Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perangkat gateway pelanggan Anda
Perangkat gateway pelanggan adalah alat fisik atau perangkat lunak yang Anda miliki atau kelola di jaringan On-Permises (pada sisi koneksi Site-to-Site VPN). Anda atau administator jaringan Anda harus mengonfigurasi perangkat untuk bekerja dengan koneksi Site-to-Site VPN.
Diagram berikut menunjukkan jaringan Anda, perangkat gateway pelanggan, dan koneksi VPN yang masuk ke gateway pribadi virtual yang terpasang ke VPC Anda. Dua jalur antara gateway pelanggan dan gateway pribadi virtual mewakili terowongan untuk koneksi VPN. Jika ada kegagalan perangkat di dalam AWS, koneksi VPN Anda secara otomatis gagal ke terowongan kedua sehingga akses Anda tidak terganggu. Dari waktu ke waktu, AWS juga melakukan pemeliharaan rutin pada koneksi VPN, yang mungkin secara singkat menonaktifkan salah satu dari dua terowongan koneksi VPN Anda. Untuk informasi selengkapnya, lihat Penggantian titik akhir terowongan Site-to-Site VPN. Ketika Anda mengonfigurasi perangkat gateway pelanggan Anda, oleh karena itu penting bagi Anda untuk mengonfigurasinya untuk menggunakan kedua terowongan.
Untuk langkah-langkah dalam mengatur koneksi VPN, lihat Memulai dengan AWS Site-to-Site VPN. Selama proses ini, Anda membuat sumber daya gateway pelanggan di AWS, yang memberikan informasi AWS tentang perangkat Anda, misalnya, alamat IP yang menghadap publik. Untuk informasi selengkapnya, lihat Opsi gateway pelanggan untuk koneksi Site-to-Site VPN. Sumber daya gateway pelanggan di AWS tidak mengonfigurasi atau membuat perangkat gateway pelanggan. Anda harus mengonfigurasi perangkat itu sendiri.
Anda juga dapat menemukan alat VPN perangkat lunak di Marketplace AWS
Topik
- Contoh file konfigurasi
- Persyaratan untuk perangkat gateway pelanggan Anda
- Praktik terbaik untuk perangkat gateway pelanggan Anda
- Aturan Firewall
- Beberapa skenario koneksi VPN
- Perutean untuk perangkat gateway pelanggan Anda
- Contoh konfigurasi untuk perutean statis
- Contoh konfigurasi untuk perutean dinamis (BGP)
- Windows Server sebagai perangkat gateway pelanggan
- Pemecahan Masalah
Contoh file konfigurasi
Setelah Anda membuat koneksi VPN, Anda juga memiliki opsi untuk mengunduh file konfigurasi sampel AWS yang disediakan dari konsol VPC Amazon, atau dengan menggunakan API EC2. Untuk informasi selengkapnya, lihat Langkah 6: Unduh file konfigurasi. Anda juga dapat mengunduh file.zip dari konfigurasi sampel khusus untuk perutean statis vs dinamis:
Unduh file.zip
-
Konfigurasi statis: Contoh file konfigurasi
-
Konfigurasi dinamis: Contoh file konfigurasi
File konfigurasi sampel AWS yang disediakan berisi informasi khusus untuk koneksi VPN Anda yang dapat Anda gunakan untuk mengonfigurasi perangkat gateway pelanggan Anda. File konfigurasi khusus perangkat ini hanya tersedia untuk perangkat yang telah diuji AWS. Jika perangkat gateway pelanggan spesifik Anda tidak terdaftar, Anda dapat mengunduh file konfigurasi umum untuk memulai.
penting
File konfigurasi adalah contoh saja dan mungkin tidak cocok dengan pengaturan koneksi VPN Site-to-Site yang Anda inginkan sepenuhnya. Ini menentukan persyaratan minimum untuk koneksi VPN Site-to-Site dari AES128, SHA1, dan Diffie-Hellman grup 2 di sebagian besar Wilayah, dan AES128, SHA2, dan Diffie-Hellman grup AWS 14 di Wilayah. AWS GovCloud Ini juga menentukan kunci pra-berbagi untuk autentikasi. Anda harus memodifikasi contoh file konfigurasi untuk memanfaatkan algoritma keamanan tambahan, grup Diffie-Hellman, sertifikat pribadi, dan lalu lintas IPv6.
catatan
File konfigurasi khusus perangkat ini disediakan oleh dengan upaya AWS terbaik. Meskipun mereka telah diuji oleh AWS, pengujian ini terbatas. Jika Anda mengalami masalah dengan file konfigurasi, Anda mungkin perlu menghubungi vendor tertentu untuk mendapatkan dukungan tambahan.
