Memulai dengan AWS Site-to-Site VPN

Gunakan prosedur berikut untuk mengatur AWS Site-to-Site VPN koneksi. Selama pembuatan, Anda akan menentukan gateway pribadi virtual, gateway transit, atau “Tidak terkait” sebagai jenis gateway target. Jika Anda menentukan “Tidak terkait”, Anda dapat memilih jenis gateway target di lain waktu, atau Anda dapat menggunakannya sebagai lampiran VPN untuk AWS Cloud WAN. Tutorial ini membantu Anda membuat koneksi VPN menggunakan gateway pribadi virtual. Ini mengasumsikan bahwa Anda memiliki VPC yang ada dengan satu atau lebih subnet.

Untuk mengatur koneksi VPN menggunakan gateway pribadi virtual, selesaikan langkah-langkah berikut:

Tugas terkait

• Untuk membuat koneksi VPN untuk AWS Cloud WAN, lihatBuat lampiran VPN untuk AWS Cloud WAN.

• Untuk membuat koneksi VPN di gateway transit, lihatBuat lampiran VPN gateway transit.

Prasyarat

Anda memerlukan informasi berikut untuk mengatur dan mengkonfigurasi komponen koneksi VPN.

Item	Informasi
Perangkat gateway pelanggan	Perangkat fisik atau perangkat lunak koneksi VPN di sisi Anda. Anda memerlukan vendor (misalnya, Cisco), platform (misalnya, Router Seri ISR), dan versi perangkat lunak (misalnya, IOS 12.4).
Gateway pelanggan	Untuk membuat sumber daya gateway pelanggan di AWS, Anda memerlukan informasi berikut: Alamat IP yang dapat dirutekan internet untuk antarmuka eksternal perangkat Jenis perutean: statis atau dinamis Untuk perutean dinamis, Border Gateway Protocol (BGP) Autonomous System Number (ASN) (Opsional) Sertifikat pribadi dari AWS Private Certificate Authority untuk mengautentikasi VPN Anda Untuk informasi selengkapnya, lihat Opsi gateway pelanggan.
(Opsional) ASN untuk AWS sisi sesi BGP	Anda menentukannya ketika membuat gateway privat virtual atau transit gateway. Jika Anda tidak menentukan nilai, ASN default diterapkan. Untuk informasi selengkapnya, lihat Gateway privat virtual.
Koneksi VPN	Untuk membuat koneksi VPN, Anda memerlukan informasi berikut: Untuk perutean statis, prefiks IP untuk jaringan privat Anda. (Opsional) Opsi terowongan untuk setiap terowongan VPN. Untuk informasi selengkapnya, lihat Opsi terowongan untuk koneksi Site-to-Site VPN Anda.

Langkah 1: Buat gateway pelanggan

Gateway pelanggan memberikan informasi AWS tentang perangkat gateway pelanggan atau aplikasi perangkat lunak Anda. Untuk informasi selengkapnya, lihat Gateway pelanggan.

Jika Anda berencana untuk menggunakan sertifikat pribadi untuk mengautentikasi VPN Anda, buat sertifikat pribadi dari CA bawahan menggunakan. AWS Private Certificate Authority Untuk informasi tentang pembuatan sertifikat privat, lihat Pembuatan dan Pengelolaan CA privat dalam Panduan Pengguna AWS Private Certificate Authority .

catatan

Anda harus menentukan alamat IP, atau Nama Sumber Daya Amazon dari sertifikat privat.

Untuk membuat gateway pelanggan menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih gateway Pelanggan.

3. Pilih Buat gateway pelanggan.

4. (Opsional) Untuk tag Nama, masukkan nama untuk gateway pelanggan Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

5. Untuk BGP ASN, masukkan Border Gateway Protocol (BGP) Autonomous System Number (ASN) untuk gateway pelanggan Anda.

6. (Opsional) Untuk alamat IP, masukkan alamat IP statis yang dapat dirutekan internet untuk perangkat gateway pelanggan Anda. Jika perangkat gateway pelanggan Anda berada di belakang perangkat NAT yang diaktifkan untuk NAT-T, gunakan alamat IP publik perangkat NAT.

7. (Opsional) Jika Anda ingin menggunakan sertifikat privat, pada ARN Sertifikat, pilih nama sumber daya Amazon sertifikat privat.

8. (Opsional) Untuk Perangkat, masukkan nama untuk perangkat gateway pelanggan yang terkait dengan gateway pelanggan ini.

