Nozioni di base - AWS Site-to-Site VPN

Nozioni di base

Utilizza le procedure seguenti per configurare manualmente la connessione AWS Site-to-Site VPN. Puoi creare una connessione Site-to-Site VPN con un gateway virtuale privato o un gateway di transito come il gateway target.

Per configurare una connessione Site-to-Site VPN, completare le seguenti fasi:

Le procedure si basano sul presupposto che sia disponibile un VPC con una o più sottoreti.

Per le fasi di creazione di una connessione Site-to-Site VPN su un gateway di transito, consulta Creazione di un collegamento VPN del gateway di transito.

Prerequisiti

Per impostare e configurare i componenti di una connessione Site-to-Site VPN, sono necessarie le seguenti informazioni.

Elemento Informazioni
Dispositivo gateway del cliente Il dispositivo fisico o software dal lato utente della connessione VPN. Sono richiesti il fornitore (ad esempio, Cisco), la piattaforma (ad esempio, router della serie ISR) e la versione software (ad esempio, IOS 12.4)
Gateway del cliente Per creare la risorsa gateway del cliente in AWS, sono necessarie le seguenti informazioni:
  • L'indirizzo IP Internet instradabile per l'interfaccia esterna del dispositivo.

  • Il tipo di routing: statico o dinamico.

  • Per routing dinamico, il Border Gateway Protocol (BGP) Autonomous System Number (ASN)

  • (Facoltativo) Certificato privato da Autorità di certificazione privata di AWS Certificate Manager per autenticare la VPN

Per ulteriori informazioni, consulta Opzioni gateway del cliente per la connessione Site-to-Site VPN.

(Facoltativo) L'ASN per il lato AWS della sessione BGP

Specificare quando si crea un gateway virtuale privato o un gateway di transito. Se non specifichi un valore, si applica l'ASN predefinito. Per ulteriori informazioni, consulta Gateway privato virtuale.

Connessione VPN Per creare una connessione VPN, sono necessarie le seguenti informazioni:

Creazione di un gateway del cliente

Un gateway del cliente fornisce informazioni ad AWS sul dispositivo gateway del cliente o sull'applicazione software. Per ulteriori informazioni, consulta Gateway del cliente.

Se prevedi di utilizzare un certificato privato per autenticare la VPN, crea un certificato privato da una CA subordinata utilizzando Autorità di certificazione privata di AWS Certificate Manager. Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla creazione e gestione di una CA privata nella Guida per l'utente di Autorità di certificazione privata di AWS Certificate Manager.

Nota

È necessario specificare un indirizzo IP o l'Amazon Resource Name del certificato privato.

Per creare un gateway del cliente utilizzando la console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Gateway del cliente, quindi Create Customer Gateway (Crea gateway del cliente).

  3. Completare le seguenti operazioni, quindi selezionare Create Customer Gateway (Crea gateway del cliente):

    • (Facoltativo) In Name (Nome), immettere un nome per il gateway del cliente. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

    • In Routing, selezionare il tipo di routing.

    • Per routing dinamico, in BGP ASN, immettere il Border Gateway Protocol (BGP) Autonomous System Number (ASN).

    • (Facoltativo) In IP Address (indirizzo IP), immettere l'indirizzo IP Internet instradabile per il dispositivo gateway del cliente. Se il gateway del cliente si trova dietro un dispositivo NAT abilitato per NAT-T, utilizzare l'indirizzo IP pubblico del dispositivo NAT.

    • (Facoltativo) Se si desidera utilizzare un certificato privato, in Certificate ARN (ARN certificato), scegliere l'Amazon Resource Name del certificato privato.

Per creare un gateway del cliente utilizzando l'API o la riga di comando

Creazione di un gateway target

Per stabilire una connessione VPN tra il VPC e la rete in locale, è necessario creare un gateway target sul lato AWS della connessione. Il gateway target può essere un gateway virtuale privato o un gateway di transito.

Creazione di gateway virtuale privato

Quando crei un gateway virtuale privato, puoi specificare facoltativamente un Autonomous System Number (ASN) privato per il lato Amazon del gateway. L'ASN deve essere diverso dal BGP ASN specificato per il gateway del cliente.