Tabel berikut berisi daftar perangkat yang memiliki contoh file konfigurasi yang tersedia untuk diunduh yang telah diperbarui untuk mendukung IKEv2. Kami telah memperkenalkan dukungan IKEv2 dalam file konfigurasi untuk banyak perangkat gateway pelanggan populer dan akan terus menambahkan file tambahan dari waktu ke waktu. Daftar ini akan diperbarui karena lebih banyak contoh file konfigurasi ditambahkan.
| Vendor | Platform | Perangkat lunak |
|---|---|---|
|
Titik pemeriksaan |
Gaia |
R80.10+ |
|
Cisco Meraki |
Seri MX |
15.12+ (WebUI) |
|
Sistem Cisco, Inc. |
Seri ASA 5500 |
ASA 9.7+ VTI |
|
Sistem Cisco, Inc. |
CSRV AMI |
IOS 12.4+ |
|
Fortinet |
Fortigate 40+ Seri |
FortiOS 6.4.4+ (GUI) |
|
Jaringan Juniper, Inc. |
J-Series Router |
JunOS 9.5+ |
|
Jaringan Juniper, Inc. |
Router SRX |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6.44.3 |
|
Jaringan Palo Alto |
Seri PA |
PANOS 7.0+ |
|
SonicWall |
NSA, TZ |
OS 6.5 |
|
Sophos |
Firewall Sophos |
v19+ |
|
Angsa Kuat |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
Router RTX |
Rev.10.01.16+ |
Persyaratan untuk perangkat gateway pelanggan Anda
Jika Anda memiliki perangkat yang tidak ada dalam daftar contoh sebelumnya, bagian ini menjelaskan persyaratan yang harus dipenuhi perangkat bagi Anda untuk menggunakannya dalam membuat koneksi Site-to-Site VPN.
Ada empat bagian utama untuk konfigurasi perangkat gateway pelanggan Anda. Simbol-simbol berikut mewakili setiap bagian dari konfigurasi.
|
Associate keamanan pertukaran kunci Internet (IKE). Hal ini diperlukan untuk bertukar kunci yang digunakan untuk membangun associate keamanan IPsec. |
|
Associate keamanan IPsec. Hal ini menangani enkripsi terowongan, autentikasi, dan sebagainya. |
|
Antarmuka terowongan. Antarmuka terowongan menerima lalu lintas pergi ke dan dari terowongan. |
|
(Opsional) pering Border Gateway Protocol (BGP). Untuk perangkat yang menggunakan BGP, hal ini menukar rute antara perangkat gateway pelanggan dan gateway privat virtual. |
Tabel berikut mencantumkan persyaratan untuk perangkat gateway pelanggan, RFC terkait (sebagai referensi), dan komentar tentang persyaratan.
Setiap koneksi VPN terdiri dari dua terowongan terpisah. Setiap terowongan berisi IKE keamanan asosiasi, asosiasi keamanan IPsec, dan peering BGP. Anda terbatas pada satu pasangan keamanan (SA) khusus tiap terowongan (satu inbound dan satu outbound), dan oleh karena itu dua pasang SA khusus secara total untuk dua terowongan (empat SA). Beberapa perangkat menggunakan VPN berbasis kebijakan dan membuat SAS sebanyak masukan ACL. Oleh karena itu, Anda mungkin perlu untuk mengkonsolidasikan aturan Anda dan kemudian mem-filter sehingga Anda tidak mengizinkan lalu lintas yang tidak diinginkan.
Secara default, terowongan VPN muncul ketika lalu lintas yang dihasilkan dan negosiasi IKE dimulai dari sisi Anda dari koneksi VPN. Anda dapat mengonfigurasi koneksi VPN untuk memulai negosiasi IKE dari AWS sisi koneksi sebagai gantinya. Untuk informasi selengkapnya, lihat Opsi inisiasi terowongan Site-to-Site VPN.
