquets sans condition si nécessaire. Si votre passerelle client possède cette fonctionnalité, nous vous recommandons de l'utiliser le cas échéant. Consultez RFC 791 pour plus de détails.

Pratiquer une fragmentation par paquets IP avant le chiffrement

Il est fortement recommandé de fragmenter les paquets avant qu'ils ne soient chiffrés pour éviter des performances médiocres. Les paquets trop volumineux pour être transmis doivent être fragmentés. Nous vous recommandons de configurer votre périphérique VPN pour fragmenter les paquets avant de les encapsuler avec les en-têtes VPN s'ils doivent être fragmentés. Consultez RFC 4459 pour plus de détails.

Ajustement des tailles MTU et MSS en fonction des algorithmes utilisés

Les paquets TCP sont souvent le type de paquets le plus répandu dans les tunnels IPsec. Le Site-to-Site VPN prend en charge une unité de transmission maximale (MTU) de 1446 octets et une taille de segment maximale (MSS) correspondante de 1406 octets. Cependant, les algorithmes de chiffrement ont des tailles d'en-tête variables et peuvent empêcher d'atteindre ces valeurs maximales. Pour obtenir des performances optimales en évitant la fragmentation, nous vous recommandons de définir la MTU et la MSS en fonction des algorithmes utilisés.

Utilisez le tableau suivant pour définir votre MTU/MSS afin d'éviter la fragmentation et d'obtenir des performances optimales :

Algorithme de chiffrement Algorithme de hachage NAT-Traversal MTU MSS (IPv4) MSS (IPv6-in-IPv4)

AES-GCM-16

N/A

disabled

1446

1406

1386

AES-GCM-16

N/A

activé

1438

1398

1378

AES-CBC

SHA1/SHA2-256

disabled

1438

1398

1378

AES-CBC

SHA1/SHA2-256

activé

1422

1382

1362

AES-CBC

SHA2-384

disabled

1422

1382

1362

AES-CBC

SHA2-384

activé

1422

1382

1362

AES-CBC

SHA2-512

disabled

1422

1382

1362

AES-CBC

SHA2-512

activé

1406

1366

1346

Note

Les algorithmes AES-GCM couvrent à la fois le chiffrement et l'authentification, il n'y a donc pas de choix d'algorithme d'authentification distinct qui affecterait la MTU.

Configuration d'un pare-feu entre Internet et votre périphérique de passerelle client

Vous devez disposer d'une adresse IP statique à utiliser comme point de terminaison des tunnels IPsec reliant votre passerelle client aux points de terminaison AWS Site-to-Site VPN. S'il existe un pare-feu entre AWS et votre appareil de passerelle client, les règles figurant dans le tableau suivant doivent être appliquées pour établir les tunnels IPsec. Les adresses IP pour le côté AWS se trouveront dans le fichier de configuration.

Règle entrante I1

IP source

passerelle réseau privé virtuel 1

IP Dest

Passerelle client

Protocole

UDP

Port source

500

Destination

500

Règle entrante I2

IP source

passerelle réseau privé virtuel 2

IP Dest

Passerelle client

Protocole

UDP

Port source

500

Port de destination

500

Règle entrante I3

IP source

passerelle réseau privé virtuel 1

IP Dest

Passerelle client

Protocole

IP 50 (ESP)

Règle entrante I4

IP source

passerelle réseau privé virtuel 2

IP Dest

Passerelle client

Protocole

IP 50 (ESP)

Règle sortante O1

IP source

Passerelle client

IP Dest

passerelle réseau privé virtuel 1

Protocole

UDP

Port source

500

Port de destination

500

Règle sortante O2

IP source

Passerelle client

IP Dest

passerelle réseau privé virtuel 2

Protocole

UDP

Port source

500

Port de destination

500

Règle sortante O3

IP source

Passerelle client

IP Dest

passerelle réseau privé virtuel 1

Protocole

IP 50 (ESP)

Règle sortante O4

IP source

Passerelle client

IP Dest

passerelle réseau privé virtuel 2

Protocole

IP 50 (ESP)

Les règles I1, I2, O1 et O2 permettent la transmission des paquets IKE. Les règles I3, I4, O3 et O4 permettent la transmission des paquets IPsec contenant le trafic réseau chiffré.

Note

Si vous utilisez la traversée NAT (NAT-T) sur votre appareil, assurez-vous que le trafic UDP sur le port 4500 est également autorisé à passer entre votre réseau et les points de terminaison AWS Site-to-Site VPN. Vérifiez si votre périphérique annonce la NAT-T.

Plusieurs scénarios de connexion VPN

Voici des scénarios dans lesquels vous pouvez créer plusieurs connexions VPN avec un ou plusieurs périphériques de passerelle client.

Plusieurs connexions VPN utilisant le même périphérique de passerelle client

Vous pouvez créer des connexions VPN supplémentaires à partir de votre emplacement sur site vers d'autres VPC à l'aide du même périphérique de passerelle client. De plus, vous pouvez réutiliser la même adresse IP de passerelle client pour chacune de ces connexions VPN.

Connexion VPN redondante utilisant un deuxième périphérique de passerelle client

Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre périphérique de passerelle client, vous pouvez configurer une seconde connexion VPN vers votre VPC en utilisant un second périphérique de passerelle client. Pour plus d'informations, consultez Utilisation de connexions Site-to-Site VPN redondantes pour fournir un basculement. Lorsque vous établissez des passerelles client redondantes dans un même emplacement, ces dernières doivent publier les mêmes plages d'adresses IP.

Plusieurs périphériques de passerelle client vers une seule passerelle réseau privé virtuel (AWS VPN CloudHub)

Vous pouvez établir plusieurs connexions VPN sur une passerelle réseau privé virtuel à partir de plusieurs passerelles client. Cela vous permet d'avoir plusieurs emplacements connectés à AWS VPN CloudHub. Pour plus d'informations, consultez Fourniture d'une communication sécurisée entre les sites à l'aide du VPN CloudHub. Lorsque vous disposez de passerelles client dans plusieurs sites géographiques, chacune d'entre elles doit publier un ensemble unique de plages d'adresses IP propres à chaque emplacement.

Routage pour votre périphérique de passerelle client

AWS recommande de publier des acheminements BGP spécifiques afin d'influencer les décisions de routage dans la passerelle réseau privé virtuel. Consultez la documentation de votre fournisseur pour connaître les commandes spécifiques à votre appareil.

Lorsque vous créez plusieurs connexions VPN, la passerelle réseau privé virtuel envoie le trafic réseau vers la connexion VPN appropriée à l'aide de routes affectées statiquement ou d'annonces de routes BGP. Le choix de la route dépend de la façon dont la connexion VPN a été configurée. Les routes affectées statiquement sont préférées aux routes annoncées par BGP lorsque des routes identiques existent dans la passerelle réseau privé virtuel. Si vous sélectionnez l'option d'utiliser une annonce BGP, vous ne pouvez pas spécifier de routes statiques.

Pour plus d’informations sur la priorité de route, consultez Tables de routage et priorité de route VPN.