Memulai dengan AWS Site-to-Site VPN

Gunakan prosedur berikut untuk menyiapkan AWS Site-to-Site VPN koneksi. Selama pembuatan, Anda akan menentukan gateway pribadi virtual, gateway transit, atau “Tidak terkait” sebagai tipe gateway target. Jika Anda menentukan “Tidak terkait”, Anda dapat memilih jenis gateway target di lain waktu, atau Anda dapat menggunakannya sebagai lampiran VPN untuk AWS Cloud WAN. Tutorial ini membantu Anda membuat koneksi VPN menggunakan gateway pribadi virtual. Ini mengasumsikan bahwa Anda memiliki VPC yang ada dengan satu subnet atau lebih.

Untuk menyiapkan koneksi VPN menggunakan virtual private gateway, selesaikan langkah-langkah berikut:

Tugas terkait

• Untuk membuat koneksi VPN untuk AWS Cloud WAN, lihatBuat lampiran VPN untuk AWS Cloud WAN.

• Untuk membuat koneksi VPN pada transit gateway, lihatBuat transit gateway VPN Attachmentmentmentator gateway VPN gateway gateway.

Prasyarat

Anda memerlukan informasi berikut untuk menyiapkan dan mengonfigurasikan komponen koneksi VPN.

Item	Informasi
Perangkat gateway pelanggan	Perangkat fisik atau perangkat lunak koneksi VPN di sisi Anda. Anda memerlukan vendor (misalnya, Cisco), platform (misalnya, Router Seri ISR), dan versi perangkat lunak (misalnya, IOS 12.4).
Gateway pelanggan	Untuk membuat sumber daya gateway pelanggan di AWS, Anda memerlukan beberapa informasi berikut: Alamat IP yang dapat dirutekan internet untuk antarmuka eksternal perangkat Jenis perutean: statis atau dinamis Untuk perutean dinamis, Border Gateway Protocol (BGP) Autonomous System Number (ASN) (Opsional) Sertifikat privat dari AWS Private Certificate Authority untuk mengautentikasi VPN Anda Untuk informasi selengkapnya, lihat Opsi gateway pelanggan.
(Opsional) ASN untuk sisi AWS sesi BGP	Anda menentukannya ketika membuat gateway privat virtual atau transit gateway. Jika Anda tidak menentukan nilai, ASN default diterapkan. Untuk informasi selengkapnya, lihat Gateway privat virtual.
Koneksi VPN	Untuk membuat koneksi VPN, Anda memerlukan informasi berikut: Untuk perutean statis, prefiks IP untuk jaringan privat Anda. (Opsional) Opsi terowongan untuk setiap terowongan VPN. Untuk informasi selengkapnya, lihat Opsi terowongan untuk koneksi Site-to-Site VPN Anda.

Langkah 1: Buat gateway pelanggan

Gateway pelanggan menyediakan informasi untuk AWS tentang perangkat gateway pelanggan atau aplikasi perangkat lunak Anda. Untuk informasi selengkapnya, lihat Gateway pelanggan.

Jika Anda berencana menggunakan sertifikat privat untuk mengautentikasi VPN Anda, buat sertifikat privat dari CA subordinat menggunakan AWS Private Certificate Authority. Untuk informasi tentang pembuatan sertifikat privat, lihat Pembuatan dan Pengelolaan CA privat dalam Panduan Pengguna AWS Private Certificate Authority.

catatan

Anda harus menentukan alamat IP, atau Nama Sumber Daya Amazon dari sertifikat privat.

Untuk membuat gateway pelanggan menggunakan konsol tersebut

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Gateway pelanggan.

3. Pilih Buat gateway pelanggan.

4. (Opsional) Untuk Tag nama, masukkan nama untuk gateway pelanggan Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

5. Untuk BGP ASN, masukkan Border Gateway Protocol (BGP) Autonomous System Number (ASN) untuk gateway pelanggan Anda.

6. (Opsional) Untuk alamat IP, masukkan alamat IP statis yang dapat dirutekan internet untuk perangkat gateway pelanggan Anda. Jika perangkat gateway pelanggan Anda berada di belakang perangkat NAT yang diaktifkan untuk NAT-T, maka gunakan alamat IP publik perangkat NAT.

7. (Opsional) Jika Anda ingin menggunakan sertifikat privat, pada ARN Sertifikat, pilih nama sumber daya Amazon sertifikat privat.

8. (Opsional) Untuk Perangkat, masukkan nama untuk perangkat gateway pelanggan yang dikaitkan dengan gateway pelanggan ini.

