Konfigurasikan perutean dinamis untuk AWS Virtual Private Network perangkat gateway pelanggan - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan perutean dinamis untuk AWS Virtual Private Network perangkat gateway pelanggan

Berikut ini adalah beberapa contoh prosedur untuk mengonfigurasi perangkat gateway pelanggan menggunakan antarmuka pengguna (jika ada).

Check Point

Berikut ini adalah langkah-langkah untuk mengonfigurasi perangkat Check Point Security Gateway yang menjalankan R77.10 atau lebih tinggi, menggunakan portal web Gaia dan Check Point. SmartDashboard Anda juga dapat merujuk ke artikel Amazon Web Services (AWS) VPN BGP di Pusat Dukungan Check Point.

Untuk mengonfigurasi antarmuka terowongan

Langkah pertama adalah membuat terowongan VPN dan memberikan alamat IP privat (dalam) dari gateway pelanggan dan virtual private gateway untuk setiap terowongan. Untuk membuat terowongan pertama, gunakan informasi yang disediakan di bagian IPSec Tunnel #1 dari file konfigurasi. Untuk membuat terowongan kedua, gunakan nilai yang disediakan di bagian IPSec Tunnel #2 dari file konfigurasi.

  1. Koneksikan ke gateway keamanan Anda melalui SSH. Jika Anda menggunakan shell non-default, ubah ke clish dengan menjalankan perintah berikut: clish

  2. Atur ASN gateway pelanggan (ASN yang disediakan saat gateway pelanggan dibuat AWS) dengan menjalankan perintah berikut.

    set as 65000

  3. Buat antarmuka terowongan untuk terowongan pertama, menggunakan informasi yang disediakan di bagian IPSec Tunnel #1 dari file konfigurasi. Berikan nama yang unik untuk terowongan Anda, seperti AWS_VPC_Tunnel_1.

    add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
set interface vpnt1 state on 
set interface vpnt1 mtu 1436

  4. Ulangi perintah ini untuk membuat terowongan kedua, menggunakan informasi yang disediakan di bagian IPSec Tunnel #2 dari file konfigurasi. Berikan nama unik untuk terowongan Anda, seperti AWS_VPC_Tunnel_2.

    add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
set interface vpnt2 state on 
set interface vpnt2 mtu 1436

  5. Mengatur ASN virtual private gateway.

    set bgp external remote-as 7224 on

  6. Konfigurasikan BGP untuk terowongan pertama, menggunakan informasi yang diberikan di bagian IPSec Tunnel #1 dari file konfigurasi.

    set bgp external remote-as 7224 peer 169.254.44.233 on 
set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

  7. Konfigurasikan BGP untuk terowongan kedua, dengan menggunakan informasi yang diberikan di bagian IPSec Tunnel #2 dari file konfigurasi.

    set bgp external remote-as 7224 peer 169.254.44.37 on 
set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

  8. Simpan konfigurasi.

    save config
Untuk membuat kebijakan BGP

Selanjutnya, buat kebijakan BGP yang memungkinkan impor rute yang di-notice oleh AWS. Kemudian, konfigurasikan gateway pelanggan Anda untuk me-notice rute lokal ke AWS.

  1. Dalam Gaia WebUI, pilih Perutean Lanjutan, Filter Rute Inbound. Pilih Menambahkan, dan pilih Menambahkan Kebijakan BGP (Berdasarkan AS).

  2. Untuk Menambahkan Kebijakan BGP, pilih nilai antara 512 dan 1024 di kolom pertama, dan masukkan virtual private gateway ASN di kolom kedua (misalnya, 7224).

  3. Pilih Simpan.

Untuk me-notice rute lokal

Langkah-langkah berikut adalah cara untuk mendistribusikan rute antarmuka lokal. Anda juga dapat mendistribusikan rute dari sumber yang berbeda (misalnya, rute statis, atau rute yang diperoleh melalui protokol perutean dinamis). Untuk informasi lebih lanjut, lihat Perutean Lanjutan Gaia R77 Versi Panduan Administrasi.

