Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Votre périphérique de passerelle client
Un périphérique de passerelle client est une appliance physique ou logicielle que vous possédez ou gérez dans votre réseau sur site (de votre côté d’une connexion Site-to-Site VPN). Vous ou votre administrateur réseau devez configurer le périphérique pour qu'il fonctionne avec la connexion Site-to-Site VPN.
Le diagramme suivant illustre votre réseau, le périphérique de passerelle client et la connexion VPN qui mène à une passerelle réseau privé virtuel qui est attachée à votre VPC. Les deux lignes entre la passerelle client et la passerelle réseau privé virtuel représentent les tunnels de la connexion VPN. En cas de panne d'un appareil AWS, votre connexion VPN bascule automatiquement vers le second tunnel afin que votre accès ne soit pas interrompu. De temps en temps, effectue AWS également une maintenance de routine sur la connexion VPN, ce qui peut désactiver brièvement l'un des deux tunnels de votre connexion VPN. Pour plus d’informations, consultez Remplacements de points de terminaison de tunnel Site-to-Site VPN. Lorsque vous configurez votre périphérique de passerelle client, il est donc important de le configurer afin qu'il utilise les deux tunnels.
Pour plus d’informations sur la configuration d'une connexion VPN, consultez Commencer avec AWS Site-to-Site VPN. Au cours de ce processus, vous créez une ressource de passerelle client dans AWS, qui fournit des informations AWS sur votre appareil, par exemple son adresse IP destinée au public. Pour plus d’informations, consultez Options de passerelle client pour votre connexion Site-to-Site VPN. La ressource de passerelle client dans AWS ne configure ni ne crée le dispositif de passerelle client. Vous devez configurer l'appareil vous-même.
Vous trouverez également des dispositifs de VPN logiciel sur AWS Marketplace
Rubriques
- Exemples de fichiers de configuration
- Conditions obligatoires pour votre périphérique de passerelle client
- Bonnes pratiques pour votre périphérique de passerelle client
- Règles de pare-feu
- Plusieurs scénarios de connexion VPN
- Routage pour votre périphérique de passerelle client
- Exemples de configurations pour le routage statique
- Exemples de configurations pour le routage dynamique (BGP)
- Windows Server en tant que périphérique de passerelle client
- Résolution des problèmes
Exemples de fichiers de configuration
Après avoir créé la connexion VPN, vous avez également la possibilité de télécharger un exemple de fichier de configuration fourni par AWS depuis la console Amazon VPC ou via l'API EC2. Pour plus d’informations, consultez Étape 6 : Téléchargement du fichier de configuration. Vous pouvez également télécharger des fichiers .zip d'exemples de configuration spécifiques pour un routage statique ou dynamique :
Téléchargement des fichiers .zip
-
Configuration statique : Exemples de fichiers de configuration
-
Configuration dynamique : Exemples de fichiers de configuration
L'exemple de fichier de configuration AWS fourni contient des informations spécifiques à votre connexion VPN que vous pouvez utiliser pour configurer votre dispositif de passerelle client. Ces fichiers de configuration spécifiques au périphérique sont disponibles uniquement pour les périphériques testés par AWS. Si votre périphérique de passerelle client spécifique n'est pas répertorié, vous pouvez commencer par télécharger un fichier de configuration générique.
Important
Le fichier de configuration présenté est un simple exemple et peut ne pas correspondre entièrement aux paramètres de connexion Site-to-Site VPN souhaités. Il spécifie les exigences minimales pour une connexion VPN de site à site de type AES128, SHA1 et Diffie-Hellman groupe 2 dans la plupart des régions, et AES128, SHA2 et Diffie-Hellman groupe 14 dans AWS les régions. AWS GovCloud Il spécifie également des clés prépartagées pour l'authentification. Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic IPv6.
Note
Ces fichiers de configuration spécifiques à l'appareil sont fournis dans AWS la mesure du possible. Bien qu'ils aient été testés par AWS, ces tests sont limités. Si vous rencontrez un problème avec les fichiers de configuration, vous devrez peut-être contacter le fournisseur concerné pour obtenir une assistance supplémentaire.