Dopo aver creato un gateway virtuale privato, devi collegarlo al VPC.

Per creare un gateway virtuale privato e collegarlo al VPC

  1. Nel riquadro di navigazione, scegliere Virtual Private Gateways (gateway virtuale privato), Create Virtual Private Gateway (Crea gateway virtuale privato).

  2. (Facoltativo) Immettere un nome per il gateway virtuale privato. In questo modo viene creato un tag con una chiave di Name e il valore specificato.

  3. In ASN, lasciare la selezione predefinita per utilizzare l'Amazon ASN predefinito. In caso contrario, scegliere Custom ASN (ASN personalizzato) e immettere un valore. Per un ASN a 16 bit, il valore deve Esser compreso nell'intervallo da 64512 a 65534. Per un ASN a 32 bit, il valore deve Essere compreso nell'intervallo da 4200000000 a 4294967294.

  4. Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).

  5. Selezionare il gateway virtuale privato creato, quindi selezionare Actions (Operazioni), Attach to VPC (Collega a VPC).

  6. Selezionare il VPC dall'elenco e scegliere Yes, Attach (Sì, collega).

Per creare un gateway virtuale privato utilizzando l'API o la riga di comando

Per collegare un gateway virtuale privato a un VPC utilizzando la riga di comando o l'API

Creazione di un gateway di transito

Per ulteriori informazioni sulla creazione di un gateway di transito, consulta la sezione relativa ai gateway di transito nella Amazon VPC Gateway di transito.

Configurazione dell'instradamento

Per consentire alle istanze nel VPC di raggiungere il gateway del cliente, occorre configurare la tabella di routing per includere le route utilizzate dalla connessione Site-to-Site VPN e indirizzarle al gateway virtuale privato o al gateway di transito.

(Gateway virtuale privato) Abilitazione della propagazione della route nella tabella di routing

Puoi abilitare la propagazione della route per la tabella di routing per propagare automaticamente le route Site-to-Site VPN.

Per il routing statico, i prefissi IP statici specificati per la configurazione VPN vengono propagati alla tabella di routing quando lo stato della connessione Site-to-Site VPN è UP. Analogamente, per il routing dinamico, le route pubblicizzate BGP dal gateway del cliente vengono propagate alla tabella di routing quando lo stato della connessione Site-to-Site VPN è UP.

Nota

Se la connessione viene interrotta ma la connessione VPN rimane UP, le eventuali route propagate presenti nella tabella di routing non vengono rimosse automaticamente. Ricordarlo se, ad esempio, si desidera che il traffico non vada a buon fine su una route statica. In tal caso, potrebbe essere necessario disabilitare la propagazione della route per rimuovere le route propagate.

Per abilitare la propagazione della route tramite la console

  1. Nel riquadro di navigazione, scegliere Route Tables (Tabelle di routing), quindi selezionare la tabella di routing associata alla sottorete. Per impostazione predefinita, questa è la tabella di routing principale per il VPC.

  2. Nella scheda Route Propagation (Propagazione della route) nel riquadro dei dettagli, scegliere Edit (Modifica), selezionare il gateway virtuale privato creato nella procedura precedente, quindi selezionare Save (Salva).

Nota

Per il routing statico, se non si abilita la propagazione della route, occorre immettere manualmente le route statiche utilizzate dalla connessione Site-to-Site VPN. A questo scopo, selezionare la tabella di routing, scegliere Route, Modifica. In Destination (Destinazione), aggiungere la route statica utilizzata dalla connessione Site-to-Site VPN. In Target, selezionare l'ID gateway virtuale privato e scegliere Save (Salva).

Per disabilitare la propagazione della route tramite la console

  1. Nel riquadro di navigazione, scegliere Route Tables (Tabelle di routing), quindi selezionare la tabella di routing associata alla sottorete.

  2. Selezionare Route Propagation (Propagazione della route), Edit (Modifica). Deselezionare la casella di controllo Propagate (Propaga) relativa al gateway virtuale privato e scegliere Save (Salva).

