Regole firewall per un dispositivo gateway AWS Site-to-Site VPN del cliente

È necessario disporre di un indirizzo IP statico da utilizzare come endpoint per i IPsec tunnel che collegano il dispositivo gateway del cliente agli AWS Site-to-Site VPN endpoint. Se è presente un firewall tra il dispositivo gateway del cliente AWS e il dispositivo gateway, per stabilire i tunnel è necessario applicare le regole riportate nelle tabelle seguenti. IPsec Gli indirizzi IP per il AWS lato -side si troveranno nel file di configurazione.

In entrata (da Internet)

Regola in entrata I1
IP di origine	IP esterno Tunnel1
IP dest	Gateway del cliente
Protocollo	UDP
Porta sorgente	500
Destinazione	500
Regola in entrata I2
IP di origine	IP esterno Tunnel2
IP dest	Gateway del cliente
Protocollo	UDP
Porta sorgente	500
Porta di destinazione	500
Regola in entrata I3
IP di origine	IP esterno Tunnel1
IP dest	Gateway del cliente
Protocollo	IP 50 () ESP
Regola in entrata I4
IP di origine	IP esterno Tunnel2
IP dest	Gateway del cliente
Protocollo	IP 50 (ESP)

In uscita (a Internet)

Regola in uscita O1
IP di origine	Gateway del cliente
IP dest	IP esterno Tunnel1
Protocollo	UDP
Porta sorgente	500
Porta di destinazione	500
Regola in uscita O2
IP di origine	Gateway del cliente
IP dest	IP esterno Tunnel2
Protocollo	UDP
Porta sorgente	500
Porta di destinazione	500
Regola in uscita O3
IP di origine	Gateway del cliente
IP dest	IP esterno Tunnel1
Protocollo	IP 50 (ESP)
Regola in uscita O4
IP di origine	Gateway del cliente
IP dest	IP esterno Tunnel2
Protocollo	IP 50 (ESP)

Le regole I1, I2, O1 e O2 consentono la trasmissione di pacchetti. IKE Le regole I3, I4, O3 e O4 consentono la trasmissione di pacchetti che contengono il traffico di rete crittografato. IPsec

Nota

Se utilizzi NAT traversal (NAT-T) sul tuo dispositivo, assicurati che anche il UDP traffico sulla porta 4500 possa passare tra la rete e gli endpoint. AWS Site-to-Site VPN Controlla se il tuo dispositivo sta pubblicizzando -T. NAT