9. Pilih Buat gateway pelanggan.

Untuk membuat gateway pelanggan menggunakan baris perintah atau API

• CreateCustomerGerbang (API Kueri Amazon EC2)

• create-customer-gateway (AWS CLI)

• New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

Langkah 2: Buat gateway target

Untuk membuat koneksi VPN antara VPC dan jaringan lokal, Anda harus membuat gateway target di AWS sisi koneksi. Target gateway dapat berupa gateway privat virtual atau transit gateway.

Buat gateway privat virtual

Saat membuat gateway pribadi virtual, Anda dapat menentukan Nomor Sistem Otonom (ASN) pribadi khusus untuk sisi Amazon dari gateway, atau menggunakan ASN default Amazon. ASN ini harus berbeda dari ASN yang Anda tentukan untuk gateway pelanggan.

Setelah Anda membuat gateway privat virtual, Anda harus melampirkannya ke VPC Anda.

Untuk membuat gateway privat virtual dan melampirkannya ke VPC Anda

1. Di panel navigasi, pilih Gateway pribadi virtual.

2. Pilih Buat gateway pribadi virtual.

3. (Opsional) Untuk tag Nama, masukkan nama untuk gateway pribadi virtual Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

4. Untuk Autonomous System Number (ASN), pertahankan pilihan default, Amazon default ASN, untuk menggunakan Amazon ASN default. Jika tidak, mohon untuk memilih ASN kustom dan silahkan memasukkan sebuah nilai. Untuk ASN 16-bit, nilainya harus berada dalam rentang 64512 hingga 65534. Untuk ASN 32-bit, nilainya harus berada dalam rentang 4200000000 hingga 4294967294.

5. Pilih Buat gateway pribadi virtual.

6. Pilih gateway pribadi virtual yang Anda buat, lalu pilih Tindakan, Lampirkan ke VPC.

7. Untuk VPC yang Tersedia, pilih VPC Anda dan kemudian pilih Lampirkan ke VPC.

Untuk membuat gateway privat virtual menggunakan baris perintah atau API

• CreateVpnGerbang (API Kueri Amazon EC2)

• create-vpn-gateway (AWS CLI)

• New-EC2VpnGateway (AWS Tools for Windows PowerShell)

Untuk melampirkan gateway privat virtual ke VPC menggunakan baris perintah atau API

• AttachVpnGerbang (API Kueri Amazon EC2)

• attach-vpn-gateway (AWS CLI)

• Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Buat transit gateway

Untuk informasi selengkapnya tentang cara membuat transit gateway, lihat Transit Gateway dalam Transit Gateway Amazon VPC.

Langkah 3: Konfigurasikan perutean

Untuk mengaktifkan instance di VPC Anda untuk mencapai gateway pelanggan Anda, Anda harus mengonfigurasi tabel rute Anda untuk menyertakan rute yang digunakan oleh koneksi VPN Anda dan mengarahkannya ke gateway pribadi virtual atau gateway transit Anda.

(Gateway privat virtual) Aktifkan propagasi rute di tabel rute Anda

Anda dapat mengaktifkan propagasi rute untuk tabel rute agar menyebarkan rute Site-to-Site VPN secara otomatis.

Untuk perutean statis, awalan IP statis yang Anda tentukan untuk konfigurasi VPN Anda disebarkan ke tabel rute saat status koneksi VPN. UP Demikian pula, untuk perutean dinamis, rute yang diiklankan BGP dari gateway pelanggan Anda disebarkan ke tabel rute saat status koneksi VPN. UP

catatan

Jika koneksi Anda terganggu tetapi koneksi VPN tetap AKTIF, rute manapun yang disebarkan yang berada dalam tabel rute Anda secara otomatis tidak akan dihapus. Ingatlah hal ini, misalnya, jika Anda ingin lalu lintas dialihkan ke rute statis. Dalam hal ini, Anda mungkin harus menonaktifkan propagasi rute untuk menghapus rute yang disebarkan.

Untuk mengaktifkan propagasi rute menggunakan konsol tersebut

1. Di panel navigasi, pilih Tabel rute.

2. Pilih tabel rute yang terkait dengan subnet.

3. Pada tab Rute propagation, pilih Edit propagasi rute. Pilih gateway pribadi virtual yang Anda buat di prosedur sebelumnya, lalu pilih Simpan.

catatan

Jika Anda tidak mengaktifkan propagasi rute, Anda harus secara manual memasukkan rute statis yang digunakan oleh koneksi VPN Anda. Untuk melakukannya, pilih tabel rute Anda, pilih Rute, Edit. Untuk Tujuan, tambahkan rute statis yang digunakan oleh koneksi Site-to-Site VPN Anda. Untuk Target, pilih ID gateway privat virtual, dan pilih Simpan.