9. Pilih Buat gateway pelanggan.

Untuk membuat gateway pelanggan menggunakan baris perintah atau API

• CreateCustomerGateway (Amazon EC2 Query API)

• create-customer-gateway (AWS CLI)

• Baru-EC2 (CustomerGateway) AWS Tools for Windows PowerShell

Langkah 2: Buat gateway target

Untuk membuat koneksi VPN antara VPC dengan jaringan on premise Anda, Anda perlu membuat sebuah target gateway di sisi koneksi AWS. Target gateway dapat berupa gateway privat virtual atau transit gateway.

Buat gateway privat virtual

Bila Anda membuat virtual private gateway, Anda dapat menentukan Nomor Sistem Mandiri (ASN) privat khusus untuk sisi Amazon gateway, atau menggunakan ASN default Amazon. ASN ini harus berbeda dari ASN yang Anda tentukan untuk gateway pelanggan.

Setelah Anda membuat gateway privat virtual, Anda harus melampirkannya ke VPC Anda.

Untuk membuat gateway privat virtual dan melampirkannya ke VPC Anda

1. Di panel navigasi, pilih Gateway privat virtual.

2. Pilih Buat gateway pribadi virtual.

3. (Opsional) Untuk Tag nama, masukkan nama untuk gateway privat virtual Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

4. Untuk Autonomous System Number (ASN), simpan pilihan default, ASN default Amazon, untuk menggunakan Amazon ASN default. Jika tidak, mohon untuk memilih ASN kustom dan silahkan memasukkan sebuah nilai. Untuk ASN 16-bit, nilainya harus berada dalam rentang 64512 hingga 65534. Untuk ASN 32-bit, nilainya harus berada dalam rentang 4200000000 hingga 4294967294.

5. Pilih Buat gateway pribadi virtual.

6. Pilih gateway privat virtual yang telah Anda buat, kemudian pilih Tindakan, Lampirkan ke VPC.

7. Untuk VPC yang Tersedia, pilih VPC Anda dan kemudian pilih Lampirkan ke VPC.

Untuk membuat gateway privat virtual menggunakan baris perintah atau API

• CreateVpnGateway (Amazon EC2 Query API)

• create-vpn-gateway (AWS CLI)

• Baru-EC2 (VpnGateway) AWS Tools for Windows PowerShell

Untuk melampirkan gateway privat virtual ke VPC menggunakan baris perintah atau API

• AttachVpnGateway (Amazon EC2 Query API)

• attach-vpn-gateway (AWS CLI)

• Tambahkan-EC2 () VpnGateway AWS Tools for Windows PowerShell

Buat transit gateway

Untuk informasi selengkapnya tentang cara membuat transit gateway, lihat Transit Gateway dalam Transit Gateway Amazon VPC.

Langkah 3: Konfigurasi

Untuk mengaktifkan instans di VPC Anda untuk menjangkau gateway pelanggan Anda, Anda harus mengonfigurasikan tabel rute untuk menyertakan rute yang telah digunakan oleh koneksi VPN Anda dan mengarahkan rute tersebut ke gateway privat virtual atau transit gateway.

(Gateway privat virtual) Aktifkan propagasi rute di tabel rute Anda

Anda dapat mengaktifkan propagasi rute untuk tabel rute agar menyebarkan rute Site-to-Site VPN secara otomatis.

Untuk perutean statis, prefiks IP statis yang Anda tentukan untuk konfigurasi VPN akan disebarkan ke tabel rute saat status koneksi VPN. UP Demikian pula untuk perutean dinamis, rute yang diiklankan BGP dari gateway pelanggan Anda disebarkan ke tabel rute saat status koneksi VPN. UP

catatan

Jika koneksi Anda terganggu tetapi koneksi VPN tetap AKTIF, rute manapun yang disebarkan yang berada dalam tabel rute Anda secara otomatis tidak akan dihapus. Ingatlah hal ini, misalnya, jika Anda ingin lalu lintas dialihkan ke rute statis. Dalam hal ini, Anda mungkin harus menonaktifkan propagasi rute untuk menghapus rute yang disebarkan.

Untuk mengaktifkan propagasi rute menggunakan konsol tersebut

1. Di panel navigasi, pilih Tabel rute.

2. Pilih tabel rute yang dikaitkan dengan subnet.

3. Pada tab Propagasi rute, pilih Edit propagasi rute. Pilih gateway privat virtual yang telah Anda buat di prosedur sebelumnya, dan kemudian pilih Simpan.

catatan

Jika Anda tidak mengaktifkan propagasi rute, Anda harus memasukkan rute statis yang digunakan oleh koneksi VPN Anda secara manual. Untuk melakukannya, pilih tabel rute Anda, pilih Rute, Edit. Untuk Tujuan, tambahkan rute statis yang digunakan oleh koneksi Site-to-Site VPN Anda. Untuk Target, pilih ID gateway privat virtual, dan pilih Simpan.