Per abilitare la propagazione della route tramite la riga di comando o l'API

Per disabilitare la propagazione della route tramite la riga di comando o l'API

(Gateway di transito) Aggiunta di una route alla tabella di routing

Se hai abilitato la propagazione della tabella di routing per il gateway di transito, le route per il collegamento VPN vengono propagate alla tabella di routing del gateway di transito. Per ulteriori informazioni, consulta Routing nella Amazon VPC Gateway di transito.

Se colleghi un VPC al gateway di transito e desideri consentire alle risorse nel VPC di raggiungere il gateway del cliente, devi aggiungere una route alla tabella di routing della sottorete affinché faccia riferimento al gateway di transito.

Per aggiungere una nuova route a una tabella di routing di un VPC

  1. Nel riquadro di navigazione, selezionare Route Tables (Tabelle di routing).

  2. Scegliere la tabella di routing associata al VPC.

  3. selezionare la scheda Routes (Route), selezionare Edit routes (Modifica route).

  4. Selezionare Add route (Aggiungi route).

  5. Nella colonna Destination (Destinazione), immettere l'intervallo di indirizzi IP di destinazione. In Target (Destinazione), scegliere il gateway di transito.

  6. Scegliere Save routes (Salva route), quindi selezionare Close (Chiudi).

Aggiornamento del gruppo di sicurezza

Per consentire l'accesso a istanze nel VPC dalla rete, occorre aggiornare le regole del gruppo di sicurezza per abilitare l'accesso SSH, RDP e ICMP in entrata.

Per aggiungere regole al gruppo di sicurezza per abilitare l'accesso SSH, RDP e ICMP

  1. Nel riquadro di navigazione, scegliere Security Groups (Gruppi di sicurezza), quindi selezionare il gruppo di sicurezza predefinito per il VPC.

  2. Nella scheda Inbound (In entrata) del riquadro dei dettagli, aggiungere regole che consentono l'accesso SSH, RDP e ICMP in entrata dalla rete, quindi selezionare Save (Salva). Per ulteriori informazioni sull'aggiunta di regole in entrata, consulta Aggiunta, rimozione E aggiornamento di regole nella Guida per l'utente di Amazon VPC.

Per ulteriori informazioni sull'uso dei gruppi di sicurezza mediante AWS CLI, consulta Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

Creazione di una connessione Site-to-Site VPN

Crea la connessione Site-to-Site VPN utilizzando il gateway del cliente e il gateway virtuale privato o il gateway di transito creato in precedenza.

Per creare una connessione Site-to-Site VPN

  1. Nel riquadro di navigazione, scegliere Site-to-Site VPN Connections (Connessioni VPN da sito a sito), Create VPN Connection (Crea connessione VPN).

  2. (Facoltativo) In Name tag (Tag nome), immettere un nome per la connessione Site-to-Site VPN. In questo modo viene creato un tag con una chiave Name e il valore specificato.

  3. Per Target Gateway Type (Tipo di gateway di destinazione), scegliere Virtual Private Gateway (Gateway virtuale privato) o Transit Gateway (Gateway di transito). Quindi, scegliere il gateway virtuale privato o il gateway di transito creato in precedenza.

  4. Per Customer Gateway ID (ID gateway del cliente), selezionare il gateway del cliente creato in precedenza.

  5. Selezionare una delle opzioni di routing a seconda che il dispositivo gateway del cliente supporti Border Gateway Protocol (BGP):

    • Se il dispositivo gateway del cliente supporta BGP, scegliere Dynamic (requires BGP) (Dinamico (richiede BGP)).

    • Se il dispositivo gateway del cliente non supporta BGP, scegliere Static (Statico). In Prefissi IP statici, specificare ogni prefisso IP per la rete privata della connessione Site-to-Site VPN.

  6. (Facoltativo) Per Tunnel Inside IP Version (Versione IP tunnel interno), specificare se i tunnel VPN supportano il traffico IPv4 o IPv6. Il traffico IPv6 è supportato solo per le connessioni VPN su un gateway di transito.

  7. (Facoltativo) Per CIDR di rete IPv4 locale, specificare l'intervallo CIDR IPv4 sul lato gateway cliente (in locale) a cui è consentito comunicare attraverso i tunnel VPN. Il valore di default è 0.0.0.0/0.