  1. Dalam Gaia WebUI, pilih Perutean Lanjutan, Redistribusi Perutean. Pilih Menambahkan Redistribusi Dari dan kemudian pilih Antarmuka.

  2. Untuk Ke Protokol, pilih ASN virtual private gateway (misalnya, 7224).

  3. Untuk Antarmuka, pilih antarmuka internal. Pilih Simpan.

Untuk menentukan objek jaringan baru

Selanjutnya, buat objek jaringan untuk setiap terowongan VPN, tentukan alamat IP publik (luar) untuk virtual private gateway. Kemudian Anda akan menambahkan objek jaringan ini sebagai gateway satelit untuk komunitas VPN Anda. Anda juga perlu membuat grup yang kosong untuk bertindak sebagai placeholder untuk domain VPN.

  1. Buka Check Point SmartDashboard.

  2. Untuk Grup, buka menu konteks dan pilih Grup, Grup Sederhana. Anda dapat menggunakan grup yang sama untuk setiap objek jaringan.

  3. Untuk Objek Jaringan, buka menu konteks (klik kanan) dan pilih Baru, Perangkat yang dapat dioperasikan.

  4. Untuk Nama, masukkan nama yang Anda berikan untuk terowongan pada langkah 1, misalnya, AWS_VPC_Tunnel_1 atau AWS_VPC_Tunnel_2.

  5. Untuk IPv4 Alamat, masukkan alamat IP luar dari gateway pribadi virtual yang disediakan dalam file konfigurasi, misalnya,54.84.169.196. Simpan pengaturan Anda dan tutup kotak dialog.

    Kotak dialog Check Point Interoperable Device

  6. Di panel kategori sebelah kiri, pilih Topologi.

  7. Di bagian Domain VPN, pilih Tetapkan secara manual, dan kemudian telusuri dan pilih grup sederhana kosong yang Anda buat di langkah 2. Pilih OKE.

  8. Ulangi langkah-langkah ini untuk membuat objek jaringan kedua, menggunakan informasi di bagian IPSec Tunnel #2 dari file konfigurasi.

  9. Pergi ke objek jaringan gateway Anda, buka gateway atau objek klaster, dan pilih Topologi.

  10. Di bagian Domain VPN, pilih Tetapkan manual, dan kemudian telusuri dan pilih grup sederhana kosong yang Anda buat di langkah 2. Pilih OKE.

    catatan

    Anda dapat menyimpan domain VPN yang sudah ada yang telah dikonfigurasikan. Namun, pastikan bahwa host dan jaringan yang digunakan atau dilayani oleh koneksi VPN baru tidak dinyatakan dalam domain VPN tersebut, terutama jika domain VPN secara otomatis diturunkan.

catatan

Jika Anda menggunakan klaster, edit topologi dan tentukan antarmuka sebagai antarmuka klaster. Gunakan alamat IP yang ditentukan dalam file konfigurasi.

Untuk membuat dan mengkonfigurasi komunitas VPN, IKE, dan IPsec pengaturan

Selanjutnya, buat komunitas VPN di gateway Check Point Anda, yang Anda tambahkan objek jaringan (perangkat yang dapat dioperasikan) untuk setiap terowongan. Anda juga mengkonfigurasi Internet Key Exchange (IKE) dan IPsec pengaturan.

  1. Dari properti gateway Anda, pilih IPSecVPN di panel kategori.

  2. Pilih Komunitas, Baru, Komunitas Bintang.

  3. Berikan nama untuk komunitas Anda (misalnya, AWS_VPN_Star), lalu pilih Gateway Pusat di panel kategori.

  4. Pilih Tambahkan, dan tambahkan gateway atau klaster Anda ke daftar gateway peserta.

  5. Di panel kategori, pilih Gateway satelit, Tambahkan, dan tambahkan perangkat interoperable yang Anda buat sebelumnya (AWS_VPC_Tunnel_1 dan AWS_VPC_Tunnel_2) ke daftar gateway peserta.

