Esempi di configurazioni di dispositivi gateway per clienti per il routing dinamico

File di configurazione di esempio

Per scaricare un file di configurazione di esempio con valori specifici per la configurazione della connessione VPN da sito a sito, usa la console Amazon VPC, la AWS riga di comando o l'API Amazon EC2. Per ulteriori informazioni, consulta Fase 6: download del file di configurazione.

Puoi anche scaricare file di configurazione di esempio generici per il routing dinamico che non includono valori specifici della configurazione della connessione VPN da sito a sito: .zip dynamic-routing-examples

I file utilizzano valori segnaposto per alcuni componenti. Ad esempio, utilizzano:

• Valori di esempio per l'ID connessione VPN l'ID gateway del cliente e l'ID gateway virtuale privato

• Segnaposto per gli endpoint degli indirizzi IP remoti (esterni) (AWS_ENDPOINT_1 e AWS_ENDPOINT_2) AWS

• Un segnaposto per l'indirizzo IP per l'interfaccia esterna indirizzabile a Internet sul dispositivo gateway del cliente () your-cgw-ip-address

• Un segnaposto per il valore chiave già condiviso () pre-shared-key

• Valori di esempio per indirizzi IP interni del tunnel.

• Valori di esempio per l'impostazione MTU.

Nota

Le impostazioni MTU fornite nei file di configurazione di esempio sono solo esempi. Fai riferimento a Best practice per il dispositivo gateway del cliente per informazioni sull'impostazione del valore MTU ottimale per la tua situazione.

Oltre a fornire valori segnaposto, i file specificano i requisiti minimi per una connessione VPN da sito a sito di AES128, SHA1 e Diffie-Hellman gruppo 2 AWS nella maggior parte delle regioni e AES128, SHA2 e Diffie-Hellman gruppo 14 nelle regioni. AWS GovCloud Specificano inoltre le chiavi precondivise per l'autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare i vantaggi di algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico IPv6.

Nel diagramma seguente viene fornita una panoramica dei diversi componenti configurati nel dispositivo gateway del cliente. Questa include valori di esempio per gli indirizzi IP di interfaccia di tunnel.

Procedure dell'interfaccia utente per il routing dinamico

Di seguito sono riportate alcune procedure di esempio per configurare un dispositivo gateway del cliente utilizzando l'interfaccia utente (se disponibile).

Check Point

Di seguito sono riportati i passaggi per configurare un dispositivo Check Point Security Gateway con R77.10 o versione successiva, utilizzando il portale web Gaia e Check Point. SmartDashboard È anche possibile fare riferimento all'articolo Amazon Web Services (AWS) VPN BGP in Check Point Support Center.

Per configurare l'interfaccia del tunnel

La prima fase consiste nel creare i tunnel VPN e fornire gli indirizzi IP (interni) privati del gateway del cliente E del gateway virtuale privato per ogni tunnel. Per creare il primo tunnel, utilizza le informazioni fornite nella sezione IPSec Tunnel #1 del file di configurazione. Per creare il secondo tunnel, utilizza i valori forniti nella sezione IPSec Tunnel #2 del file di configurazione.

1. Connettersi al gateway di sicurezza su SSH. Se si utilizza la shell non predefinita, modificare in clish eseguendo il seguente comando: clish

2. Imposta l'ASN del gateway del cliente (l'ASN fornito al momento della creazione del gateway del cliente AWS) eseguendo il comando seguente.

   set as 65000

3. Creare l'interfaccia del tunnel per il primo tunnel utilizzando le informazioni fornite nella sezione IPSec Tunnel #1 del file di configurazione. Fornire un nome univoco per il tunnel, ad esempio AWS_VPC_Tunnel_1.

   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436 

4. Ripetere questi comandi per creare il secondo tunnel utilizzando le informazioni fornite nella sezione IPSec Tunnel #2 del file di configurazione. Fornire un nome univoco per il tunnel, ad esempio AWS_VPC_Tunnel_2.

