Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Il dispositivo gateway del cliente
Un dispositivo gateway del cliente è un'appliance fisica o software che possiedi o gestisci nella rete on-premise (sul lato di una connessione Site-to-Site VPN). Tu o l'amministratore di rete dovete configurare il dispositivo in modo che funzioni con la connessione Site-to-Site VPN.
Il diagramma sottostante mostra la rete, il dispositivo gateway del cliente e la connessione VPN che va al gateway privato virtuale che è collegato al VPC. Le due linee tra il dispositivo gateway del cliente e il gateway privato virtuale rappresentano i tunnel per la connessione VPN. Se si verifica un guasto al dispositivo interno AWS, la connessione VPN passa automaticamente al secondo tunnel in modo che l'accesso non venga interrotto. Di tanto in tanto, esegue AWS anche la manutenzione ordinaria della connessione VPN, il che potrebbe disabilitare brevemente uno dei due tunnel della connessione VPN. Per ulteriori informazioni, consulta Sostituzioni degli endpoint del tunnel Site-to-Site VPN. Durante la configurazione del dispositivo gateway del cliente, è pertanto importante configurare entrambi i tunnel.
Per le fasi di configurazione di una connessione VPN, consulta Nozioni di base su AWS Site-to-Site VPN. Durante questo processo, crei una risorsa Customer Gateway in AWS, che fornisce informazioni AWS sul dispositivo, ad esempio l'indirizzo IP rivolto al pubblico. Per ulteriori informazioni, consulta Opzioni di gateway del cliente per la connessione Site-to-Site VPN. La risorsa Customer Gateway in AWS non configura o crea il dispositivo Customer Gateway. È necessario configurare autonomamente il dispositivo.
È inoltre possibile trovare le appliance software VPN in AWS Marketplace
Argomenti
- File di configurazione di esempio
- Requisiti per il dispositivo gateway del cliente
- Best practice per il dispositivo gateway del cliente
- Regole firewall
- Più scenari di connessione VPN
- Routing per il dispositivo gateway del cliente
- Configurazioni di esempio per il routing statico
- Configurazioni di esempio per il routing dinamico (BGP)
- Windows Server come dispositivo gateway del cliente
- Risoluzione dei problemi
File di configurazione di esempio
Dopo aver creato la connessione VPN, è inoltre possibile eseguire il download di un file di configurazione di esempio fornito da AWS dalla console Amazon VPC o utilizzando l'API EC2. Per ulteriori informazioni, consulta Fase 6: download del file di configurazione. È inoltre possibile eseguire il download di file .zip di configurazioni di esempio specificamente per il routing statico e dinamico:
Eseguire il download di file .zip
-
Dati di configurazione statici: File di configurazione di esempio
-
Configurazione dinamica: File di configurazione di esempio
Il file AWS di configurazione di esempio fornito contiene informazioni specifiche sulla connessione VPN che puoi utilizzare per configurare il dispositivo gateway del cliente. Questi file di configurazione specifici del dispositivo sono disponibili solo per i dispositivi che sono stati sottoposti a test da AWS. Se il dispositivo gateway del cliente specifico non è elencato, è possibile eseguire il download di file di configurazione generico per cominciare.
Importante
Il file di configurazione è solo un esempio e potrebbe non corrispondere interamente alle impostazioni di connessione Site-to-Site VPN previste. Specifica i requisiti minimi per una connessione VPN da sito a sito di AES128, SHA1 e Diffie-Hellman gruppo 2 AWS nella maggior parte delle regioni e AES128, SHA2 e Diffie-Hellman gruppo 14 nelle regioni. AWS GovCloud Specifica anche le chiavi precondivise per autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare i vantaggi di algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico IPv6.
Nota
Questi file AWS di configurazione specifici del dispositivo vengono forniti da con la massima diligenza possibile. Sebbene siano stati testati da AWS, questi test sono limitati. Se si verifica un problema con i file di configurazione, potrebbe essere necessario contattare il fornitore specifico per ottenere ulteriore supporto.
