Aturan firewall untuk perangkat gateway pelanggan Anda - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aturan firewall untuk perangkat gateway pelanggan Anda

Anda harus memiliki alamat IP statis untuk digunakan sebagai titik akhir untuk IPsec terowongan yang menghubungkan perangkat gateway pelanggan Anda ke AWS Site-to-Site VPN titik akhir. Jika firewall berada di antara AWS dan perangkat gateway pelanggan Anda, aturan dalam tabel berikut harus ada untuk membuat IPsec terowongan. Alamat IP untuk AWS-side akan berada di file konfigurasi.

Aturan masukan I1

IP sumber

Tunnel1 Luar IP

IP dest

Gateway pelanggan

Protokol

UDP

Port sumber

500

Tujuan

500

Aturan input I2

IP sumber

Tunnel2 Luar IP

IP dest

Gateway pelanggan

Protokol

UDP

Port sumber

500

Port tujuan

500

Aturan input I3

IP sumber

Tunnel1 Luar IP

IP dest

Gateway pelanggan

Protokol

IP 50 (ESP)

Aturan masukan I4

IP sumber

Tunnel2 Luar IP

IP dest

Gateway pelanggan

Protokol

IP 50 (ESP)

Aturan keluaran O1

IP sumber

Gateway pelanggan

IP Tujuan

Tunnel1 Luar IP

Protokol

UDP

Port sumber

500

Port tujuan

500

Aturan keluaran O2

IP sumber

Gateway pelanggan

IP Tujuan

Tunnel2 Luar IP

Protokol

UDP

Port sumber

500

Port tujuan

500

Aturan output O3

IP sumber

Gateway pelanggan

IP Tujuan

Tunnel1 Luar IP

Protokol

IP 50 (ESP)

Aturan output O4

IP sumber

Gateway pelanggan

IP Tujuan

Tunnel2 Luar IP

Protokol

IP 50 (ESP)

Aturan I1, I2, O1, dan O2 memungkinkan transmisi paket. IKE Aturan I3, I4, O3, dan O4 memungkinkan transmisi IPsec paket yang berisi lalu lintas jaringan terenkripsi.

catatan

Jika Anda menggunakan NAT traversal (NAT-T) pada perangkat Anda, pastikan bahwa UDP lalu lintas pada port 4500 juga diizinkan untuk melewati antara jaringan Anda dan titik akhir. AWS Site-to-Site VPN Periksa apakah perangkat Anda beriklan NAT -T.