Prerequisiti Creazione di un gateway del cliente Creazione di un gateway target Configurazione del routing Aggiornamento del gruppo di sicurezza Creazione di una connessione VPN Download del file di configurazione Configurazione del dispositivo gateway del cliente

Nozioni di base su AWS Site-to-Site VPN

Utilizza le procedure seguenti per configurare manualmente la connessione AWS Site-to-Site VPN. Durante la creazione dovrai specificare un gateway privato virtuale, un gateway di transito oppure "Non associato" come tipo di gateway di destinazione. Se si specifica "Non associato", è possibile scegliere il tipo di gateway di destinazione in un secondo momento oppure è possibile utilizzarlo come collegamento VPN per AWS Cloud WAN. Questo tutorial ti aiuta a creare una connessione VPN mediante un gateway privato virtuale. Si basa sul presupposto che disponi di un VPC esistente con una o più sottoreti.

Per configurare una connessione VPN tramite un gateway privato virtuale, completa le seguenti fasi:

Processi

Prerequisiti
Fase 1: creazione di un gateway del cliente
Fase 2: creazione di un gateway di destinazione
Fase 3: configurazione dell'instradamento
Fase 4: aggiornamento del gruppo di sicurezza
Fase 5: creazione di una connessione VPN
Fase 6: download del file di configurazione
Fase 7: configurazione del dispositivo gateway del cliente

Attività correlate

Per creare una connessione VPN per AWS Cloud WAN, consulta Creazione di un collegamento VPN per AWS Cloud WAN.
Per creare una connessione VPN su un gateway di transito, consulta Creazione di un collegamento VPN al gateway di transito.

Prerequisiti

Per impostare e configurare i componenti di una connessione VPN, sono necessarie le seguenti informazioni.

Elemento	Informazioni
Dispositivo gateway del cliente	Il dispositivo fisico o software dal lato utente della connessione VPN. Sono richiesti il fornitore (ad esempio, Cisco), la piattaforma (ad esempio, router della serie ISR) e la versione software (ad esempio, IOS 12.4)
Gateway del cliente	Per creare la risorsa gateway del cliente in AWS, sono necessarie le seguenti informazioni: L'indirizzo IP Internet instradabile per l'interfaccia esterna del dispositivo. Il tipo di routing: statico o dinamico. Per routing dinamico, il Border Gateway Protocol (BGP) Autonomous System Number (ASN) (Facoltativo) Certificato privato da AWS Private Certificate Authority per autenticare la VPN Per ulteriori informazioni, consulta Opzioni gateway del cliente.
(Facoltativo) L'ASN per il lato AWS della sessione BGP	Specificare quando si crea un gateway virtuale privato o un gateway di transito. Se non specifichi un valore, si applica l'ASN predefinito. Per ulteriori informazioni, consulta Gateway privato virtuale.
Connessione VPN	Per creare una connessione VPN, sono necessarie le seguenti informazioni: Per il routing statico, i prefissi IP per la rete privata. (Facoltativo) Opzioni tunnel per ogni tunnel VPN. Per ulteriori informazioni, consulta Opzioni di tunnel per la connessione Site-to-Site VPN.

Fase 1: creazione di un gateway del cliente

Un gateway del cliente fornisce informazioni ad AWS sul dispositivo gateway del cliente o sull'applicazione software. Per ulteriori informazioni, consulta Gateway del cliente.

Se prevedi di utilizzare un certificato privato per autenticare la VPN, crea un certificato privato da una CA subordinata utilizzando AWS Private Certificate Authority. Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla creazione e gestione di una CA privata nella Guida per l'utente di AWS Private Certificate Authority.

Nota

È necessario specificare un indirizzo IP o l'Amazon Resource Name del certificato privato.

Per creare un gateway del cliente utilizzando la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel riquadro di navigazione, scegli Gateway del cliente.
Scegli Crea gateway del cliente.
(Facoltativo) In Name (Nome), inserire un nome per il gateway del cliente. In questo modo viene creato un tag con una chiave di Name e il valore specificato.
In BGP ASN, inserire un Border Gateway Protocol (BGP) Autonomous System Number (ASN) del gateway del cliente.
(Facoltativo) In IP Address (Indirizzo IP), inserire l'indirizzo IP Internet instradabile statico per il dispositivo gateway del cliente. Se il dispositivo gateway del cliente si trova dietro un dispositivo NAT abilitato per NAT-T, utilizzare l'indirizzo IP pubblico del dispositivo NAT.
(Facoltativo) Se si desidera utilizzare un certificato privato, in Certificate ARN (ARN certificato), scegliere l'Amazon Resource Name del certificato privato.
(Opzionale) Per Dispositivo inserisci un nome per il dispositivo gateway del cliente associato a tale gateway del cliente.
Scegli Crea gateway del cliente.