La tabella seguente contiene un elenco di dispositivi che dispongono di un file di configurazione di esempio disponibile per il download che è stato aggiornato per supportare IKEv2. Abbiamo introdotto il supporto IKEv2 nei file di configurazione per molti dispositivi gateway del cliente e continueremo ad aggiungere file aggiuntivi nel tempo. Questo elenco verrà aggiornato man mano che vengono aggiunti altri file di configurazione di esempio.
| Vendor | Piattaforma | Software |
|---|---|---|
|
Checkpoint |
Gaia |
R80.10+ |
|
Cisco Meraki |
Serie MX |
15.12+ (WebUI) |
|
Cisco Systems, Inc. |
Serie ASA 5500 |
ASA 9.7+ VTI |
|
Cisco Systems, Inc. |
CSRv AMI |
IOS 12.4+ |
|
Fortinet |
Serie Fortigate 40+ |
FortiOS 6.4.4+ (GUI) |
|
Juniper Networks, Inc. |
Router Serie J |
JunOS 9.5+ |
|
Juniper Networks, Inc. |
Router SRX |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6.4.3 |
|
Palo Alto Networks |
Serie PA |
PANOS 7.0+ |
|
SonicWall |
NSA, TZ |
OS 6.5 |
|
Sophos |
Firewall Sophos |
v19+ |
|
Strongswan |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
Router RTX |
Rev.10.01.16+ |
Requisiti per il dispositivo gateway del cliente
Se è disponibile un dispositivo non incluso nell'elenco precedente di esempi, in questa sezione vengono descritti i requisiti che il dispositivo deve soddisfare affinché possa essere utilizzato per stabilire una connessione Site-to-Site VPN.
La configurazione del dispositivo gateway del cliente comprende quattro parti principali. I seguenti simboli rappresentano ciascuna parte della configurazione.
|
Associazione di sicurezza Internet key exchange (IKE). Richiesta per scambiare chiavi utilizzate per stabilire l'associazione di sicurezza IPsec. |
|
Associazione di sicurezza IPsec. Consente di gestire la crittografia, l'autenticazione e così via del tunnel. |
|
Interfaccia tunnel. Riceve il traffico in uscita e in entrata dal tunnel. |
|
(Facoltativo) Peer secondo il protocollo BGP (Border Gateway Protocol). Per dispositivi che utilizzano BGP, consente di scambiare route tra il dispositivo gateway del cliente e il gateway virtuale privato. |
Nella tabella seguente vengono elencate i requisiti del dispositivo gateway del cliente, l'RFC (per riferimento) correlato e i commenti sui requisiti.
Ogni connessione VPN è composta da due tunnel distinti. Ogni tunnel contiene un'associazione di sicurezza IKE, un'associazione di sicurezza IPsec e un peering BGP. Esiste un vincolo di una 1 coppia di associazione di sicurezza univoca (SA) per tunnel (1 in entrata e 1 in uscita), ovvero 2 coppie SA univoche in totale per 2 tunnel (4 SA). Alcuni dispositivi utilizzano una VPN basata su policy e creano il numero massimo consentito di SA come voci ACL. Pertanto, potrebbe essere necessario consolidare le regole e filtrare in modo da non consentire traffico non desiderato.
Per impostazione predefinita, il tunnel VPN si verifica quando viene generato il traffico e la negoziazione IKE viene avviata dal lato della connessione VPN. È possibile configurare invece la connessione VPN per avviare la negoziazione IKE dal AWS lato della connessione. Per ulteriori informazioni, consulta Opzioni di avvio del tunnel Site-to-Site VPN.
Gli endpoint VPN supportano l'emissione nuova chiave e possono avviare rinegoziazioni quando la fase 1 sta per scadere se il dispositivo gateway del cliente non ha inviato alcun traffico di rinegoziazione.