   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436 

5. Impostare l'ASN del gateway virtuale privato.

   set bgp external remote-as 7224 on 

6. Configurare il BGP per il primo tunnel, utilizzando le informazioni fornite nella sezione IPSec Tunnel #1 del file di configurazione.

   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10 

7. Configurare il BGP per il secondo tunnel, utilizzando le informazioni fornite nella sezione IPSec Tunnel #2 del file di configurazione.

   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10 

8. Salvare la configurazione.

   save config

Per creare una policy BGP

Crea una policy BGP che consente di importare route pubblicizzate da AWS. Quindi, configureremo il gateway del cliente per pubblicizzare le route locali ad AWS.

1. Nella interfaccia utente Web Gaia, scegli Advanced Routing (Routing avanzato), Inbound Route Filters (Filtri route in entrata). Scegli Add (Aggiungi) e seleziona Add BGP Policy (Based on AS) (Aggiungi policy BGP (basata su AS)).

2. Per Add BGP Policy (Aggiungi policy BGP), seleziona un valore compreso tra 512 e 1024 nel primo campo e immetti l'ASN del gateway virtuale privato nel secondo campo, ad esempio 7224.

3. Selezionare Salva.

Per pubblicizzare route locali

Le fasi seguenti sono relative alla distribuzione delle route dell'interfaccia locale. Puoi anche ridistribuire route da origini diverse; ad esempio, route statiche o route ottenute tramite protocolli di routing dinamici. Per ulteriori informazioni, consulta la Gaia Advanced Routing R77 Versions Administration Guide.

1. Nella interfaccia utente Web Gaia, scegliere Advanced Routing (Routing avanzato), Routing Redistribution (Ridistribuzione routing). Scegliere Add Redistribution From (Aggiungi ridistribuzione da) e selezionare Interface (Interfaccia).

2. In To Protocol (A protocollo), selezionare l'ASN del gateway virtuale privato, ad esempio 7224.

3. In Interface (Interfaccia), selezionare un'interfaccia interna. Selezionare Salva.

Per definire un nuovo oggetto di rete

Crea un oggetto di rete per ogni tunnel VPN, specificando gli indirizzi IP (esterni) pubblici per il gateway virtuale privato. In seguito questi oggetti vengono aggiunti come gateway satellite per la comunità VPN. Occorre anche creare un gruppo vuoto che agisce come segnaposto per il dominio VPN.

1. Apri il Check Point. SmartDashboard

2. In Groups (Gruppi), aprire il menu contestuale e scegliere Groups (Gruppi), Simple Group (Gruppo semplice). Lo stesso gruppo può essere utilizzato per ogni oggetto di rete.

3. In Network Objects (Oggetti di rete), aprire il menu contestuale (tasto destro del mouse) e scegliere New (Nuovo), Interoperable Device (Dispositivo interoperabile).

4. In Name (Nome), immettere il nome fornito per il tunnel nella fase 1, ad esempio AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.

5. In IPv4 Address (Indirizzo IPv4), immettere l'indirizzo IP esterno del gateway virtuale privato fornito nel file di configurazione, ad esempio 54.84.169.196. Salvare le impostazioni e chiudere la finestra di dialogo.

   

6. Nel riquadro delle categorie a sinistra, scegliere Topology (Topologia).

7. Nella sezione VPN Domain (Dominio VPN), scegliere Manually defined (Definito manualmente), quindi individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Scegli OK.

8. Ripetere queste fasi per creare un secondo oggetto di rete, utilizzando le informazioni fornite nella sezione IPSec Tunnel #2 del file di configurazione.

9. Passare all'oggetto di rete gateway, aprire il gateway o l'oggetto cluster e scegliere Topology (Topologia).

10. Nella sezione VPN Domain (Dominio VPN), scegliere Manually defined (Definito manualmente), quindi individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Scegli OK.