  6. Di panel kategori, pilih Enkripsi. Di bagian Metode Enkripsi, pilih IKEv1 untuk IPv4 dan IKEv2 untuk IPv6. Di bagian Suite Enkripsi, pilih Kustom, Enkripsi Kustom.

    catatan

    Anda harus memilih IPv6 opsi IKEv1 untuk IPv4 dan IKEv2 untuk IKEv1 fungsionalitas.

  7. Di kotak dialog, konfigurasikan properti enkripsi sebagai berikut, kemudian pilih OKE ketika Anda selesai:

    • Properti Asosiasi Keamanan IKE (fase 1):

      • Lakukan enkripsi pertukaran kunci dengan: AES-128

      • Lakukan integritas data dengan: SHA-1

    • IPsec Properti Asosiasi Keamanan (Tahap 2):

      • Lakukan enkripsi IPsec data dengan: AES-128

      • Lakukan integritas data dengan: SHA-1

  8. Di panel kategori, pilih Manajemen Terowongan. Pilih Atur Terowongan Permanen, Di semua terowongan komunitas. Di bagian Berbagi Terowongan VPN, pilih Satu terowongan VPN per pasangan Gateway.

  9. Dalam panel kategori, perluas Pengaturan lanjutan, dan pilih Rahasia Bersama.

  10. Pilih nama peer untuk terowongan pertama, pilih Edit, dan kemudian masukkan kunci pra-berbagi seperti yang ditentukan dalam file konfigurasi di bagian IPSec Tunnel #1.

  11. Pilih nama peer untuk terowongan kedua, pilih Edit, dan kemudian masukkan kunci pra-berbagi seperti yang ditentukan dalam file konfigurasi di bagian IPSec Tunnel #2.

    Kotak dialog Check Point Rahasia Bersama Interoperasi

  12. Masih dalam kategori Pengaturan Lanjutan, pilih Properti VPN Lanjutan, konfigurasikan properti berikut, lalu pilih OKE ketika Anda selesai:

    • IKE (Tahap 1):

      • Gunakan grup Diffie-Hellman: Group 2 (1024 bit)

      • Negosiasikan ulang asosiasi keamanan IKE setiap 480 menit

    • IPsec (Tahap 2):

      • Pilih Gunakan Perfect Forward Secrecy

      • Gunakan grup Diffie-Hellman: Group 2 (1024 bit)

      • Negosiasi ulang asosiasi IPsec keamanan setiap detik 3600

Untuk membuat aturan firewall

Selanjutnya, konfigurasikan kebijakan dengan aturan firewall dan aturan kecocokan terarah yang mengizinkan komunikasi antara VPC dan jaringan lokal. Kemudian Anda menginstal kebijakan di gateway Anda.

  1. Di bagian SmartDashboard, pilih Properti Global untuk gateway Anda. Di panel kategori, perluas VPN, dan pilih Lanjutan.

  2. Pilih Aktifkan Kecocokan Terarah VPN di Kolom VPN, dan pilih OKE.

  3. Di dalam SmartDashboard, pilih Firewall, dan buat kebijakan dengan aturan berikut:

    • Memungkinkan subnet VPC untuk berkomunikasi dengan jaringan lokal melalui protokol yang diperlukan.

    • Mengizinkan jaringan lokal untuk berkomunikasi dengan subnet VPC melalui protokol yang diperlukan.

  4. Buka menu konteks untuk sel dalam kolom VPN, dan pilih Edit Sel.

  5. Di kotak dialog Kondisi Kecocokan VPN, pilih Cocokan lalu lintas hanya di arah ini. Buat aturan kecocokan terarah berikut dengan memilih Tambahkan untuk masing-masing, dan kemudian pilih OKE ketika Anda selesai:

    • internal_clear > Komunitas VPN (Komunitas bintang VPN yang Anda buat sebelumnya, misalnya, AWS_VPN_Star)

    • Komunitas VPN > komunitas VPN

    • Komunitas VPN > internal_clear

  6. Dalam SmartDashboard, pilih Kebijakan, Instal.

  7. Di kotak dialog, pilih gateway Anda dan pilih OKE untuk menginstal kebijakan.

Untuk mengubah properti tunnel_keepalive_method

Gateway Check Point Anda dapat menggunakan Deteksi Peer Mati (DPD) untuk mengidentifikasi ketika asosiasi IKE mengalami gangguan. Untuk mengkonfigurasi DPD untuk terowongan permanen, terowongan permanen harus dikonfigurasi dalam komunitas AWS VPN.