| Requisito | RFC | Commenti |
|---|---|---|
|
Stabilire l'associazione di sicurezza IKE
|
L'associazione di sicurezza IKE viene stabilita innanzitutto tra il gateway privato virtuale e il dispositivo gateway del cliente utilizzando una chiave precondivisa o un certificato privato che utilizza come autenticatore. AWS Private Certificate Authority Al termine, IKE negozia una chiave effimera per rendere sicuri i messaggi IKE futuri. Ci deve essere un accordo completo tra i parametri, inclusi i parametri di crittografia e autenticazione. Quando crei una connessione VPN in AWS, puoi specificare la tua chiave già condivisa per ogni tunnel, oppure puoi lasciare AWS che ne generi una per te. In alternativa, puoi specificare il certificato privato AWS Private Certificate Authority da utilizzare per il dispositivo gateway del cliente. Per ulteriori informazioni sulla configurazione dei tunnel VPN, consulta Opzioni di tunnel per la connessione Site-to-Site VPN. Sono supportate le seguenti versioni: IKEv1 e IKEv2. Con IKEv1 supportiamo solamente la modalità Main. Il servizio Site-to-Site VPN è una soluzione basata su route. Se usi una configurazione basata su policy, devi limitare la configurazione a un'unica associazione di sicurezza (SA). |
|
|
Stabilire associazioni di sicurezza IPsec in modalità Tunnel
|
Utilizzando la chiave effimera IKE, le chiavi vengono stabilite tra il gateway virtuale privato e il dispositivo gateway del cliente per formare un'associazione di sicurezza IPsec (SA). Il traffico tra i gateway è crittografato e decrittografato utilizzando questa SA. Le chiavi effimere utilizzate per crittografare il traffico all'interno della SA IPsec vengono automaticamente ruotate da IKE periodicamente per garantire la riservatezza delle comunicazioni. |
|
|
Utilizzare la funzione di crittografia a 128 bit o 256 bit AES |
La funzione di crittografia viene utilizzata per garantire la privacy per le associazioni di sicurezza IKE e IPsec. |
|
|
Utilizzare la funzione di hashing SHA-1 o SHA-2 (256) |
Questa funzione di hashing viene utilizzata per autenticare le associazioni di sicurezza IKE è IPsec. |
|
|
Utilizzare Diffie-Hellman Perfect Forward Secrecy. |
IKE utilizza Diffie-Hellman per stabilire chiavi effimere per rendere sicura tutta la comunicazione tra i dispositivi gateway del cliente e i gateway virtuali privati. Sono supportati i seguenti gruppi:
|
|
|
(Connessioni VPN instradate dinamicamente) Utilizzare IPSec Dead Peer Detection |
Dead Peer Detection consente ai dispositivi VPN di identificare rapidamente quando una condizione di rete impedisce la consegna di pacchetti su Internet. Quando ciò si verifica, i gateway eliminano le associazioni di sicurezza e tentano di creare nuove associazioni. Durante questo processo, viene utilizzato il tunnel IPsec alternativo, se possibile. |
|
|
(Connessioni VPN instradate dinamicamente) Vincolare tunnel a interfaccia logica (VPN basata su route)
|
Nessuno |
Il dispositivo deve essere in grado di associare il tunnel IPSec a un'interfaccia logica. L'interfaccia logica contiene un indirizzo IP utilizzato per stabilire il peering BGP al gateway virtuale privato. Questa interfaccia logica non deve eseguire ulteriore incapsulamento (ad esempio, GRE o IP in IP). L'interfaccia deve Essere impostata su un'unità massima di trasmissione (MTU) di 1399 byte. |
|
(Connessioni VPN instradate dinamicamente) Stabilire peering BGP
|
BGP viene utilizzato per scambiare route tra i dispositivi gateway del cliente e il gateway virtuale privato per dispositivi che utilizzano BGP. Tutto il traffico BGP è crittografato e trasmesso tramite l'associazione di sicurezza IPsec. BGP è obbligatorio per entrambi i gateway per scambiare i prefissi IP raggiungibili tramite l'SA IPsec. |
Una connessione AWS VPN non supporta Path MTU Discovery (RFC 1191
Se tra il dispositivo gateway del cliente e Internet è presente un firewall, consulta Configurazione di un firewall tra Internet e il dispositivo gateway del cliente.