Per creare un gateway del cliente utilizzando l'API o la riga di comando

CreateCustomerGateway (API della query Amazon EC2)
create-customer-gateway (AWS CLI)
New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

Fase 2: creazione di un gateway di destinazione

Per stabilire una connessione VPN tra il VPC e la rete on-premise, è necessario creare un gateway di destinazione sul lato AWS della connessione. Il gateway target può essere un gateway virtuale privato o un gateway di transito.

Creazione di gateway virtuale privato

Quando crei un gateway virtuale privato, puoi specificare un Autonomous System Number (ASN) personalizzato privato per il lato Amazon del gateway o utilizzare un ASN di default di Amazon. L'ASN deve essere diverso dall'ASN specificato per il gateway del cliente.

Dopo aver creato un gateway virtuale privato, devi collegarlo al VPC.

Per creare un gateway virtuale privato e collegarlo al VPC

Nel riquadro di navigazione, scegli Gateway privati virtuali.
Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).
(Facoltativo) Inserisci un nome per il gateway privato virtuale per Tag del nome. In questo modo viene creato un tag con una chiave di Name e il valore specificato.
In Numero di sistema autonomo (ASN), mantieni la selezione predefinita, Numero ASN di Amazon predefinito, per utilizzare l'ASN Amazon predefinito. In caso contrario, scegliere Custom ASN (ASN personalizzato) e immettere un valore. Per un ASN a 16 bit, il valore deve Esser compreso nell'intervallo da 64512 a 65534. Per un ASN a 32 bit, il valore deve Essere compreso nell'intervallo da 4200000000 a 4294967294.
Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).
Selezionare il gateway virtuale privato creato, quindi scegliere Actions (Operazioni), Attach to VPC (Collega a VPC).
Per VPC disponibili, scegli il VPC, quindi scegli Collega al VPC.

Per creare un gateway virtuale privato utilizzando l'API o la riga di comando

CreateVpnGateway (API della query Amazon EC2)
create-vpn-gateway (AWS CLI)
New-EC2VpnGateway (AWS Tools for Windows PowerShell)

Per collegare un gateway virtuale privato a un VPC utilizzando la riga di comando o l'API

AttachVpnGateway (API della query Amazon EC2)
attach-vpn-gateway (AWS CLI)
Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Creazione di un gateway di transito

Per ulteriori informazioni sulla creazione di un gateway di transito, consulta Gateway di transito in Gateway di transito Amazon VPC.

Fase 3: configurazione dell'instradamento

Per consentire alle istanze nel VPC di raggiungere il gateway del cliente, occorre configurare la tabella di routing per includere gli instradamenti utilizzati dalla connessione VPN e indirizzarli al gateway privato virtuale o al gateway di transito.

(Gateway virtuale privato) Abilitazione della propagazione della route nella tabella di routing

Puoi abilitare la propagazione della route per la tabella di routing per propagare automaticamente le route Site-to-Site VPN.

Per il routing statico, i prefissi IP statici specificati per la configurazione VPN vengono propagati alla tabella di routing quando lo stato della connessione VPN è UP. Analogamente, per il routing dinamico, le route pubblicizzate BGP dal gateway del cliente vengono propagate alla tabella di routing quando lo stato della connessione VPN è UP.

Nota

Se la connessione viene interrotta ma la connessione VPN rimane UP, le eventuali route propagate presenti nella tabella di routing non vengono rimosse automaticamente. Ricordarlo se, ad esempio, si desidera che il traffico non vada a buon fine su una route statica. In tal caso, potrebbe essere necessario disabilitare la propagazione della route per rimuovere le route propagate.

Per abilitare la propagazione della route tramite la console

Nel pannello di navigazione, scegli Route tables (Tabelle di routing).
Seleziona la tabella di routing associata alla sottorete.
Nella scheda Propagazione dell'instradamento, scegli Modifica propagazione dell'instradamento. Seleziona il gateway privato virtuale creato nella procedura precedente e scegli Salva.