Le tableau suivant contient la liste des périphériques pour lesquels il est possible de télécharger un exemple de fichier de configuration mis à jour pour prendre en charge IKEv2. Nous avons introduit la prise en charge d'IKEv2 dans les fichiers de configuration pour de nombreux périphériques de passerelle client très répandus et continuerons d'ajouter des fichiers supplémentaires au fil du temps. Cette liste sera mise à jour à mesure que d'autres exemples de fichiers de configuration seront ajoutés.
| Vendor | Plateforme | Logiciels |
|---|---|---|
|
Checkpoint |
Gaia |
R80.10+ |
|
Cisco Meraki |
MX Series |
15.12+ (WebUI) |
|
Cisco Systems, Inc. |
ASA 5500 Series |
ASA 9.7+ VTI |
|
Cisco Systems, Inc. |
CSRv AMI |
IOS 12.4+ |
|
Fortinet |
Fortigate 40+ Series |
FortiOS 6.4.4+ (GUI) |
|
Juniper Networks, Inc. |
Routeurs J-Series |
JunOS 9.5+ |
|
Juniper Networks, Inc. |
Routeurs SRX |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6,44.3 |
|
Palo Alto Networks |
PA Series |
PANOS 7.0+ |
|
SonicWall |
NSA, TZ |
OS 6.5 |
|
Sophos |
Par-feu Sophos |
v19+ |
|
Strongswan |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
Routeurs RTX |
Rev.10.01.16+ |
Conditions obligatoires pour votre périphérique de passerelle client
Si votre périphérique ne figure pas dans la liste d’exemples précédente, cette section décrit les conditions requises qu'il doit respecter pour que vous puissiez l'utiliser pour établir une connexion Site-to-Site VPN.
La configuration de votre périphérique de passerelle client est composée de 4 éléments principaux. Les symboles suivants représentent chaque partie de la configuration.
|
Association de sécurité IKE (Internet Key Exchange). Cette association est nécessaire pour échanger les clés utilisées pour établir l'association de sécurité IPsec. |
|
Association de sécurité IPsec. Cette association gère, entre autres, le chiffrement et l'authentification du tunnel. |
|
Interface du tunnel. Cette interface reçoit le trafic allant vers le tunnel et en revenant. |
|
(Facultatif) Appairage Border Gateway Protocol (BGP). Pour les périphériques utilisant BGP, cet appairage échange les routes entre le périphérique de passerelle client et la passerelle réseau privé virtuel. |
Le tableau ci-dessous répertorie les conditions que le périphérique de passerelle client doit respecter, la RFC concernée (pour information) et des commentaires sur ces conditions.
Chaque connexion VPN se compose de deux tunnels distincts. Chaque tunnel comporte une association de sécurité IKE, une association de sécurité IPsec et un appairage BGP. Vous êtes limité à une paire d'association de sécurité (SA) unique par tunnel (une entrante et une sortante), et donc à deux paires de SA uniques au total pour deux tunnels (quatre SA). Certains périphériques utilisent un VPN basé sur une stratégie et créent autant de SA que d'entrées ACL (liste de contrôle d'accès). Par conséquent, vous pouvez être amené à regrouper vos règles, puis à définir des filtres afin de ne pas autoriser le trafic non souhaité.
Par défaut, le tunnel VPN est activé lorsque le trafic est généré et que la négociation IKE est lancée depuis votre côté de la connexion VPN. Vous pouvez configurer la connexion VPN pour lancer la négociation IKE du AWS côté de la connexion à la place. Pour plus d’informations, consultez Options d'initiation du tunnel Site-to-Site VPN.
Les points de terminaison VPN prennent en charge le changement de clé et peuvent initier les renégociations lorsque la phase 1 est sur le point d'expirer si la passerelle client n'a envoyé aucun trafic de renégociation.