    Nota

    È possibile mantenere qualsiasi dominio VPN esistente che è stato configurato. Tuttavia, assicurarsi che host e reti utilizzate o servite dalla nuova connessione VPN non siano dichiarate in tale dominio VPN, in particolare se il dominio VPN viene derivato automaticamente.

Nota

Se stai utilizzando cluster, modifica la topologia e definisci le interfacce come interfacce del cluster. Utilizza gli indirizzi IP specificati nel file di configurazione.

Per creare e configurare le impostazioni comunità VPN, IKE e IPsec

Crea quindi una comunità VPN nel gateway Check Point a cui aggiungere oggetti di rete (dispositivi interoperabili) per ogni tunnel. Vengono anche configurate le impostazioni Internet Key Exchange (IKE) e IPsec.

1. Dalle proprietà del gateway, scegliere IPSec VPN (VPN IPSec) nel riquadro delle categorie.

2. Selezionare Communities (Comunità), New (Nuova), Star Community (Comunità stella).

3. Fornire un nome per la comunità (ad esempio, AWS_VPN_Star), quindi selezionare Center Gateways (Gateway centrali) nel riquadro delle categorie.

4. Selezionare Add (Aggiungi) e aggiungere il gateway o il cluster all'elenco dei gateway partecipanti.

5. Nel riquadro delle categorie, selezionare Satellite Gateways (Gateway satellite), Add (Aggiungi) e aggiungere i dispositivi interoperabili creati in precedenza (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) all'elenco di gateway partecipanti.

6. Nel riquadro delle categorie, selezionare Encryption (Crittografia). Nella sezione Encryption Method (Metodo di crittografia), scegliere IKEv1 for IPv4 and IKEv2 for IPv6 (IKEv1 per IPv4 e IKEv2 per IPv6). Nella sezione Encryption Suite (Suite di crittografia), scegliere Custom (Personalizzato), Custom Encryption (Crittografia personalizzata).

   Nota

   È necessario selezionare l'opzione IKEv1 for IPv4 and IKEv2 for IPv6 (IKEv1 per IPv4 e IKEv2 per IPv6) per la funzionalità IKEv1.

7. Nella finestra di dialogo, configurare le proprietà di crittografia come riportato di seguito e, al termine, scegliere OK:

   • Proprietà IKE Security Association (fase 1):

     • Perform key exchange Encryption with (Esegui crittografia scambio delle chiavi con): AES-128

     • Perform data integrity with (Esegui integrità dei dati con): SHA-1

   • Proprietà IPSec Security Association (fase 2):

     • Perform IPsec data encryption with (Esegui crittografia dati IPsec con): AES-128

     • Perform data integrity with (Esegui integrità dei dati con): SHA-1

8. Nel riquadro delle categorie, selezionare Tunnel Management (Gestione tunnel). Selezionare Set Permanent Tunnels (Imposta tunnel permanenti), On all tunnels in the community (Su tutti i tunnel nelle comunità). Nella sezione VPN Tunnel Sharing (Condivisione tunnel VPN), scegliere One VPN tunnel per Gateway pair (Un tunnel VPN per coppia gateway).

9. Nel riquadro delle categorie, espandere Advanced Settings (Impostazioni avanzate) e scegliere Shared Secret (Segreto condiviso).

10. Selezionare il nome peer per il primo tunnel, scegliere Edit (Modifica) e immettere la chiave precondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #1.

11. Selezionare il nome peer per il secondo tunnel, scegliere Edit (Modifica) e immettere la chiave precondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #2.