Nota

Se non abiliti la propagazione dell'instradamento, devi inserire manualmente gli instradamenti statici utilizzati dalla connessione VPN. A questo scopo, selezionare la tabella di routing, scegliere Routes (Route), Edit (Modifica). In Destination (Destinazione) aggiungi la route statica utilizzata dalla connessione Site-to-Site VPN. In Target, selezionare l'ID gateway virtuale privato e scegliere Save (Salva).

Per disabilitare la propagazione delle route utilizzando la console

Nel pannello di navigazione, scegli Route tables (Tabelle di routing).
Seleziona la tabella di routing associata alla sottorete.
Nella scheda Propagazione dell'instradamento, scegli Modifica propagazione dell'instradamento. Deseleziona la casella di controllo Propaga relativa al gateway privato virtuale.
Seleziona Salva.

Per abilitare la propagazione della route tramite la riga di comando o l'API

EnableVgwRoutePropagation (API della query Amazon EC2)
enable-vgw-route-propagation (AWS CLI)
Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Per disabilitare la propagazione della route tramite la riga di comando o l'API

DisableVgwRoutePropagation (API della query Amazon EC2)
disable-vgw-route-propagation (AWS CLI)
Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Gateway di transito) Aggiunta di una route alla tabella di routing

Se hai abilitato la propagazione della tabella di routing per il gateway di transito, le route per il collegamento VPN vengono propagate alla tabella di routing del gateway di transito. Per ulteriori informazioni, consulta Routing in Gateway di transito di Amazon VPC.

Se colleghi un VPC al gateway di transito e desideri consentire alle risorse nel VPC di raggiungere il gateway del cliente, devi aggiungere una route alla tabella di routing della sottorete affinché faccia riferimento al gateway di transito.

Per aggiungere una nuova route a una tabella di routing di un VPC

Nel riquadro di navigazione, seleziona Tabelle di routing.
Scegliere la tabella di routing associata al VPC.
Nella scheda Routes (Route), scegliere Edit routes (Modifica route).
Selezionare Add route (Aggiungi route).
Nella colonna Destinazione, immetti l'intervallo di indirizzi IP di destinazione. Per Target (Destinazione) scegli il gateway di transito.
Seleziona Salva modifiche.

Fase 4: aggiornamento del gruppo di sicurezza

Per consentire l'accesso a istanze nel VPC dalla rete, occorre aggiornare le regole del gruppo di sicurezza per abilitare l'accesso SSH, RDP e ICMP in entrata.

Aggiunta di regole al gruppo di sicurezza per abilitare l'accesso

Nel riquadro di navigazione, fai clic su Gruppi di sicurezza.
Seleziona il gruppo di sicurezza predefinito per il VPC.
Nella scheda Inbound rules (Regole in entrata), seleziona Edit inbound rules (Modifica regole in entrata).
Aggiungi le regole che consentono l'accesso SSH, RDP e ICMP in entrata dalla rete, quindi seleziona Salva regole. Per ulteriori informazioni, consulta Utilizzo delle regole dei gruppi di sicurezza nella Guida per l'utente di Amazon VPC.

Fase 5: creazione di una connessione VPN

Crea la connessione VPN utilizzando il gateway del cliente in combinazione con il gateway privato virtuale o il gateway di transito creato in precedenza.

Per creare una connessione VPN

Nel riquadro di navigazione scegli Connessioni VPN site-to-site.
Scegliere Create VPN Connection (Crea connessione VPN).
(Facoltativo) In Tag del nome, immettere un nome per la connessione VPN. In questo modo viene creato un tag con una chiave di Name e il valore specificato.
Per Target gateway type (Tipo di gateway di destinazione), scegliere Virtual private gateway (Gateway virtuale privato) o Transit gateway (Gateway di transito). Quindi, scegliere il gateway virtuale privato o il gateway di transito creato in precedenza.
Per Gateway del cliente, seleziona Esistente, quindi scegli il gateway del cliente creato in precedenza da ID gateway del cliente.
Selezionare una delle opzioni di routing a seconda che il dispositivo gateway del cliente supporti Border Gateway Protocol (BGP):
- Se il dispositivo gateway del cliente supporta BGP, scegliere Dynamic (requires BGP) (Dinamico (richiede BGP)).
- Se il dispositivo gateway del cliente non supporta BGP, scegliere Static (Statico). In Static IP Prefixes (Prefissi IP statici), specificare ogni prefisso IP per la rete privata della connessione VPN.
Se il tipo di gateway di destinazione è un gateway di transito, per Tunnel interno alla versione IP, specifica se i tunnel VPN supportano il traffico IPv4 o IPv6. Il traffico IPv6 è supportato solo per le connessioni VPN su un gateway di transito.
Se hai specificato IPv4 per Tunnel interno alla versione IP, puoi specificare facoltativamente gli intervalli CIDR IPv4 per il lato gateway del cliente e il lato AWS che possono comunicare attraverso i tunnel VPN. Il valore predefinito è 0.0.0.0/0.

