Contoh konfigurasi perangkat gateway pelanggan untuk perutean statis - AWS Site-to-Site VPN
Contoh file konfigurasiProsedur antarmuka pengguna untuk perutean statisInformasi tambahan untuk perangkat CiscoPengujian

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh konfigurasi perangkat gateway pelanggan untuk perutean statis

Contoh file konfigurasi

Untuk mengunduh file konfigurasi sampel dengan nilai khusus untuk konfigurasi koneksi VPN Site-to-Site Anda, gunakan konsol VPC Amazon, AWS baris perintah, atau API Amazon EC2. Untuk informasi selengkapnya, lihat Langkah 6: Unduh file konfigurasi.

Anda juga dapat mengunduh file konfigurasi contoh umum untuk perutean statis yang tidak menyertakan nilai khusus untuk konfigurasi koneksi VPN Site-to-Site Anda: static-routing-examples.zip

File menggunakan nilai placeholder untuk beberapa komponen. Misalnya, menggunakan:

  • Contoh nilai untuk ID koneksi VPN, ID gateway pelanggan, dan ID gateway pribadi virtual

  • Placeholder untuk AWS titik akhir alamat IP jarak jauh (luar) (AWS_ENDPOINT_1 dan AWS_ENDPOINT_2)

  • Placeholder untuk alamat IP dengan antarmuka eksternal yang dapat dirutekan dengan internet pada perangkat gateway pelanggan (your-cgw-ip-address)

  • Placeholder untuk nilai kunci yang telah dibagikan sebelumnya (kunci yang dibagikan sebelumnya)

  • Contoh nilai terowongan di dalam alamat IP.

  • Contoh nilai untuk pengaturan MTU.

catatan

Pengaturan MTU yang disediakan dalam file konfigurasi sampel adalah contoh saja. Silakan merujuk ke Praktik terbaik untuk perangkat gateway pelanggan Anda untuk informasi tentang pengaturan nilai MTU optimal untuk situasi Anda.

Selain memberikan nilai placeholder, file menentukan persyaratan minimum untuk koneksi VPN Site-to-Site dari AES128, SHA1, dan Diffie-Hellman grup 2 di sebagian besar Wilayah, dan AES128, SHA2, dan Diffie-Hellman grup 14 AWS di Wilayah. AWS GovCloud File juga menentukan kunci pra-berbagi untuk autentikasi. Anda harus memodifikasi contoh file konfigurasi untuk memanfaatkan algoritma keamanan tambahan, grup Diffie-Hellman, sertifikat pribadi, dan lalu lintas IPv6.

Diagram berikut memberikan gambaran umum mengenai komponen berbeda yang dikonfigurasi di perangkat gateway pelanggan. Komponen tersebut termasuk contoh nilai untuk alamat IP antarmuka terowongan.

Perangkat gateway pelanggan dengan perutean statis

Prosedur antarmuka pengguna untuk perutean statis

Berikut ini adalah beberapa contoh prosedur untuk mengonfigurasi perangkat gateway pelanggan menggunakan antarmuka pengguna (jika ada).

Check Point

Berikut ini adalah langkah-langkah untuk mengonfigurasi perangkat gateway pelanggan Anda jika perangkat Anda adalah perangkat Check Point Security Gateway yang menjalankan R77.10 atau lebih tinggi, menggunakan sistem operasi Gaia dan Check Point. SmartDashboard Anda juga dapat merujuk ke artikel Check Point Security Gateway IPsec VPN untuk Amazon Web Services VPC di Pusat Dukungan Check Point.

Untuk mengonfigurasi antarmuka terowongan

Langkah pertama adalah membuat terowongan VPN dan memberikan alamat IP privat (dalam) dari gateway pelanggan dan virtual private gateway untuk setiap terowongan. Untuk membuat terowongan pertama, gunakan informasi yang disediakan di bagian IPSec Tunnel #1 dari file konfigurasi. Untuk membuat terowongan kedua, gunakan nilai yang disediakan di bagian IPSec Tunnel #2 dari file konfigurasi.