    

12. Nella categoria Advanced Settings (Impostazioni avanzate), scegliere Advanced VPN Properties (Proprietà VPN avanzate), configurare le proprietà come segue e, al termine, scegliere OK:

    • IKE (fase 1):

      • Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman): Group 2 (1024 bit)

      • Renegotiate IKE security associations every (Rinegozia associazioni sicurezza IKE ogni) 480 minutes (minuti)

    • IPsec (fase 2):

      • Selezionare Use Perfect Forward Secrecy (Utilizza Perfect Forward Secrecy)

      • Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman): Group 2 (1024 bit)

      • Renegotiate IPsec security associations every (Rinegozia associazioni sicurezza IPsec ogni) 3600 seconds (secondi)

Per creare regole del firewall

Viene quindi configurata una policy con regole del firewall e regole di corrispondenza direzionali che consentono la comunicazione tra il VPC e la rete locale. Viene quindi installata la policy nel gateway.

1. Nella SmartDashboard, scegli Proprietà globali per il tuo gateway. Nel riquadro delle categorie, espandere VPN e scegliere Advanced (Avanzate).

2. Selezionare Enable VPN Directional Match in VPN Column (Abilita corrispondenza VPN direzionale nella colonna VPN) e scegliere OK.

3. Nella SmartDashboard, scegli Firewall e crea una politica con le seguenti regole:

   • Consente la comunicazione tra la sottorete VPC e la rete locale sui protocolli richiesti.

   • Consente la comunicazione tra la rete locale e la sottorete VPC sui protocolli richiesti.

4. Aprire il menu contestuale per la cella nella colonna VPN e scegliere Edit Cell (Modifica cella).

5. Nella finestra di dialogo VPN Match Conditions (Condizioni corrispondenza VPN), scegliere Match traffic in this direction only (Corrispondenza traffico solo in questa direzione). Creare le seguenti regole di corrispondenza direzionale scegliendo Add (Aggiungi) per ognuna e, al termine, selezionare OK:

   • internal_clear > comunità VPN (la comunità stella VPN creata in precedenza, ad esempio AWS_VPN_Star)

   • Comunità VPN > Comunità VPN

   • Community VPN > internal_clear

6. Nel SmartDashboard, scegli Policy, Installa.

7. Nella finestra di dialogo, scegliere il gateway e quindi OK per installare la policy.

Per modificare la proprietà tunnel_keepalive_method

Il gateway Check Point può utilizzare Dead Peer Detection (DPD) per identificare quando un'associazione IKE è inattiva. Per configurare DPD per un tunnel permanente, il tunnel permanente deve essere configurato nella community AWS VPN.

Per impostazione predefinita, la proprietà tunnel_keepalive_method per un gateway VPN è impostata su tunnel_test. Occorre modificare il valore in dpd. Ogni gateway VPN nella community VPN che richiede il monitoraggio DPD deve essere configurato con la proprietà tunnel_keepalive_method, inclusi eventuali gateway VPN di terze parti. Non è possibile configurare meccanismi di monitoraggio diversi per lo stesso gateway.

Puoi aggiornare la proprietà tunnel_keepalive_method utilizzando lo strumento GuiDBedit.

1. Apri il Check Point SmartDashboard e scegli Security Management Server, Domain Management Server.

2. Selezionare File, Database Revision Control... (Controllo revisione database...) e creare una snapshot di revisione.

3. Chiudi tutte le SmartConsole finestre, come SmartView Tracker e SmartView Monitor. SmartDashboard

4. Avviare lo strumento GuiBDedit. Per ulteriori informazioni, consulta l'articolo Check Point Database Tool in Check Point Support Center.

5. Selezionare Security Management Server (Server di gestione della sicurezza), Domain Management Server (Server di gestione domini).

6. Nel riquadro in alto a sinistra, scegliere Table (Tabella), Network Objects (Oggetti di rete), network_objects.

7. Nel riquadro in alto a destra, selezionare l'oggetto Security Gateway (Gateway di sicurezza), Cluster pertinente.

8. Premere CTRL+F o utilizzare il menu Search (Cerca) per cercare quanto segue: tunnel_keepalive_method.

9. Nel riquadro inferiore, aprire il menu contestuale per tunnel_keepalive_method e selezionare Edit... (Modifica...). Scegliere dpd, OK.