| Exigence | RFC | Commentaires |
|---|---|---|
|
Établir une association de sécurité IKE
|
L'association de sécurité IKE est d'abord établie entre la passerelle privée virtuelle et le dispositif de passerelle client à l'aide d'une clé pré-partagée ou d'un certificat privé utilisé AWS Private Certificate Authority comme authentificateur. Une fois l'association établie, IKE négocie une clé éphémère afin de sécuriser les futurs messages IKE. Il doit y avoir un accord complet entre les paramètres, y compris les paramètres de chiffrement et d'authentification. Lorsque vous créez une connexion VPN dans AWS, vous pouvez spécifier votre propre clé pré-partagée pour chaque tunnel, ou vous pouvez laisser en AWS générer une pour vous. Vous pouvez également spécifier le certificat privé AWS Private Certificate Authority à utiliser pour votre dispositif de passerelle client. Pour plus d'informations sur la configuration des tunnels VPN, consultez Options de tunnel pour votre connexion Site-to-Site VPN. Les versions suivantes sont prises en charge : IKEv1 et IKEv2. Nous prenons en charge le mode Principal uniquement avec la version IKEv1. Le service Site-to-Site VPN est une solution basée sur des routages. Si vous utilisez une configuration basée sur des stratégies, vous devez limiter votre configuration à une seule association de sécurité. |
|
|
Établir des associations de sécurité IPsec en mode tunnel
|
Grâce à la clé éphémère IKE, des clés sont établies entre la passerelle réseau privé virtuel et le périphérique de passerelle client de façon à former une association de sécurité (SA) IPsec. Le trafic entre les passerelles est chiffré et déchiffré à l'aide de cette SA. Les clés éphémères utilisées pour chiffrer le trafic au sein de la SA IPsec font l'objet d'une rotation automatique et régulière par IKE afin de garantir la confidentialité des communications. |
|
|
Utiliser la fonction de chiffrement AES 128 bits ou 256 bits |
La fonction de chiffrement est utilisée pour garantir la confidentialité pour les associations de sécurité IKE et IPsec. |
|
|
Utiliser la fonction de hachage SHA-1 ou SHA-2 (256) |
Cette fonction de hachage est utilisée pour authentifier les associations de sécurité IKE et IPsec. |
|
|
Utiliser le protocole de Diffie-Hellman pour une confidentialité persistante parfaite. |
IKE utilise la méthode Diffie-Hellman pour établir des clés éphémères afin de sécuriser toutes les communications entre les passerelles client et les passerelles réseau privé virtuel. Les groupes suivants sont pris en charge :
|
|
|
(Connexions VPN routées dynamiquement) Utiliser IPsec Dead Peer Detection |
Le mécanisme DPD (Dead Peer Detection) permet aux périphériques VPN de savoir rapidement quand une condition réseau empêche la transmission de paquets sur Internet. Lorsque cette situation se produit, les passerelles suppriment les associations de sécurité et tentent d'en créer de nouvelles. Au cours de ce processus, l'autre tunnel IPsec est utilisé dans la mesure du possible. |
|
|
(Connexions VPN routées dynamiquement) Relier le tunnel à l'interface logique (VPN basé sur une route)
|
Aucun |
Votre périphérique doit pouvoir relier le tunnel IPsec à une interface logique. L'interface logique comporte une adresse IP qui est utilisée pour établir l'appairage BGP avec la passerelle réseau privé virtuel. Cette interface logique ne doit exécuter aucune encapsulation supplémentaire (par exemple, GRE ou IP dans IP). Votre interface doit être définie sur une unité de transmission maximale (MTU) de 1 399 octets. |
|
(Connexions VPN routées dynamiquement) Établir des appairages BGP
|
Le protocole BGP permet d'échanger des routes entre le périphérique de passerelle client et la passerelle réseau privé virtuel pour les périphériques qui l'utilisent. L'ensemble du trafic BGP est chiffré et transmis via l'association de sécurité IPsec. Le protocole BGP est requis pour les deux passerelles afin d'échanger les préfixes IP qui sont accessibles via l'association de sécurité IPsec. |
Une connexion AWS VPN ne prend pas en charge Path MTU Discovery (RFC 1191
Si vous disposez d'un pare-feu entre votre périphérique de passerelle client et Internet, consultez Configuration d'un pare-feu entre Internet et votre périphérique de passerelle client.