  1. Buka portal Gaia di perangkat Check Point Security Gateway Anda.

  2. Pilih Antarmuka Jaringan, Tambahkan, Terowongan VPN.

  3. Pada kotak dialog, konfigurasikan pengaturan seperti berikut, dan pilih OKE ketika Anda selesai:

    • Untuk ID Terowongan VPN, masukkan nilai unik apa pun, contohnya 1.

    • Untuk Peer, masukkan nama unik untuk terowongan Anda, contohnya AWS_VPC_Tunnel_1 atau AWS_VPC_Tunnel_2.

    • Pastikan bahwa Bernomor dipilih, dan untuk Alamat Lokal, masukkan alamat IP yang ditentukan untuk CGW Tunnel IP dalam file konfigurasi, misalnya, 169.254.44.234.

    • Untuk Alamat Jarak Jauh, masukkan alamat IP yang ditentukan untuk VGW Tunnel IP dalam file konfigurasi, misalnya, 169.254.44.233.

    Kotak dialog Check Point Menambahkan Terowongan VPN

  4. Hubungkan ke gateway keamanan Anda melalui SSH. Jika Anda menggunakan shell non-default, ubah ke clish dengan menjalankan perintah berikut: clish

  5. Untuk terowongan 1, jalankan perintah berikut.

    set interface vpnt1 mtu 1436

    Untuk terowongan 2, jalankan perintah berikut.

    set interface vpnt2 mtu 1436

  6. Ulangi langkah tersebut untuk membuat terowongan kedua, menggunakan informasi di bagian IPSec Tunnel #2 dari file konfigurasi.

Untuk mengonfigurasi rute statis

Pada langkah ini, tentukan rute statis ke subnet di VPC untuk setiap terowongan agar memungkinkan Anda mengirim lalu lintas melalui antarmuka terowongan. Terowongan kedua memungkinkan failover jika terjadi masalah dengan terowongan pertama. Jika masalah terdeteksi, rute statis berbasis kebijakan akan dihapus dari tabel perutean, dan rute kedua diaktifkan. Anda juga harus memungkinkan gateway Check Point untuk mengirim ping ke ujung lain terowongan untuk memeriksa apakah terowongan sudah siap.

  1. Di portal Gaia, pilih Rute Statis IPv4, Tambahkan.

  2. Tentukan CIDR dari subnet Anda, misalnya, 10.28.13.0/24.

  3. Pilih Tambahkan Gateway, Alamat IP.

  4. Masukkan alamat IP yang ditentukan untuk VGW Tunnel IP dalam file konfigurasi (misalnya, 169.254.44.233), dan tentukan prioritas 1.

  5. Pilih Ping.

  6. Ulangi langkah 3 dan 4 untuk terowongan kedua, menggunakan nilai VGW Tunnel IP di bagian IPSec Tunnel #2 dari file konfigurasi. Tentukan prioritas 2.

    Kotak dialog Check Point Mengedit Rute Tujuan

  7. Pilih Simpan.

Jika Anda menggunakan klaster, ulangi langkah-langkah sebelumnya untuk anggota klaster lainnya.

Untuk menentukan objek jaringan baru

Pada langkah ini, Anda membuat objek jaringan untuk setiap terowongan VPN, serta menentukan alamat IP publik (luar) untuk virtual private gateway. Kemudian Anda menambahkan objek jaringan ini sebagai gateway satelit untuk komunitas VPN Anda. Anda juga perlu membuat grup yang kosong untuk bertindak sebagai placeholder untuk domain VPN.

  1. Buka Check Point SmartDashboard.

  2. Untuk Grup, buka menu konteks dan pilih Grup, Grup Sederhana. Anda dapat menggunakan grup yang sama untuk setiap objek jaringan.