10. Ripetere le fasi da 7 a 9 per ogni gateway che fa parte della community AWS VPN.

11. Selezionare File, Save All (Salva tutto).

12. Chiudere lo strumento GuiDBedit.

13. Apri il Check Point SmartDashboard e scegli Security Management Server, Domain Management Server.

14. Installare la policy nell'oggetto Security Gateway (Gateway di sicurezza), Cluster pertinente.

Per ulteriori informazioni, consulta l'articolo New VPN features in R77.10 in Check Point Support Center.

Per abilitare TCP MSS Clamping

TCP MSS Clamping riduce la dimensione segmento massima dei pacchetti TCP per impedire la frammentazione pacchetti.

1. Accedere alla seguente directory: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. AprireCheck Point Database Tool eseguendo il file GuiDBEdit.exe.

3. Selezionare Table (Tabella), Global Properties (Proprietà globali), properties (proprietà).

4. In fw_clamp_tcp_mss, scegliere Edit (Modifica). Modificare il valore in true, quindi scegliere OK.

Per verificare lo stato del tunnel

Puoi verificare lo stato del tunnel eseguendo il seguente comando dallo strumento a riga di comando in modalità esperto.

vpn tunnelutil

Nelle opzioni visualizzate, scegli 1 per verificare le associazioni IKE e 2 per verificare le associazioni IPsec.

Puoi anche utilizzare Check Point Smart Tracker Log per verificare che i pacchetti sulla connessione siano crittografati. Ad esempio, il seguente log indica che un pacchetto al VPC è stato inviato su tunnel 1 ed è stato crittografato.

SonicWALL

Puoi configurare un dispositivo SonicWALL tramite l'interfaccia di gestione SonicOS. Per ulteriori informazioni sulla configurazione dei tunnel, consulta Procedure dell'interfaccia utente per il routing statico.

Non puoi configurare BGP per il dispositivo utilizzando l'interfaccia di gestione. Utilizza invece le istruzioni della riga di comando fornite nel file di configurazione di esempio precedente, nella sezione denominata BGP.

Ulteriori informazioni per dispositivi Cisco

Alcuni dispositivi Cisco ASA supportano soltanto la modalità Active/Standby. Quando utilizzi questi Cisco ASA, puoi avere un solo tunnel attivo alla volta. Il tunnel in standby diventa attivo se il primo tunnel non è più disponibile. Con questa ridondanza, dovresti disporre sempre di una connessione al VPC via uno dei tunnel.

Cisco ASA versione 9.7.1 o versione successiva supporta la modalità attivo/attivo. Quando utilizzi i dispositivi Cisco ASA, entrambi i tunnel possono essere contemporaneamente attivi. Con questa ridondanza, dovresti disporre sempre di una connessione al VPC via uno dei tunnel.

Per dispositivi Cisco, è necessario effettuare le seguenti operazioni:

• Configurare l'interfaccia esterna.

• Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.

• Assicurarti che il numero di sequenza della policy della lista Crypto sia univoco.

• Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.

• Verificare che il numero di monitoraggio SLA sia univoco.

• Configurare l'intero routing interno che sposta il traffico tra il dispositivo gateway del cliente e la tua rete locale.

Ulteriori informazioni per dispositivi Juniper

Le seguenti informazioni si applicano ai file di configurazione di esempio per i dispositivi gateway del cliente Juniper serie J e SRX.

• L'interfaccia esterna è indicata come ge-0/0/0.0.

• Gli ID dell'interfaccia di tunnel sono indicati come st0.1 e st0.2.

• Assicurarsi di identificare la zona di sicurezza per l'interfaccia di collegamento (le informazioni di configurazione utilizzano la zona predefinita "untrust").

• Assicurarsi di identificare la zona di sicurezza per l'interfaccia interna (le informazioni di configurazione utilizzano la zona predefinita "trust").

Test in corso

Per ulteriori informazioni sul test della connessione Site-to-Site VPN, consulta Test di una connessione VPN site-to-site.