Titik akhir VPN mendukung fitur memasukkan ulang data dan dapat memulai negosiasi ulang ketika fase 1 akan kedaluwarsa apabila perangkat gateway pelanggan belum mengirim lalu lintas negosiasi ulang.
| Persyaratan | RFC | Komentar |
|---|---|---|
|
Membangun Asosiasi keamanan IKE
|
Asosiasi keamanan IKE didirikan pertama antara gateway pribadi virtual dan perangkat gateway pelanggan menggunakan kunci pra-bersama atau sertifikat pribadi yang digunakan AWS Private Certificate Authority sebagai autentikator. Ketika didirikan, IKE menegosiasi kunci sementara untuk mengamankan oesan IKE di masa depan. Harus ada kesepakatan lengkap di antara parameter, termasuk enkripsi dan autentikasi parameter. Saat Anda membuat koneksi VPN AWS, Anda dapat menentukan kunci pra-bersama Anda sendiri untuk setiap terowongan, atau Anda dapat membiarkan AWS membuatnya untuk Anda. Atau, Anda dapat menentukan sertifikat pribadi yang digunakan AWS Private Certificate Authority untuk digunakan untuk perangkat gateway pelanggan Anda. Untuk informasi selengkapnya tentang file konfigurasi terowongan VPN, lihat Opsi terowongan untuk koneksi Site-to-Site VPN Anda. Versi berikut didukung: IKEv1 dan IKEv2. Kami mendukung mode Utama hanya dengan IKEv1. Layanan Site-to-Site VPN adalah solusi berbasis rute. Jika Anda menggunakan konfigurasi berbasis kebijakan, Anda harus membatasi konfigurasi Anda untuk satu keamanan Asosiasi (SA). |
|
|
Membangun Asosiasi keamanan IPsec dalam mode Terowongan
|
Menggunakan kunci sementara IKE, kunci didirikan antara gateway privat virtual dan perangkat gateway pelanggan untuk membentuk Asosiasi keamanan IPsec (SA). Lalu lintas antara gateway dienkripsi dan didekripsi menggunakan SA ini. Kunci sementara yang digunakan untuk mengenkripsi lalu lintas dalam IPsec SA secara otomatis diputar oleh IKE secara teratur untuk memastikan kerahasiaan komunikasi. |
|
|
Gunakan enkripsi AES 128-bit atau fungsi enkripsi AES 256-bit |
Fungsi enkripsi digunakan untuk memastikan privasi untuk kedua IKE dan Asosiasi keamanan IPsec. |
|
|
Gunakan fungsi hashing SHA-1 atau SHA-2 (256) |
Fungsi hashing ini digunakan untuk mengautentikasi kedua IKE dan Asosiasi keamanan IPsec. |
|
|
Gunakan Diffie-Hellman Perfect Forward Secrecy. |
IKE menggunakan Diffie-Hellman untuk membuat kunci sebagai untuk mengamankan semua komunikasi antara perangkat gateway pelanggan dan gateway privat virtual. Grup berikut didukung:
|
|
|
(Koneksi VPN yang dirutekan secara dinamis) Menggunakan IPsec Dead Peer Detection |
Dead Peer Detection memungkinkan perangkat VPN untuk cepat mengidentifikasi ketika kondisi jaringan mencegah pengiriman paket di internet. Ketika ini terjadi, gateway menghapus Asosiasi keamanan dan mencoba untuk membuat Asosiasi baru. Selama proses ini, alternatif terowongan IPsec digunakan jika mungkin. |
|
|
(Koneksi VPN secara dinamis dirutekan) Menautkan terowongan ke antarmuka logis (Rute berbasis VPN)
|
Tidak ada |
Perangkat Anda harus dapat menautkan terowongan IPsec untuk antarmuka logis. Antarmuka logis berisi alamat IP yang digunakan untuk membangun peering BGP ke gateway privat virtual. Antarmuka logis ini harus melakukan enkapsulasi tambahan (misalnya, GRE atau IP di IP). Antarmuka Anda harus diatur ke 1399 byte Unit Transmisi Maksimum (MTU). |
|
(Koneksi VPN yang dialihkan secara dinamis) Membangun peering BGP
|
BGP digunakan untuk menukar rute antara perangkat gateway pelanggan dan gateway privat virtual untuk perangkat yang menggunakan BGP. Semua lalu lintas BGP dienkripsi dan dikirim melalui Asosiasi Keamanan IPsec. BGP diperlukan kedua gateway untuk pertukaran prefiks IP yang dicapai melalui IPsec SA. |
Koneksi AWS VPN tidak mendukung Path MTU Discovery (RFC 1191
Jika Anda memiliki firewall antara perangkat gateway pelanggan dan internet, lihat Mengonfigurasi firewall antara internet dan perangkat gateway pelanggan Anda.