  3. Untuk Objek Jaringan, buka menu konteks (klik kanan) lalu pilih Baru, Perangkat Interoperasi.

  4. Untuk Nama, masukkan nama yang Anda berikan untuk terowongan Anda, misalnya, AWS_VPC_Tunnel_1 atau AWS_VPC_Tunnel_2.

  5. Untuk Alamat IPv4, masukkan alamat IP luar dari virtual private gateway yang disediakan dalam file konfigurasi, misalnya, 54.84.169.196. Simpan pengaturan Anda dan tutup kotak dialog.

    Kotak dialog Check Point Perangkat Interoperasi

  6. Di SmartDashboard, buka properti gateway Anda dan di panel kategori, pilih Topologi.

  7. Untuk mengambil konfigurasi antarmuka, pilih Dapatkan Topologi.

  8. Di bagian Domain VPN, pilih Ditetapkan Secara manual, dan kemudian jelajahi dan pilih grup sederhana kosong yang Anda buat di langkah 2. Pilih OKE.

    catatan

    Anda dapat menyimpan domain VPN yang sudah ada yang telah dikonfigurasikan. Namun, pastikan bahwa host dan jaringan yang digunakan atau dilayani oleh koneksi VPN yang baru tidak dinyatakan dalam domain VPN tersebut, terutama jika domain VPN diturunkan secara otomatis.

  9. Ulangi langkah-langkah ini untuk membuat objek jaringan kedua, menggunakan informasi di bagian IPSec Tunnel #2 dari file konfigurasi.

catatan

Jika Anda menggunakan klaster, edit topologi dan tentukan antarmuka sebagai antarmuka klaster. Gunakan alamat IP yang ditentukan dalam file konfigurasi.

Untuk membuat dan mengonfigurasi pengaturan komunitas VPN, IKE, dan IPsec

Pada langkah ini, Anda membuat komunitas VPN di gateway Check Point, yang Anda tambahkan objek jaringan (perangkat interoperasi) untuk setiap terowongan. Anda juga mengonfigurasi pengaturan Pertukaran Kunci Internet (IKE) dan IPsec.

  1. Dari atribut gateway Anda, pilih VPN IPsec di panel kategori.

  2. Pilih Komunitas, Baru, Komunitas Bintang.

  3. Berikan nama untuk komunitas Anda (misalnya, AWS_VPN_Star), lalu pilih Gateway Pusat di panel kategori.

  4. Pilih Tambahkan, dan tambahkan gateway atau klaster Anda ke daftar gateway peserta.

  5. Di panel kategori, pilih Gateway Satelit, Tambahkan, lalu tambahkan perangkat interoperasi yang Anda buat sebelumnya (AWS_VPC_Tunnel_1 dan AWS_VPC_Tunnel_2) ke daftar gateway peserta.

  6. Di panel kategori, pilih Enkripsi. Di bagian Metode Enkripsi, pilih IKEv1 saja. Di bagian Suite Enkripsi, pilih Kustom, Enkripsi Kustom.

  7. Pada kotak dialog, konfigurasikan atribut enkripsi berikut, dan pilih OKE ketika Anda selesai:

    • Properti Asosiasi Keamanan IKE (Tahap 1):

      • Lakukan enkripsi pertukaran kunci dengan: AES-128

      • Lakukan integritas data dengan: SHA-1

    • Properti Asosiasi Keamanan IPsec (Tahap 2):

      • Lakukan enkripsi data IPsec dengan: AES-128

      • Lakukan integritas data dengan: SHA-1

  8. Di panel kategori, pilih Manajemen Terowongan. Pilih Atur Terowongan Permanen, Di semua terowongan komunitas. Di bagian Berbagi Terowongan VPN, pilih Satu terowongan VPN per pasangan Gateway.

  9. Dalam panel kategori, perluas Pengaturan lanjutan, dan pilih Rahasia Bersama.

  10. Pilih nama peer untuk terowongan pertama, pilih Edit, dan kemudian masukkan kunci pra-berbagi seperti yang ditentukan dalam file konfigurasi di bagian IPSec Tunnel #1.