Untuk mennonaktifkan propagasi rute menggunakan konsol tersebut

1. Di panel navigasi, pilih Tabel rute.

2. Pilih tabel rute yang terkait dengan subnet.

3. Pada tab Rute propagation, pilih Edit propagasi rute. Kosongkan kotak centang Propagate untuk gateway pribadi virtual.

4. Pilih Simpan.

Untuk mengaktifkan propagasi rute menggunakan baris perintah atau API

• EnableVgwRoutePropagation (Amazon EC2 Query API)

• enable-vgw-route-propagation (AWS CLI)

• Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Untuk menonaktifkan propagasi rute menggunakan baris perintah atau API

• DisableVgwRoutePropagation (Amazon EC2 Query API)

• disable-vgw-route-propagation (AWS CLI)

• Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Transit gateway) Tambahkan rute ke tabel rute Anda

Jika Anda mengaktifkan propagasi tabel rute untuk gateway transit Anda, rute untuk lampiran VPN disebarkan ke tabel rute gateway transit. Untuk informasi selengkapnya, lihat Perutean di Transit Gateway Amazon VPC.

Jika Anda melampirkan VPC ke transit gateway dan ingin mengaktifkan sumber daya di dalam VPC untuk menjangkau gateway pelanggan, Anda harus menambahkan rute ke tabel rute subnet untuk mengarah ke transit gateway.

Untuk menambahkan rute ke tabel rute VPC

1. Pada panel navigasi, pilih Tabel rute.

2. Pilih tabel rute yang terkait dengan VPC Anda.

3. Di tab Rute, pilih Edit rute.

4. Pilih Tambahkan rute.

5. Untuk Tujuan, masukkan rentang alamat IP tujuan. Untuk Target, pilih transit gateway.

6. Pilih Simpan perubahan.

Langkah 4: Perbarui grup keamanan Anda

Untuk mengizinkan akses ke instans di VPC serta dari jaringan Anda, maka Anda harus memperbarui aturan grup keamanan untuk mengaktifkan akses masuk SSH, RDP, dan ICMP.

Untuk menambahkan aturan ke grup keamanan Anda untuk mengaktifkan akses

1. Pada panel navigasi, pilih Grup keamanan.

2. Pilih grup keamanan untuk instance di VPC yang ingin Anda izinkan aksesnya.

3. Pada tab Inbound rules (Aturan ke dalam), pilih Edit inbound rules (Edit aturan ke dalam).

4. Tambahkan aturan yang memungkinkan akses SSH, RDP, dan ICMP masuk dari jaringan Anda, lalu pilih Simpan aturan. Untuk informasi selengkapnya, lihat Bekerja dengan aturan grup keamanan di Panduan Pengguna Amazon VPC.

Langkah 5: Buat koneksi VPN

Buat koneksi VPN menggunakan gateway pelanggan dalam kombinasi dengan gateway pribadi virtual atau gateway transit yang Anda buat sebelumnya.

Untuk membuat koneksi VPN

1. Di panel navigasi, pilih Koneksi VPN Site-to-Site.

2. Pilih Buat koneksi VPN.

3. (Opsional) Untuk tag Nama, masukkan nama untuk koneksi VPN Anda. Dengan melakukan hal tersebut akan menciptakan tanda dengan kunci Name dan nilai yang Anda tentukan.

4. Untuk jenis gateway Target, pilih salah satu Virtual Private Gateway atau Transit gateway. Kemudian, pilih gateway privat virtual atau transit gateway yang telah Anda buat sebelumnya.

5. Untuk gateway Pelanggan, pilih Existing, lalu pilih gateway pelanggan yang Anda buat sebelumnya dari ID gateway Pelanggan.

6. Pilih salah satu opsi perutean berdasarkan apakah perangkat gateway pelanggan Anda mendukung Border Gateway Protocol (BGP):

   • Jika perangkat gateway pelanggan Anda mendukung BGP, pilih Dinamis (membutuhkan BGP).

   • Jika perangkat gateway pelanggan Anda tidak mendukung BGP, pilih Statis. Untuk Awalan IP Statis, tentukan setiap awalan IP untuk jaringan pribadi koneksi VPN Anda.

7. Jika jenis gateway target Anda adalah gateway transit, untuk Tunnel di dalam versi IP, tentukan apakah terowongan VPN mendukung lalu lintas IPv4 atau IPv6. Lalu lintas IPv6 hanya didukung untuk koneksi VPN pada transit gateway.