Se hai specificato IPv6 per Tunnel interno alla versione IP, puoi specificare facoltativamente gli intervalli CIDR IPv6 sul lato gateway del cliente e sul lato AWS che possono comunicare attraverso i tunnel VPN. Il valore predefinito per entrambi gli intervalli è ::/0.
Per Tipo di indirizzo IP esterno, mantieni l'opzione predefinita, PublicIpv4.
(Facoltativo) per Opzioni tunnel, è possibile specificare le seguenti informazioni per ciascun tunnel:
- Un blocco CIDR IPv4 di dimensione /30 dall'intervallo 169.254.0.0/16 per gli indirizzi IPv4 del tunnel interno.
- Se hai specificato IPv6 per Tunnel interno alla versione IP, un blocco CIDR IPv6 /126 dall'intervallo fd00::/8 per gli indirizzi IPv6 del tunnel interno.
- La chiave precondivisa IKE (PSK). Sono supportate le seguenti versioni: IKEv1 o IKEv2.
- Per modificare le opzioni avanzate del tunnel, scegli Modifica le opzioni tunnel. Per ulteriori informazioni, consulta Opzioni per tunnel VPN.
Scegliere Create VPN Connection (Crea connessione VPN). Per creare la connessione VPN potrebbero essere necessari alcuni minuti.

Per creare una connessione VPN utilizzando la riga di comando o l'API

CreateVpnConnection (API della query Amazon EC2)
create-vpn-connection (AWS CLI)
New-EC2VpnConnection (AWS Tools for Windows PowerShell)

Fase 6: download del file di configurazione

Dopo aver creato la connessione VPN, puoi scaricare un file di configurazione di esempio da utilizzare per configurare il dispositivo gateway del cliente.

Importante

Il file di configurazione è solo un esempio e potrebbe non corrispondere completamente alle impostazioni di connessione VPN previste. Specifica i requisiti minimi per una connessione VPN di AES128, SHA1 e Diffie-Hellman group 2 nella maggior parte delle regioni AWS e AES128, SHA2 e Diffie-Hellman group 14 nelle regioni GovCloud AWS. Specifica anche le chiavi precondivise per autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare i vantaggi di algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico IPv6.

Abbiamo introdotto il supporto IKEv2 nei file di configurazione per molti dispositivi gateway del cliente e continueremo ad aggiungere file aggiuntivi nel tempo. Consulta Il dispositivo gateway del cliente per un elenco completo dei file di configurazione con supporto IKEv2.

Autorizzazioni

Per caricare correttamente la schermata di configurazione del download dalla AWS Management Console, devi assicurarti che il ruolo o l'utente IAM abbiano l'autorizzazione per le seguenti API Amazon EC2: GetVpnConnectionDeviceTypes e GetVpnConnectionDeviceSampleConfiguration.

Download del file di configurazione mediante la console

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel riquadro di navigazione scegli Connessioni VPN site-to-site.
Seleziona la connessione VPN e scegli Scarica configurazione.
Seleziona Fornitore, Piattaforma, Software e Versione IKE che corrisponde al dispositivo gateway del cliente. Se il dispositivo non è presente nell'elenco, scegliere Generic (Generico).
Scegli Download (Scarica).

Per eseguire il download di un file di configurazione di esempio utilizzando la riga di comando o API

GetVpnConnectionDeviceTypes (API query Amazon EC2)
GetVpnConnectionDeviceSampleConfiguration (API query Amazon EC2)
get-vpn-connection-device-types (AWS CLI)
get-vpn-connection-device-sample-configuration (AWS CLI)

Fase 7: configurazione del dispositivo gateway del cliente

Utilizza il file di configurazione di esempio per configurare il dispositivo gateway del cliente. Il dispositivo gateway del cliente è un'appliance fisica o software sul tuo lato della connessione VPN. Per ulteriori informazioni, consulta Il dispositivo gateway del cliente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Traffico IPv4 e IPv6

Architetture