Untuk mennonaktifkan propagasi rute menggunakan konsol tersebut

1. Di panel navigasi, pilih Tabel rute.

2. Pilih tabel rute yang dikaitkan dengan subnet.

3. Pada tab Propagasi rute, pilih Edit propagasi rute. Kosongkan kotak centang Propagasi untuk gateway privat virtual.

4. Pilih Save (Simpan).

Untuk mengaktifkan propagasi rute menggunakan baris perintah atau API

• EnableVgwRoutePropagation (Amazon EC2 Query API)

• enable-vgw-route-propagation (AWS CLI)

• Aktifkan-EC2 VgwRoutePropagation () AWS Tools for Windows PowerShell

Untuk menonaktifkan propagasi rute menggunakan baris perintah atau API

• DisableVgwRoutePropagation (Amazon EC2 Query API)

• disable-vgw-route-propagation (AWS CLI)

• Nonaktifkan-EC2 VgwRoutePropagation () AWS Tools for Windows PowerShell

(Transit gateway) Tambahkan rute ke tabel rute Anda

Jika Anda mengaktifkan propagasi tabel rute untuk gateway transit Anda, rute untuk lampiran VPN disebarkan ke tabel rute gateway transit. Untuk informasi selengkapnya, lihat Perutean di Transit Gateway Amazon VPC.

Jika Anda melampirkan VPC ke transit gateway dan ingin mengaktifkan sumber daya di dalam VPC untuk menjangkau gateway pelanggan, Anda harus menambahkan rute ke tabel rute subnet untuk mengarah ke transit gateway.

Untuk menambahkan rute ke tabel rute VPC

1. Di panel navigasi, pilih Tabel rute.

2. Pilih tabel rute yang terkait dengan VPC Anda.

3. Di tab Rute, pilih Edit rute.

4. Pilih Tambahkan rute.

5. Untuk Tujuan, masukkan rentang alamat IP tujuan. Untuk Target, pilih transit gateway.

6. Pilih Save changes (Simpan perubahan).

Langkah 4: Perbarui grup keamanan Anda

Untuk mengizinkan akses ke instans di VPC serta dari jaringan Anda, maka Anda harus memperbarui aturan grup keamanan untuk mengaktifkan akses masuk SSH, RDP, dan ICMP.

Untuk menambahkan aturan pada grup keamanan Anda agar dapat mengaktifkan akses

1. Di panel navigasi, pilih Grup keamanan.

2. Pilih grup keamanan default untuk VPC.

3. Pada tab Inbound rules (Aturan ke dalam), pilih Edit inbound rules (Edit aturan ke dalam).

4. Tambahkan aturan yang mengizinkan akses masuk SSH, dan ICMP dari jaringan Anda, dan akses masuk SSH, dan ICMP dari jaringan Anda, dan kemudian pilih Simpan aturan. Untuk informasi selengkapnya, lihat Bekerja dengan aturan grup keamanan di Panduan Pengguna Amazon VPC.

Langkah 5: Buat koneksi VPN

Buat koneksi VPN menggunakan gateway pelanggan yang dikombinasikan dengan gateway privat virtual atau transit gateway yang telah Anda buat sebelumnya.

Untuk membuat koneksi VPN

1. Di panel navigasi, pilih Koneksi Site-to-Site VPN.

2. Pilih Buat koneksi VPN.

3. (Opsional) Untuk Tag nama, masukkan nama untuk koneksi VPN Anda. Dengan melakukan hal tersebut akan menciptakan tanda dengan kunci Name dan nilai yang Anda tentukan.

4. Untuk tipe gateway Target, pilih Gateway pribadi virtual atau gateway Transit. Kemudian, pilih gateway privat virtual atau transit gateway yang telah Anda buat sebelumnya.

5. Untuk Customer gateway, pilih Existing, lalu pilih gateway pelanggan yang Anda buat sebelumnya dari Customer gateway ID.

6. Pilih salah satu opsi perutean berdasarkan apakah perangkat gateway pelanggan Anda mendukung Border Gateway Protocol (BGP):

   • Jika perangkat gateway pelanggan Anda mendukung BGP, pilih Dinamis (membutuhkan BGP).

   • Jika perangkat gateway pelanggan Anda tidak mendukung BGP, pilih Statis. Untuk Prefiks IP statis, tentukan setiap prefiks IP untuk jaringan koneksi VPN Anda.