Best practice per il dispositivo gateway del cliente
Ripristina il flag "Don't Fragment" (Non frammentare) sui pacchetti
Alcuni pacchetti trasportano un flag, noto come il flag Don't Fragment (DF), che indica che il pacchetto non deve Essere frammentato. Se i pacchetti trasportano il flag, i gateway generano un messaggio ICMP Path MTU Exceeded (MTU percorso ICMP superato). In alcuni casi, le applicazioni non contengono meccanismi adeguati per elaborare questi messaggi ICMP e per ridurre la quantità di dati trasmessa in ogni pacchetto. Alcuni dispositivi VPN possono ignorare il flag DF e frammentare i pacchetti incondizionatamente come richiesto. Se il dispositivo gateway del cliente dispone di questa capacità, ti consigliamo di utilizzarla in maniera adeguata. Consulta .RFC 791
Frammentare pacchetti IP prima della crittografia
Se i pacchetti inviati tramite la connessione VPN da sito a sito superano la dimensione MTU, devono essere frammentati. Per evitare una riduzione delle prestazioni, consigliamo di configurare il dispositivo gateway del cliente in modo da frammentare i pacchetti prima che vengano crittografati. La VPN da sito a sito riassemblerà quindi tutti i pacchetti frammentati prima di inoltrarli alla destinazione successiva, al fine di ottenere flussi più elevati attraverso la rete. packet-per-second AWS Consulta RFC 4459
Assicurati che la dimensione dei pacchetti non superi l'MTU per le reti di destinazione
Poiché la VPN da Site-to-Site riassembla tutti i pacchetti frammentati ricevuti dal dispositivo gateway del cliente prima di inoltrarli alla destinazione successiva, tieni presente che potrebbero esserci considerazioni sulla dimensione dei pacchetti/MTU per le reti di destinazione in cui questi pacchetti verranno successivamente inoltrati, ad esempio. AWS Direct Connect
Regolare le dimensioni MTU e MSS in base agli algoritmi in uso
I pacchetti TCP sono spesso il tipo più comune di pacchetti su tunnel IPsec. La VPN Site-to-Site supporta un'unità di trasmissione massima (MTU) di 1446 byte e una corrispondente dimensione massima del segmento (MSS) di 1406 byte. Tuttavia, gli algoritmi di crittografia hanno dimensioni di intestazione diverse e possono impedire la possibilità di raggiungere questi valori massimi. Per ottenere prestazioni ottimali evitando la frammentazione, si consiglia di impostare MTU e MSS in base agli algoritmi utilizzati.
Utilizza la seguente tabella per impostare MTU/MSS per evitare la frammentazione e ottenere prestazioni ottimali:
| Algoritmo di crittografia | Algoritmo hash | NAT-Traversal | MTU | MSS (IPv4) | MSS (IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/D |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/D |
abilitato |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
abilitato |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
abilitato |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
abilitato |
1406 |
1366 |
1346 |
Nota
Gli algoritmi AES-GCM includono sia la crittografia che l'autenticazione, quindi non esiste una scelta distinta di algoritmo di autenticazione che influenzi MTU.
Configurazione di un firewall tra Internet e il dispositivo gateway del cliente
È necessario disporre di un indirizzo IP statico da utilizzare come endpoint per i tunnel IPSec che collegano il dispositivo gateway del cliente agli endpoint. AWS Site-to-Site VPN Se è installato un firewall tra il dispositivo gateway del cliente AWS e il dispositivo gateway del cliente, è necessario applicare le regole riportate nelle tabelle seguenti per stabilire i tunnel IPSec. Gli indirizzi IP per il AWS lato -side si troveranno nel file di configurazione.