Praktik terbaik untuk perangkat gateway pelanggan Anda
Setel ulang flag “Don't Fragment (DF)” pada paket
Beberapa paket membawa bendera, yang dikenal sebagai bendera Jangan Fragment (DF), yang menunjukkan bahwa paket tidak boleh terfragmentasi. Jika paket membawa bendera, gateway menghasilkan MTU Jalur ICMP melebihi pesan. Dalam beberapa kasus, aplikasi tidak berisi mekanisme yang memadai untuk memproses pesan ICMP ini dan untuk mengurangi jumlah data yang dikirim dalam setiap paket. Beberapa perangkat VPN dapat menimpa bendera DF dan paket fragmen tanpa syarat seperti yang diperlukan. Jika perangkat gateway pelanggan Anda memiliki kemampuan ini, kami sarankan Anda menggunakannya sesuai kebutuhan. Lihat RFC 791
Paket fragmen IP sebelum enkripsi
Jika paket yang dikirim melalui koneksi VPN Site-to-Site Anda melebihi ukuran MTU, paket tersebut harus terfragmentasi. Untuk menghindari penurunan kinerja, kami sarankan Anda mengonfigurasi perangkat gateway pelanggan Anda untuk memecah paket sebelum dienkripsi. Site-to-Site VPN kemudian akan memasang kembali paket yang terfragmentasi sebelum meneruskannya ke tujuan berikutnya, untuk mencapai arus yang lebih tinggi melalui jaringan. packet-per-second AWS Lihat RFC 4459
Pastikan ukuran paket tidak melebihi MTU untuk jaringan tujuan
Karena Site-to-Site VPN akan memasang kembali paket terfragmentasi yang diterima dari perangkat gateway pelanggan Anda sebelum meneruskan ke tujuan berikutnya, perlu diingat, mungkin ada pertimbangan ukuran paket/MTU untuk jaringan tujuan di mana paket-paket ini diteruskan berikutnya, seperti over. AWS Direct Connect
Sesuaikan ukuran MTU dan MSS sesuai dengan algoritma yang digunakan
Paket TCP seringkali merupakan jenis yang paling umum dari paket di terowongan IPsec. Site-to-Site VPN mendukung unit transmisi maksimum (MTU) 1446 byte dan ukuran segmen maksimum (MSS) yang sesuai sebesar 1406 byte. Namun, algoritma enkripsi memiliki ukuran header yang bervariasi dan dapat mencegah kemampuan untuk mencapai nilai maksimum ini. Untuk mendapatkan kinerja optimal dengan menghindari fragmentasi, kami sarankan Anda mengatur MTU dan MSS berdasarkan secara khusus pada algoritma yang digunakan.
Gunakan tabel berikut untuk mengatur MTU/MSS Anda untuk menghindari fragmentasi dan mencapai kinerja optimal:
| Algoritma Enkripsi | Algoritma Hashing | Nat-traversal | MTU | MSS (IPv4) | MSS (IPv6-dalam-IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
dinonaktifkan |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
diaktifkan |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
dinonaktifkan |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
diaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
dinonaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
diaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
dinonaktifkan |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
diaktifkan |
1406 |
1366 |
1346 |
catatan
Algoritma AES-GCM mencakup enkripsi dan otentikasi, sehingga tidak ada pilihan algoritma otentikasi yang berbeda yang akan mempengaruhi MTU.
Mengonfigurasi firewall antara internet dan perangkat gateway pelanggan Anda
Anda harus memiliki alamat IP statis untuk digunakan sebagai titik akhir untuk terowongan IPsec yang menghubungkan perangkat gateway pelanggan Anda ke titik akhir. AWS Site-to-Site VPN Jika firewall berada di antara AWS dan perangkat gateway pelanggan Anda, aturan dalam tabel berikut harus ada untuk membuat terowongan IPsec. Alamat IP untuk AWS -side akan berada di file konfigurasi.