7. Jika tipe gateway target Anda adalah transit gateway, untuk Terowongan di dalam versi IP, tentukan apakah terowongan VPN mendukung lalu lintas IPv4 atau IPv6. Lalu lintas IPv6 hanya didukung untuk koneksi VPN pada transit gateway.

8. Jika Anda menentukan IPv4 untuk Terowongan di dalam versi IP, Anda dapat menentukan rentang IPv4 CIDR untuk gateway pelanggan dan di AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN. Defaultnya adalah 0.0.0.0/0.

   Jika Anda menentukan IPv6 untuk Terowongan di dalam versi IP, Anda dapat menentukan rentang IPv6 CIDR untuk gateway pelanggan dan di AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN. Default untuk kedua rentang tersebut adalah ::/0.

9. Untuk tipe alamat IP Luar, simpan opsi default, PublicIpv4.

10. (Opsional) Untuk opsi terowongan, Anda dapat menentukan informasi berikut untuk setiap terowongan:

    • Sebuah blok CIDR berukuran /30 IPv4 dari rentang 169.254.0.0/16 untuk alamat IPv4 terowongan dalam.

    • Jika Anda menentukan IPv6 untuk Terowongan di dalam versi IP, blok CIDR /126 IPv6 IPv6 CIDR dari fd00::/8 rentang untuk alamat IPv6 terowongan dalam.

    • Kunci pra-berbagi IKE (PSK). Versi berikut telah didukung: IKEv1 atau IKEv2.

    • Untuk mengedit opsi lanjutan untuk terowongan Anda, pilih Edit opsi terowongan. Untuk informasi selengkapnya, lihat Opsi terowongan VPN.

11. Pilih Buat koneksi VPN. Membutuhkan waktu beberapa menit untuk membuat koneksi VPN.

Untuk membuat koneksi VPN menggunakan baris perintah atau API

• CreateVpnConnection (Amazon EC2 Query API)

• create-vpn-connection (AWS CLI)

• Baru-EC2 (VpnConnection) AWS Tools for Windows PowerShell

Langkah 6: Unduh file konfigurasi

Setelah membuat koneksi VPN, Anda dapat mengunduh file konfigurasi sampel yang akan digunakan untuk mengonfigurasi perangkat gateway pelanggan.

penting

File konfigurasi hanya merupakan sebuah contoh dan mungkin tidak cocok dengan pengaturan koneksi VPN yang Anda inginkan. Ini menentukan persyaratan minimum untuk koneksi VPN dari AES128, dan grup Diffie-Hellman 2 di Wilayah, dan grup Diffie-Hellman 14 di AWS Wilayah. AWS GovCloud Ini juga menentukan kunci pra-berbagi untuk autentikasi. Anda harus mengubah file konfigurasi contoh untuk memanfaatkan algoritme keamanan tambahan, grup Diffie-Hellman, sertifikat privat, dan lalu lintas IPv6.

Kami telah memperkenalkan dukungan IKEv2 dalam file konfigurasi untuk banyak perangkat gateway pelanggan populer dan akan terus menambahkan file tambahan dari waktu ke waktu. Untuk daftar file konfigurasi dengan dukungan IKEv2, lihatPerangkat gateway pelanggan Anda.

Izin

Untuk memuat layar konfigurasi unduhan dengan benar dariAWS Management Console, Anda harus memastikan bahwa peran IAM atau pengguna Anda memiliki izin untuk API Amazon EC2 berikut: GetVpnConnectionDeviceTypes dan. GetVpnConnectionDeviceSampleConfiguration

Untuk mengunduh file konfigurasi menggunakan konsol

1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Koneksi Site-to-Site VPN.

3. Pilih koneksi VPN Anda dan kemudian pilih Unduh

4. Pilih versi Vendor, Platform, Perangkat Lunak, dan IKE yang sesuai dengan perangkat gateway pelanggan Anda. Jika perangkat Anda tidak terdaftar, pilih Generik.

5. Pilih Unduh.

Untuk mengunduh file konfigurasi sampel menggunakan baris perintah atau API

• GetVpnConnectionDeviceTypes (Amazon EC2 Query API)

• GetVpnConnectionDeviceSampleConfiguration (Amazon EC2 Query API)

• get-vpn-connection-device-jenis () AWS CLI

• get-vpn-connection-device-sample-konfigurasi () AWS CLI

Langkah 7: Konfigurasi perangkat gateway pelanggan

Gunakan file konfigurasi sampel untuk mengonfigurasikan perangkat gateway pelanggan Anda. Perangkat gateway pelanggan merupakan alat fisik atau perangkat lunak yang berada di sisi Anda. Untuk informasi selengkapnya, lihat Perangkat gateway pelanggan Anda.