|
Regola in entrata I1 |
|
|---|---|
|
IP di origine |
IP esterno Tunnel1 |
|
IP dest |
Gateway del cliente |
|
Protocollo |
UDP |
|
Porta sorgente |
500 |
|
Destinazione |
500 |
|
Regola in entrata I2 |
|
|
IP di origine |
IP esterno Tunnel2 |
|
IP dest |
Gateway del cliente |
|
Protocollo |
UDP |
|
Porta sorgente |
500 |
|
Porta di destinazione |
500 |
|
Regola in entrata I3 |
|
|
IP di origine |
IP esterno Tunnel1 |
|
IP dest |
Gateway del cliente |
|
Protocollo |
IP 50 (ESP) |
|
Regola in entrata I4 |
|
|
IP di origine |
IP esterno Tunnel2 |
|
IP dest |
Gateway del cliente |
|
Protocollo |
IP 50 (ESP) |
|
Regola in uscita O1 |
|
|---|---|
|
IP di origine |
Gateway del cliente |
|
IP dest |
IP esterno Tunnel1 |
|
Protocollo |
UDP |
|
Porta sorgente |
500 |
|
Porta di destinazione |
500 |
|
Regola in uscita O2 |
|
|
IP di origine |
Gateway del cliente |
|
IP dest |
IP esterno Tunnel2 |
|
Protocollo |
UDP |
|
Porta sorgente |
500 |
|
Porta di destinazione |
500 |
|
Regola in uscita O3 |
|
|
IP di origine |
Gateway del cliente |
|
IP dest |
IP esterno Tunnel1 |
|
Protocollo |
IP 50 (ESP) |
|
Regola in uscita O4 |
|
|
IP di origine |
Gateway del cliente |
|
IP dest |
IP esterno Tunnel2 |
|
Protocollo |
IP 50 (ESP) |
Le regole I1, I2, O1 e O2 abilitano la trasmissione di pacchetti IKE. Le regole I3, I4, O3 e O4 abilitano la trasmissione di pacchetti IPsec contenenti il traffico di rete crittografato.
Nota
Se utilizzi NAT traversal (NAT-T) sul tuo dispositivo, assicurati che anche il traffico UDP sulla porta 4500 possa passare tra la tua rete e gli endpoint. AWS Site-to-Site VPN Verifica se il dispositivo pubblicizza NAT-T.
Più scenari di connessione VPN
Di seguito sono riportati gli scenari in cui è possibile creare più connessioni VPN con uno o più dispositivi gateway del cliente.
Più connessioni VPN che utilizzano lo stesso dispositivo gateway del cliente
È possibile creare connessioni VPN aggiuntive dalla posizione in locale ad altri VPC utilizzando lo stesso dispositivo gateway del cliente. Puoi riutilizzare lo stesso indirizzo IP del gateway del cliente per ciascuna di tali connessioni VPN.
Connessione VPN ridondante utilizzando un secondo dispositivo gateway del cliente
Per garantire la protezione da una perdita di connettività nel caso in cui il dispositivo gateway del cliente diventi non disponibile, puoi configurare una seconda connessione VPN mediante un secondo dispositivo gateway del cliente. Per ulteriori informazioni, consulta Utilizzo di connessioni Site-to-Site VPN ridondanti per fornire il failover. Quando stabilisci dispositivi gateway del cliente ridondanti in una singola posizione, entrambi i dispositivi devono promuovere gli stessi intervalli IP.
Più dispositivi gateway per i clienti verso un unico gateway privato virtuale () AWS VPN CloudHub
Puoi stabilire più connessioni VPN a un singolo gateway virtuale privato da più dispositivi gateway del cliente. Ciò consente di avere più postazioni connesse alla AWS VPN CloudHub. Per ulteriori informazioni, consulta Fornire una comunicazione sicura tra siti utilizzando VPN CloudHub. Quando disponi di dispositivi gateway del cliente in corrispondenza di più posizioni geografiche, ogni dispositivo deve promuovere un set univoco di intervalli IP specifici per la posizione.
Routing per il dispositivo gateway del cliente
AWS consiglia di pubblicizzare percorsi BGP specifici per influenzare le decisioni di routing nel gateway privato virtuale. Controlla la documentazione del fornitore per i comandi specifici del dispositivo.
Quando crei più connessioni VPN, il gateway virtuale privato invia il traffico di rete alla connessione VPN appropriata utilizzando route assegnate staticamente o annunci di routing BGP, a seconda della configurazione della connessione VPN. Le route assegnate staticamente sono preferite rispetto alle route pubblicizzate BGP nei casi in cui sono presenti route identiche nel gateway virtuale privato. Se selezioni l'opzione per utilizzare l'annuncio BGP, non puoi specificare route statiche.
Per ulteriori informazioni sulla priorità delle route, consulta Tabelle di routing e priorità della route VPN.