|
Aturan masukan I1 |
|
|---|---|
|
IP sumber |
Tunnel1 Luar IP |
|
IP dest |
Gateway pelanggan |
|
Protokol |
UDP |
|
Port sumber |
500 |
|
Tujuan |
500 |
|
Aturan input I2 |
|
|
IP sumber |
Tunnel2 Luar IP |
|
IP dest |
Gateway pelanggan |
|
Protokol |
UDP |
|
Port sumber |
500 |
|
Port tujuan |
500 |
|
Aturan input I3 |
|
|
IP sumber |
Tunnel1 Luar IP |
|
IP dest |
Gateway pelanggan |
|
Protokol |
IP 50 (ESP) |
|
Aturan masukan I4 |
|
|
IP sumber |
Tunnel2 Luar IP |
|
IP dest |
Gateway pelanggan |
|
Protokol |
IP 50 (ESP) |
|
Aturan keluaran O1 |
|
|---|---|
|
IP sumber |
Gateway pelanggan |
|
IP Tujuan |
Tunnel1 Luar IP |
|
Protokol |
UDP |
|
Port sumber |
500 |
|
Port tujuan |
500 |
|
Aturan keluaran O2 |
|
|
IP sumber |
Gateway pelanggan |
|
IP Tujuan |
Tunnel2 Luar IP |
|
Protokol |
UDP |
|
Port sumber |
500 |
|
Port tujuan |
500 |
|
Aturan output O3 |
|
|
IP sumber |
Gateway pelanggan |
|
IP Tujuan |
Tunnel1 Luar IP |
|
Protokol |
IP 50 (ESP) |
|
Aturan output O4 |
|
|
IP sumber |
Gateway pelanggan |
|
IP Tujuan |
Tunnel2 Luar IP |
|
Protokol |
IP 50 (ESP) |
Aturan I1, I2, O1, dan O2 mengaktifkan transmisi paket IKE. Aturan I3, I4, O3, dan O4 mengaktifkan transmisi paket IPsec yang berisi lalu lintas jaringan terenkripsi.
catatan
Jika Anda menggunakan NAT traversal (NAT-T) pada perangkat Anda, pastikan bahwa lalu lintas UDP pada port 4500 juga diizinkan untuk melewati antara jaringan Anda dan titik akhir. AWS Site-to-Site VPN Periksa apakah perangkat Anda mengiklankan NAT-T.
Beberapa skenario koneksi VPN
Berikut adalah skenario di mana Anda mungkin membuat beberapa koneksi VPN dengan satu atau lebih perangkat gateway pelanggan.
Beberapa koneksi VPN menggunakan perangkat gateway pelanggan yang sama
Anda dapat membuat koneksi VPN tambahan dari lokasi lokal ke VPC lain menggunakan perangkat gateway pelanggan yang sama. Anda dapat menggunakan kembali alamat IP gateway pelanggan yang sama untuk masing-masing koneksi VPN tersebut.
Koneksi VPN berlebihan menggunakan perangkat gateway pelanggan kedua
Untuk melindungi hilangnya konektivitas ketika perangkat gateway pelanggan Anda menjadi tidak tersedia, Anda dapat mengatur koneksi Site-to-Site VPN kedua ke VPC dan gateway privat virtual menggunakan perangkat gateway pelanggan kedua. Untuk informasi selengkapnya, lihat Menggunakan koneksi Site-to-Site VPN berlebih untuk memberikan failover. Ketika Anda membuat perangkat gateway pelanggan berlebihan di satu lokasi, kedua perangkat harus mengiklankan rentang IP yang sama.
Beberapa perangkat gateway pelanggan ke satu gateway pribadi virtual (AWS VPN CloudHub)
Anda dapat membuat beberapa koneksi VPN ke gateway privat virtual tunggal dari beberapa perangkat gateway pelanggan. Ini memungkinkan Anda memiliki beberapa lokasi yang terhubung ke AWS VPN CloudHub. Untuk informasi selengkapnya, lihat Menyediakan komunikasi yang aman antar situs menggunakan VPN CloudHub. Bila Anda memiliki perangkat gateway pelanggan di beberapa lokasi geografis, setiap perangkat harus mengiklankan rangkaian IP khusus yang spesifik ke lokasi.
Perutean untuk perangkat gateway pelanggan Anda
AWS merekomendasikan mengiklankan rute BGP tertentu untuk memengaruhi keputusan perutean di gateway pribadi virtual. Periksa dokumentasi vendor Anda untuk perintah khusus untuk perangkat Anda.
Ketika Anda membuat beberapa koneksi VPN, gateway privat virtual mengirimkan lalu lintas jaringan ke koneksi VPN yang sesuai menggunakan rute statis atau iklam rute BGP. Rute mana yang tergantung pada bagaimana koneksi VPN dikonfigurasi. Rute statis ditugaskan lebih disukai daripada rute yang diiklankan BGP dalam kasus di mana rute identik ada di gateway privat virtual. Jika Anda memilih opsi untuk menggunakan iklan BGP, maka Anda tidak dapat menentukan rute statis.
Untuk informasi selengkapnya tentang prioritas rute, lihat Tabel rute dan prioritas rute VPN.