  11. Pilih nama peer untuk terowongan kedua, pilih Edit, dan kemudian masukkan kunci pra-berbagi seperti yang ditentukan dalam file konfigurasi di bagian IPSec Tunnel #2.

    Kotak dialog Check Point Rahasia Bersama Interoperasi

  12. Masih dalam kategori Pengaturan Lanjutan, pilih Properti VPN Lanjutan, konfigurasikan properti berikut, lalu pilih OKE ketika Anda selesai:

    • IKE (Tahap 1):

      • Gunakan grup Diffie-Hellman: Group 2

      • Negosiasikan ulang asosiasi keamanan IKE setiap 480 menit

    • IPsec (Tahap 2):

      • Pilih Gunakan Perfect Forward Secrecy

      • Gunakan grup Diffie-Hellman: Group 2

      • Negosiasikan ulang asosiasi keamanan IPsec setiap 3600 detik

Untuk membuat aturan firewall

Pada langkah ini, Anda mengonfigurasi kebijakan dengan aturan firewall dan aturan kesesuaian arah yang memungkinkan komunikasi antara VPC dan jaringan lokal. Kemudian Anda menginstal kebijakan di gateway Anda.

  1. Di bagian SmartDashboard, pilih Properti Global untuk gateway Anda. Di dalam panel kategori, perluas VPN, dan pilih Lanjutan.

  2. Pilih Aktifkan Kesesuaian Arah VPN di Kolom VPN, lalu simpan perubahan Anda.

  3. Di dalam SmartDashboard, pilih Firewall, dan buat kebijakan dengan aturan berikut:

    • Memungkinkan subnet VPC untuk berkomunikasi dengan jaringan lokal melalui protokol yang diperlukan.

    • Mengizinkan jaringan lokal untuk berkomunikasi dengan subnet VPC melalui protokol yang diperlukan.

  4. Buka menu konteks untuk sel dalam kolom VPN, dan pilih Edit Sel.

  5. Pada kotak dialog Syarat Kesesuaian VPN, pilih Sesuaikan lalu lintas dalam arah ini saja. Buat aturan kesesuaian arah berikut dengan memilih Tambahkan untuk masing-masing, dan pilih OKE ketika Anda selesai:

    • internal_clear > Komunitas VPN (Komunitas bintang VPN yang Anda buat sebelumnya, misalnya, AWS_VPN_Star)

    • Komunitas VPN > komunitas VPN

    • Komunitas VPN > internal_clear

  6. Dalam SmartDashboard, pilih Kebijakan, Instal.

  7. Di kotak dialog, pilih gateway Anda dan pilih OKE untuk menginstal kebijakan.

Untuk mengubah properti tunnel_keepalive_method

Gateway Check Point Anda dapat menggunakan Deteksi Peer Mati (DPD) untuk mengidentifikasi ketika asosiasi IKE mengalami gangguan. Untuk mengkonfigurasi DPD untuk terowongan permanen, terowongan permanen harus dikonfigurasi dalam komunitas AWS VPN (lihat Langkah 8).

Secara default, properti tunnel_keepalive_method untuk gateway VPN diatur ke tunnel_test. Anda harus mengubah nilai ke dpd. Setiap gateway VPN di komunitas VPN yang memerlukan pemantauan DPD harus dikonfigurasi dengan properti tunnel_keepalive_method, termasuk gateway VPN pihak ke-3. Anda tidak dapat mengonfigurasi mekanisme pemantauan yang berbeda untuk gateway yang sama.

Anda dapat memperbarui properti tunnel_keepalive_method menggunakan alat GuiDBedit.

  1. Buka Check Point SmartDashboard, dan pilih Security Management Server, Domain Management Server.

  2. Pilih File, Kontrol Revisi Basis Data... dan buat snapshot revisi.

  3. Tutup semua SmartConsole jendela, seperti, SmartView Tracker SmartDashboard, dan SmartView Monitor.

  4. Mulai gunakan alat GuiBDedit. Untuk informasi selengkapnya, lihat artikel Alat Basis Data Check Point di Pusat Dukungan Check Point.