Bonnes pratiques pour votre périphérique de passerelle client
Utiliser IKEv2
Nous vous recommandons vivement d'utiliser IKEv2 pour votre connexion VPN Site-to-Site. IKEv2 est un protocole plus simple, plus robuste et plus sécurisé que le protocole IKEv1. Vous ne devez utiliser IKEv1 que si votre dispositif de passerelle client ne prend pas en charge IKEv2. Pour plus de détails sur les différences entre IKEv1 et IKEv2, voir l'annexe A
Réinitialiser le drapeau « Don't Fragment (DF) » (Ne pas fragmenter) dans les paquets
Certains paquets comportent un indicateur, appelé indicateur DF (Don't Fragment, Ne pas fragmenter), indiquant qu'il ne faut pas les fragmenter. Si les paquets comportent cet indicateur, les passerelles génèrent un message ICMP indiquant que la taille PMTU (Path MTU) a été dépassée. Dans certains cas, les applications n'incluent pas de mécanismes appropriés pour traiter ces messages ICMP et réduire la quantité de données transmises dans chaque paquet. Certains périphériques VPN peuvent remplacer l'indicateur DF et fragmenter les paquets sans condition si nécessaire. Si votre passerelle client possède cette fonctionnalité, nous vous recommandons de l'utiliser le cas échéant. Consultez RFC 791
Pratiquer une fragmentation par paquets IP avant le chiffrement
Si les paquets envoyés via votre connexion VPN Site-to-Site dépassent la taille de la MTU, ils doivent être fragmentés. Pour éviter une baisse des performances, nous vous recommandons de configurer votre dispositif de passerelle client pour fragmenter les paquets avant qu'ils ne soient chiffrés. Le VPN de site à site réassemble ensuite tous les paquets fragmentés avant de les transférer vers la destination suivante, afin d'augmenter les flux sur le réseau. packet-per-second AWS Consultez RFC 4459
Assurez-vous que la taille des paquets ne dépasse pas la MTU pour les réseaux de destination
Étant donné que le VPN Site-to-site réassemble tous les paquets fragmentés reçus de votre passerelle client avant de les transférer vers la destination suivante, n'oubliez pas que la taille des paquets et le MTU peuvent être pris en compte pour les réseaux de destination sur lesquels ces paquets seront ensuite transférés, par exemple. AWS Direct Connect
Ajustement des tailles MTU et MSS en fonction des algorithmes utilisés
Les paquets TCP sont souvent le type de paquets le plus répandu dans les tunnels IPsec. Le Site-to-Site VPN prend en charge une unité de transmission maximale (MTU) de 1446 octets et une taille de segment maximale (MSS) correspondante de 1406 octets. Cependant, les algorithmes de chiffrement ont des tailles d'en-tête variables et peuvent empêcher d'atteindre ces valeurs maximales. Pour obtenir des performances optimales en évitant la fragmentation, nous vous recommandons de définir la MTU et la MSS en fonction des algorithmes utilisés.
Utilisez le tableau suivant pour définir votre MTU/MSS afin d'éviter la fragmentation et d'obtenir des performances optimales :
| Algorithme de chiffrement | Algorithme de hachage | NAT-Traversal | MTU | MSS (IPv4) | MSS (IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
activé |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
activé |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
activé |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
activé |
1406 |
1366 |
1346 |
Note
Les algorithmes AES-GCM couvrent à la fois le chiffrement et l'authentification, il n'y a donc pas de choix d'algorithme d'authentification distinct qui affecterait la MTU.
Désactiver les identifiants uniques IKE
Certains dispositifs de passerelle client prennent en charge un paramètre garantissant qu'il existe au maximum une association de sécurité de phase 1 par configuration de tunnel. Ce paramètre peut entraîner des états de phase 2 incohérents entre les homologues VPN. Si votre dispositif de passerelle client prend en charge ce paramètre, nous vous recommandons de le désactiver.
Configuration d'un pare-feu entre Internet et votre périphérique de passerelle client
Vous devez disposer d'une adresse IP statique à utiliser comme point de terminaison pour les tunnels IPsec qui connectent votre dispositif de passerelle client aux points de AWS Site-to-Site VPN terminaison. Si un pare-feu est en place entre AWS et votre dispositif de passerelle client, les règles décrites dans les tableaux suivants doivent être en place pour établir les tunnels IPsec. Les adresses IP du AWS côté -side figureront dans le fichier de configuration.