Secara default, properti tunnel_keepalive_method untuk gateway VPN diatur ke tunnel_test. Anda harus mengubah nilai ke dpd. Setiap gateway VPN di komunitas VPN yang memerlukan pemantauan DPD harus dikonfigurasi dengan properti tunnel_keepalive_method, termasuk gateway VPN pihak ke-3. Anda tidak dapat mengonfigurasi mekanisme pemantauan yang berbeda untuk gateway yang sama.

Anda dapat memperbarui tunnel_keepalive_method properti menggunakan DBedit alat Gui.

  1. Buka Check Point SmartDashboard, dan pilih Security Management Server, Domain Management Server.

  2. Pilih File, Kontrol Revisi Basis Data... dan buat snapshot revisi.

  3. Tutup semua SmartConsole jendela, seperti, SmartView Tracker SmartDashboard, dan SmartView Monitor.

  4. Mulai BDedit alat Gui. Untuk informasi selengkapnya, lihat artikel Alat Basis Data Check Point di Pusat Dukungan Check Point.

  5. Pilih Server Manajemen Keamanan, Server Manajemen Domain.

  6. Di panel kiri atas, pilih Tabel, Objek Jaringan, network_objects.

  7. Pada panel kanan atas, pilih Gateway Keamanan yang relevan, objek Klaster.

  8. Tekan CTRL+F, atau gunakan menu Pencarian untuk mencari hal berikut: tunnel_keepalive_method.

  9. Pada panel bawah, buka menu konteks untuk tunnel_keepalive_method, dan pilih Sunting.... Pilih dpd, OKE.

  10. Ulangi langkah 7 hingga 9 untuk setiap gateway yang merupakan bagian dari Komunitas VPN AWS .

  11. Pilih File, Simpan Semua.

  12. Tutup DBedit alat Gui.

  13. Buka Check Point SmartDashboard, dan pilih Security Management Server, Domain Management Server.

  14. Instal kebijakan pada Gateway Keamanan yang relevan, objek Klaster.

Untuk informasi selengkapnya, lihat artikel Fitur VPN baru di R77.10 di Pusat Dukungan Check Point.

Untuk mengaktifkan clamping TCP MSS

Clamping TCP MSS mengurangi ukuran segmen maksimum paket TCP untuk mencegah fragmentasi paket.

  1. Navigasikan ke direktori berikut: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Buka Alat Basis Data Check Point dengan menjalankan file GuiDBEdit.exe.

  3. Pilih Tabel, Properti Global, properti.

  4. Untuk fw_clamp_tcp_mss, pilih Sunting. Ubah nilai ke true lalu pilih OKE.

Untuk memverifikasi status terowongan

Anda dapat memverifikasi status terowongan dengan menjalankan perintah berikut dari alat baris perintah dalam mode ahli. 

vpn tunnelutil

Dalam opsi yang ditampilkan, pilih 1 untuk memverifikasi asosiasi IKE dan 2 untuk memverifikasi IPsec asosiasi.

Anda juga dapat menggunakan Check Point Smart Tracker Log untuk memverifikasi bahwa paket yang melalui koneksi sedang dienkripsi. Misalnya, log berikut menunjukkan bahwa paket untuk VPC dikirim melalui terowongan 1 dan dienkripsi.

Berkas log Check Point
SonicWALL

Anda dapat mengonfigurasi perangkat SonicWALL menggunakan antarmuka manajemen SonicOS. Untuk informasi selengkapnya tentang mengonfigurasi terowongan, lihat Konfigurasikan perutean statis untuk AWS Site-to-Site VPN perangkat gateway pelanggan.

Anda tidak dapat mengonfigurasi BGP untuk perangkat menggunakan antarmuka manajemen. Sebaliknya, gunakan instruksi baris perintah yang disediakan di contoh file konfigurasi, di bagian bawah yang bernama BGP.