  5. Pilih Server Manajemen Keamanan, Server Manajemen Domain.

  6. Di panel kiri atas, pilih Tabel, Objek Jaringan, network_objects.

  7. Pada panel kanan atas, pilih Gateway Keamanan yang relevan, objek Klaster.

  8. Tekan CTRL+F, atau gunakan menu Cari untuk mencari hal berikut: tunnel_keepalive_method.

  9. Pada panel bawah, buka menu konteks untuk tunnel_keepalive_method, dan pilih Edit.... Pilih dpd lalu pilih OKE.

  10. Ulangi langkah 7 hingga 9 untuk setiap gateway yang merupakan bagian dari komunitas AWS VPN.

  11. Pilih File, Simpan Semua.

  12. Tutup alat GuiDBedit.

  13. Buka Check Point SmartDashboard, dan pilih Security Management Server, Domain Management Server.

  14. Instal kebijakan pada Gateway Keamanan yang relevan, objek Klaster.

Untuk informasi selengkapnya, lihat artikel Fitur VPN baru di R77.10 di Pusat Dukungan Check Point.

Untuk mengaktifkan clamping TCP MSS

Clamping TCP MSS mengurangi ukuran segmen maksimum paket TCP untuk mencegah fragmentasi paket.

  1. Navigasikan ke direktori berikut: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Buka Alat Basis Data Check Point dengan menjalankan file GuiDBEdit.exe.

  3. Pilih Tabel, Properti Global, properti.

  4. Untuk fw_clamp_tcp_mss, pilih Edit. Ubah nilai ke true dan pilih OKE.

Untuk memverifikasi status terowongan

Anda dapat memverifikasi status terowongan dengan menjalankan perintah berikut dari alat baris perintah dalam mode ahli.

vpn tunnelutil

Pada opsi yang ditampilkan, pilih 1 untuk memverifikasi asosiasi IKE dan 2 untuk memverifikasi asosiasi IPsec.

Anda juga dapat menggunakan Check Point Smart Tracker Log untuk memverifikasi bahwa paket yang melalui koneksi sedang dienkripsi. Misalnya, log berikut menunjukkan bahwa paket untuk VPC dikirim melalui terowongan 1 dan dienkripsi.

Berkas log Check Point
SonicWALL

Prosedur berikut menunjukkan cara mengonfigurasi terowongan VPN pada perangkat SonicWALL menggunakan antarmuka manajemen SonicOS.

Untuk mengonfigurasi terowongan

  1. Buka antarmuka manajemen SonicWALL SonicOS.

  2. Di panel sebelah kiri, pilih VPN, Pengaturan. Di bagian Kebijakan VPN, pilih Tambahkan....

  3. Di jendela kebijakan VPN di tab Umum, lengkapi informasi berikut:

    • Jenis Kebijakan: Pilih Antarmuka Terowongan.

    • Metode Autentikasi: Pilih IKE menggunakan Preshared Secret.

    • Nama: Masukkan nama untuk kebijakan VPN. Kami merekomendasikan Anda untuk menggunakan nama ID VPN, seperti yang disediakan dalam file konfigurasi.

    • Nama atau Alamat Gateway Primer IPsec: Masukkan alamat IP virtual private gateway seperti yang disediakan dalam file konfigurasi (misalnya, 72.21.209.193).

    • Nama atau Alamat Gateway Sekunder IPsec: Biarkan nilai default.

    • Rahasia Bersama: Masukkan kunci pra-berbagi seperti yang disediakan dalam file konfigurasi, dan masukkan kembali di Konfirmasi Rahasia Bersama.

    • ID IKE Lokal: Masukkan alamat IPv4 gateway pelanggan (perangkat SonicWALL).

    • ID IKE Peer: Masukkan alamat IPv4 virtual private gateway.

  4. Pada tab Jaringan, lengkapi informasi berikut:

    • Di bawah Jaringan Lokal, pilih Alamat apa pun. Kami merekomendasikan opsi ini untuk mencegah masalah konektivitas dari jaringan lokal Anda.