8. Jika Anda menentukan IPv4 untuk Tunnel di dalam versi IP, Anda dapat secara opsional menentukan rentang IPv4 CIDR untuk gateway pelanggan dan AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN. Nilai default-nya 0.0.0.0/0.

   Jika Anda menentukan IPv6 untuk Tunnel di dalam versi IP, Anda dapat secara opsional menentukan rentang IPv6 CIDR untuk gateway pelanggan dan AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN. Default untuk kedua rentang tersebut adalah ::/0.

9. Untuk jenis alamat IP Luar, pertahankan opsi default, PublicIpv4.

10. (Opsional) Untuk opsi Tunnel, Anda dapat menentukan informasi berikut untuk setiap terowongan:

    • Sebuah blok CIDR berukuran /30 IPv4 dari rentang 169.254.0.0/16 untuk alamat IPv4 terowongan dalam.

    • Jika Anda menentukan IPv6 untuk Tunnel di dalam versi IP, blok CIDR /126 IPv6 dari fd00::/8 rentang untuk alamat IPv6 terowongan di dalam.

    • Kunci pra-berbagi IKE (PSK). Versi berikut telah didukung: IKEv1 atau IKEv2.

    • Untuk mengedit opsi lanjutan untuk terowongan Anda, pilih opsi Edit terowongan. Untuk informasi selengkapnya, lihat Opsi terowongan VPN.

11. Pilih Buat koneksi VPN. Mungkin perlu beberapa menit untuk membuat koneksi VPN.

Untuk membuat koneksi VPN menggunakan baris perintah atau API

• CreateVpnKoneksi (API Kueri Amazon EC2)

• create-vpn-connection (AWS CLI)

• New-EC2VpnConnection (AWS Tools for Windows PowerShell)

Langkah 6: Unduh file konfigurasi

Setelah Anda membuat koneksi VPN, Anda dapat mengunduh file konfigurasi sampel yang akan digunakan untuk mengonfigurasi perangkat gateway pelanggan.

penting

File konfigurasi adalah contoh saja dan mungkin tidak cocok dengan pengaturan koneksi VPN yang Anda inginkan sepenuhnya. Ini menentukan persyaratan minimum untuk koneksi VPN AES128, SHA1, dan Diffie-Hellman grup 2 di sebagian besar AWS Wilayah, dan AES128, SHA2, dan Diffie-Hellman grup 14 di Wilayah. AWS GovCloud Ini juga menentukan kunci pra-berbagi untuk autentikasi. Anda harus memodifikasi contoh file konfigurasi untuk memanfaatkan algoritma keamanan tambahan, grup Diffie-Hellman, sertifikat pribadi, dan lalu lintas IPv6.

Kami telah memperkenalkan dukungan IKEv2 dalam file konfigurasi untuk banyak perangkat gateway pelanggan populer dan akan terus menambahkan file tambahan dari waktu ke waktu. Untuk daftar file konfigurasi dengan dukungan IKEv2, lihat. Perangkat gateway pelanggan Anda

Izin

Untuk memuat layar konfigurasi unduhan dengan benar dari AWS Management Console, Anda harus memastikan bahwa peran IAM atau pengguna Anda memiliki izin untuk API GetVpnConnectionDeviceTypes Amazon EC2 berikut: dan. GetVpnConnectionDeviceSampleConfiguration

Untuk mengunduh file konfigurasi menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Koneksi VPN Site-to-Site.

3. Pilih koneksi VPN Anda dan pilih Unduh konfigurasi.

4. Pilih versi Vendor, Platform, Perangkat Lunak, dan IKE yang sesuai dengan perangkat gateway pelanggan Anda. Jika perangkat Anda tidak terdaftar, pilih Generik.

5. Pilih Unduh.

Untuk mengunduh file konfigurasi sampel menggunakan baris perintah atau API

• GetVpnConnectionDeviceJenis (Amazon EC2 API)

• GetVpnConnectionDeviceSampleConfiguration (Amazon EC2 Query API)

• get-vpn-koneksi-perangkat-tipe ()AWS CLI

• dapatkan-vpn-koneksi-perangkat-sampel-konfigurasi ()AWS CLI

Langkah 7: Konfigurasikan perangkat gateway pelanggan

Gunakan file konfigurasi sampel untuk mengonfigurasi perangkat gateway pelanggan Anda. Perangkat gateway pelanggan adalah alat fisik atau perangkat lunak di sisi koneksi VPN Anda. Untuk informasi selengkapnya, lihat Perangkat gateway pelanggan Anda.