    Per CIDR di rete IPv4 remota, specificare l'intervallo CIDR IPv4 sul lato AWS a cui è consentito comunicare attraverso i tunnel VPN. Il valore di default è 0.0.0.0/0.

    Se è stato specificato IPv6 per Tunnel Inside IP Version, specificare gli intervalli CIDR IPv6 sul lato gateway cliente e sul lato AWS che possono comunicare attraverso i tunnel VPN. Il valore predefinito per entrambi gli intervalli è ::/0.

  8. (Facoltativo) per Tunnel Options (Opzioni tunnel), è possibile specificare le seguenti informazioni per ciascun tunnel:

    • Un blocco CIDR IPv4 di dimensione /30 dall'intervallo 169.254.0.0/16 per gli indirizzi IPv4 del tunnel interno.

    • Se è stato specificato IPv6 per Tunnel Inside IP Version (Versione IP tunnel interno), un blocco CIDR IPv6 /126 dall'intervallo fd00::/8 per gli indirizzi IPv6 del tunnel interno.

    • La chiave precondivisa IKE (PSK). Sono supportate le seguenti versioni: IKEv1 o IKEv2.

    • Informazioni avanzate sul tunnel, che comprendono le seguenti:

      • Algoritmi di crittografia per le fasi 1 e 2 delle negoziazioni IKE

      • Algoritmi di integrità per le fasi 1 e 2 delle negoziazioni IKE

      • Gruppi Diffie-Hellman per le fasi 1 e 2 delle negoziazioni IKE

      • Versione IKE

      • Durata delle fasi 1 e 2

      • Tempo di margine di emissione nuova chiave

      • Fuzz di emissione nuova chiave

      • Dimensioni finestra di riproduzione

      • Intervallo Dead Peer Detection

      • Azione di timeout di rilevamento peer morti

      • Azione di avvio

    Per ulteriori informazioni su queste opzioni, consulta Opzioni tunnel per la connessione Site-to-Site VPN.

  9. Scegliere Create VPN Connection (Crea connessione VPN). Per creare la connessione Site-to-Site VPN potrebbero essere necessari alcuni minuti.

Per creare una connessione Site-to-Site VPN utilizzando l'API o la riga di comando

Download del file di configurazione

Dopo aver creato la connessione Site-to-Site VPN, scarica le informazioni di configurazione e utilizzale per configurare il gateway del cliente o l'applicazione software.

Importante

Il file di configurazione è solo un esempio e potrebbe non corrispondere alle impostazioni di connessione VPN previste. Ad esempio, specifica i requisiti minimi di IKE versione 1, AES128, SHA1 e DH Group 2 nella maggior parte delle regioni AWS e IKE versione 1, AES128, SHA2 e DH Group 14 nelle regioni AWS GovCloud. Specifica anche le chiavi precondivise per autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare i vantaggi di IKE versione 2, algoritmi di protezione aggiuntivi e gruppi DH e certificati privati.

Se durante la creazione o la modifica della connessione Site-to-Site VPN sono state specificate opzioni di tunnel personalizzate, modificare il file di configurazione di esempio in modo che corrisponda alle impostazioni personalizzate per i tunnel.

Il file contiene anche il valore per l'indirizzo IP esterno del gateway virtuale privato. Questo valore è statico a meno che la connessione VPN in AWS non venga ricreata.

Per scaricare il file di configurazione

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Site-to-Site VPN Connections (Connessioni VPN da sito a sito).

  3. Selezionare la connessione VPN e scegliere Download Configuration (Scarica configurazione).

  4. Selezionare il fornitore, la piattaforma e il software che corrisponde al dispositivo o al software gateway del cliente. Se il dispositivo non è presente nell'elenco, scegliere Generic (Generico). Scegli Download (Scarica).

Configurazione del dispositivo gateway del cliente

Utilizza il file di configurazione per configurare il dispositivo gateway del cliente. Il dispositivo gateway del cliente è un'appliance fisica o un'applicazione software sul tuo lato della connessione VPN da sito a sito. Per ulteriori informazioni, consulta Il dispositivo gateway del cliente.