    • Di bawah Jaringan Jarak Jauh, pilih Pilih jaringan tujuan dari daftar. Buat objek alamat dengan CIDR dari VPC Anda di AWS.

  5. Pada tab Proposal, lengkapi informasi berikut:

    • Di bawah Proposal IKE (Tahap 1), lakukan hal berikut:

      • Pertukaran: Pilih Mode Utama.

      • Grup DH: Masukkan nilai untuk grup Diffie-Hellman (misalnya, 2).

      • Enkripsi: Pilih AES-128 atau AES-256.

      • Autentikasi: Pilih SHA1 atau SHA256.

      • Waktu Hidup: Masukkan 28800.

    • Di bawah Proposal IKE (Tahap 2), lakukan hal berikut:

      • Protokol: Pilih ESP.

      • Enkripsi: Pilih AES-128 atau AES-256.

      • Autentikasi: Pilih SHA1 atau SHA256.

      • Pilih kotak centang Aktifkan Perfect Forward Secrecy, lalu pilih grup Diffie-Hellman.

      • Waktu Hidup: Masukkan 3600.

    penting

    Jika Anda membuat virtual private gateway sebelum Oktober 2015, Anda harus menentukan grup 2 Diffie-Hellman, AES-128, dan SHA1 untuk kedua tahap.

  6. Pada tab Lanjutan, lengkapi informasi berikut:

    • Pilih Aktifkan Tetap Aktif.

    • Pilih Aktifkan Tahap2 Deteksi Peer Mati dan masukkan hal berikut:

      • Untuk Interval Deteksi Peer Mati, masukkan 60 (ini adalah angka minimum yang diterima oleh perangkat SonicWALL).

      • Untuk Tingkat Pemicu Kegagalan, masukkan 3.

    • Untuk Kebijakan VPN yang terikat, pilih Antarmuka X1. Ini adalah antarmuka yang biasanya ditujukan untuk alamat IP publik.

  7. Pilih OKE. Pada halaman Pengaturan, Aktifkan kotak centang untuk terowongan yang harus dipilih secara default. Tanda titik hijau menunjukkan bahwa terowongan sudah siap.

Informasi tambahan untuk perangkat Cisco

Beberapa ASA Cisco hanya mendukung mode Aktif/Siaga. Ketika menggunakan ASA Cisco ini, Anda hanya dapat memiliki satu terowongan aktif pada suatu waktu. Terowongan siaga lainnya menjadi aktif jika terowongan pertama menjadi tidak tersedia. Dengan redundansi ini, Anda harus selalu memiliki konektivitas ke VPC Anda melalui salah satu terowongan.

ASA Cisco dari versi 9.7.1 ke atas mendukung mode Active/Active. Ketika menggunakan ASA Cisco ini, Anda dapat memiliki kedua terowongan aktif pada waktu yang bersamaan. Dengan redundansi ini, Anda harus selalu memiliki konektivitas ke VPC Anda melalui salah satu terowongan.

Untuk perangkat Cisco, Anda harus melakukan hal berikut:

  • Konfigurasikan antarmuka luar.

  • Pastikan bahwa nomor Urutan Kebijakan Crypto ISAKMP unik.

  • Pastikan bahwa nomor Urutan Kebijakan Daftar Crypto unik.

  • Pastikan bahwa Set Transformasi Crypto IPSec dan Urutan Kebijakan Crypto ISAKMP harmonis dengan terowongan IPsec lain yang dikonfigurasi pada perangkat.

  • Pastikan bahwa nomor pemantauan SLA unik.

  • Konfigurasikan semua perutean internal yang memindahkan lalu lintas antara perangkat gateway pelanggan dan jaringan lokal Anda.

Pengujian

Untuk informasi selengkapnya tentang pengujian koneksi Site-to-Site VPN Anda, lihat Uji koneksi VPN Site-to-Site.