|
Règle entrante I1 |
|
|---|---|
|
IP Source |
Adresse IP extérieure Tunnel1 |
|
IP Dest |
Passerelle client |
|
Protocole |
UDP |
|
Port source |
500 |
|
Destination |
500 |
|
Règle entrante I2 |
|
|
IP Source |
Adresse IP extérieure Tunnel2 |
|
IP Dest |
Passerelle client |
|
Protocole |
UDP |
|
Port source |
500 |
|
Port de destination |
500 |
|
Règle entrante I3 |
|
|
IP Source |
Adresse IP extérieure Tunnel1 |
|
IP Dest |
Passerelle client |
|
Protocole |
IP 50 (ESP) |
|
Règle entrante I4 |
|
|
IP Source |
Adresse IP extérieure Tunnel2 |
|
IP Dest |
Passerelle client |
|
Protocole |
IP 50 (ESP) |
|
Règle sortante O1 |
|
|---|---|
|
IP Source |
Passerelle client |
|
IP Dest |
Adresse IP extérieure Tunnel1 |
|
Protocole |
UDP |
|
Port source |
500 |
|
Port de destination |
500 |
|
Règle sortante O2 |
|
|
IP Source |
Passerelle client |
|
IP Dest |
Adresse IP extérieure Tunnel2 |
|
Protocole |
UDP |
|
Port source |
500 |
|
Port de destination |
500 |
|
Règle sortante O3 |
|
|
IP Source |
Passerelle client |
|
IP Dest |
Adresse IP extérieure Tunnel1 |
|
Protocole |
IP 50 (ESP) |
|
Règle sortante O4 |
|
|
IP Source |
Passerelle client |
|
IP Dest |
Adresse IP extérieure Tunnel2 |
|
Protocole |
IP 50 (ESP) |
Les règles I1, I2, O1 et O2 permettent la transmission des paquets IKE. Les règles I3, I4, O3 et O4 permettent la transmission des paquets IPsec contenant le trafic réseau chiffré.
Note
Si vous utilisez la traversée NAT (NAT-T) sur votre appareil, assurez-vous que le trafic UDP sur le port 4500 est également autorisé à passer entre votre réseau et les points de terminaison. AWS Site-to-Site VPN Vérifiez si votre périphérique annonce la NAT-T.
Plusieurs scénarios de connexion VPN
Voici des scénarios dans lesquels vous pouvez créer plusieurs connexions VPN avec un ou plusieurs périphériques de passerelle client.
Plusieurs connexions VPN utilisant le même périphérique de passerelle client
Vous pouvez créer des connexions VPN supplémentaires à partir de votre emplacement sur site vers d'autres VPC à l'aide du même périphérique de passerelle client. De plus, vous pouvez réutiliser la même adresse IP de passerelle client pour chacune de ces connexions VPN.
Connexion VPN redondante utilisant un deuxième périphérique de passerelle client
Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre périphérique de passerelle client, vous pouvez configurer une seconde connexion VPN vers votre VPC en utilisant un second périphérique de passerelle client. Pour plus d’informations, consultez Utilisation de connexions Site-to-Site VPN redondantes pour fournir un basculement. Lorsque vous établissez des passerelles client redondantes dans un même emplacement, ces dernières doivent publier les mêmes plages d'adresses IP.
Plusieurs dispositifs de passerelle client vers une seule passerelle privée virtuelle (AWS VPN CloudHub)
Vous pouvez établir plusieurs connexions VPN sur une passerelle réseau privé virtuel à partir de plusieurs passerelles client. Cela vous permet d'avoir plusieurs sites connectés au AWS VPN CloudHub. Pour plus d’informations, consultez Fourniture d'une communication sécurisée entre les sites à l'aide du VPN CloudHub. Lorsque vous disposez de passerelles client dans plusieurs sites géographiques, chacune d'entre elles doit publier un ensemble unique de plages d'adresses IP propres à chaque emplacement.
Routage pour votre périphérique de passerelle client
AWS recommande de faire de la publicité pour des itinéraires BGP spécifiques afin d'influencer les décisions de routage dans la passerelle privée virtuelle. Consultez la documentation de votre fournisseur pour connaître les commandes spécifiques à votre appareil.
Lorsque vous créez plusieurs connexions VPN, la passerelle réseau privé virtuel envoie le trafic réseau vers la connexion VPN appropriée à l'aide de routes affectées statiquement ou d'annonces de routes BGP. Le choix de la route dépend de la façon dont la connexion VPN a été configurée. Les routes affectées statiquement sont préférées aux routes annoncées par BGP lorsque des routes identiques existent dans la passerelle réseau privé virtuel. Si vous sélectionnez l'option d'utiliser une annonce BGP, vous ne pouvez pas spécifier de routes statiques.
Pour plus d’informations sur la priorité de route, consultez Tables de routage et priorité de route VPN.
