Esempio di configurazioni del dispositivo gateway del cliente per il routing statico - AWS Site-to-Site VPN
File di configurazione di esempioProcedure dell'interfaccia utente per il routing staticoUlteriori informazioni per dispositivi CiscoTest

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio di configurazioni del dispositivo gateway del cliente per il routing statico

File di configurazione di esempio

Per il download di un file di configurazione di esempio con valori specifici per la configurazione della connessione Site-to-Site VPN, utilizza la console Amazon VPC, la riga di comando AWS o l'API Amazon EC2. Per ulteriori informazioni, consulta . Fase 6: download del file di configurazione.

È inoltre possibile il download di file di configurazione generici di esempio per il routing statico che non includono valori specifici per la configurazione della connessione Site-to-Site VPN: static-routing-examples.zip

I file utilizzano valori segnaposto per alcuni componenti. Ad esempio, utilizzano:

  • Valori di esempio per l'ID connessione VPN l'ID gateway del cliente e l'ID gateway virtuale privato

  • Segnaposto per endpoint AWS dell'indirizzo IP remoto (esterno) (AWS_ENDPOINT_1 e AWS_ENDPOINT_2)

  • Un segnaposto per l'indirizzo IP per l'interfaccia esterna Internet instradabile sul dispositivo gateway del cliente (your-cgw-ip-address).

  • Un segnaposto per la chiave-valore pre-condivisa (chiave pre-condivisa)

  • Valori di esempio per indirizzi IP interni del tunnel.

  • Valori di esempio per l'impostazione MTU.

Nota

Le impostazioni MTU fornite nei file di configurazione di esempio sono solo esempi. Fai riferimento a Best practice per il dispositivo gateway del cliente per informazioni sull'impostazione del valore MTU ottimale per la tua situazione.

Oltre a fornire valori segnaposto, i file specificano i requisiti minimi per una connessione Site-to-Site VPN del AES128, SHA1 e Diffie-Hellman group 2 nella maggior parte dei Regioni AWS e AES128, SHA2 e Diffie-Hellman group 14 nel Regioni AWS GovCloud. Specificano inoltre le chiavi precondivise per l'autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare i vantaggi di algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico IPv6.

Nel diagramma seguente viene fornita una panoramica dei diversi componenti configurati nel dispositivo gateway del cliente. Questa include valori di esempio per gli indirizzi IP di interfaccia di tunnel.

Dispositivo gateway del cliente con routing statico

Procedure dell'interfaccia utente per il routing statico

Di seguito sono riportate alcune procedure di esempio per configurare un dispositivo gateway del cliente utilizzando l'interfaccia utente (se disponibile).

Check Point

Di seguito sono riportate le fasi per configurare il dispositivo gateway del cliente per un dispositivo Check Point Security Gateway che esegue R77.10 o versione successiva, utilizzando il sistema operativo Gaia e Check Point SmartDashboard. Puoi anche fare riferimento all'articolo Check Point Security Gateway IPsec VPN to Amazon Web Services VPC nel Check Point Support Center.

Per configurare l'interfaccia del tunnel

La prima fase consiste nel creare i tunnel VPN e fornire gli indirizzi IP (interni) privati del gateway del cliente E del gateway virtuale privato per ogni tunnel. Per creare il primo tunnel, utilizza le informazioni fornite nella sezione IPSec Tunnel #1 del file di configurazione. Per creare il secondo tunnel, utilizza i valori forniti nella sezione IPSec Tunnel #2 del file di configurazione.

  1. Aprire il portale Gaia del dispositivo Check Point Security Gateway.

  2. Selezionare Network Interfaces (Interfacce di rete), Add (Aggiungi), VPN Tunnel (Tunnel VPN).

  3. Nella finestra di dialogo, configurare le impostazioni come riportato di seguito e, al termine, scegliere OK:

    • In VPN Tunnel ID (ID tunnel VPN), immettere un valore univoco, ad esempio 1.

    • In Peer, immettere un nome univoco per il tunnel, ad esempio AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.

    • Assicurarsi che Numbered (Numerato) sia selezionato e in Local Address (Indirizzo locale) immettere l'indirizzo IP specificato per CGW Tunnel IP nel file di configurazione, ad esempio, 169.254.44.234.

    • In Remote Address (Indirizzo remoto), immettere l'indirizzo IP specificato per VGW Tunnel IP nel file di configurazione, ad esempio, 169.254.44.233.

    Finestra di dialogo Add VPN Tunnel (Aggiungi tunnel VPN) di Check Point

  4. Connettersi al gateway di sicurezza su SSH. Se si utilizza la shell non predefinita, modificare in clish eseguendo il seguente comando: clish

  5. Per tunnel 1, eseguire il seguente comando.

    set interface vpnt1 mtu 1436

    Per tunnel 2, eseguire il seguente comando.

    set interface vpnt2 mtu 1436

  6. Ripetere queste fasi per creare un secondo tunnel, utilizzando le informazioni nella sezione IPSec Tunnel #2 del file di configurazione.

Per configurare le route statiche

In questa fase specifica la route statica alla sottorete nel VPC per ogni tunnel in modo da poter inviare traffico attraverso le interfacce di tunnel. Il secondo tunnel consente il failover nel caso si verifichi un problema con il primo tunnel. Se viene rilevato un problema, la route statica basata su policy viene rimossa dalla tabella di routing e viene attivato il secondo instradamento. Devi inoltre abilitare il gateway Check Point per eseguire il ping dell'altra estremità del tunnel per verificare se il tunnel è attivo.

  1. Nel portale Gaia, scegliere IPv4 Static Routes (Route statiche IPv4), Add (Aggiungi).

  2. Specificare il CIDR della sottorete, ad esempio, 10.28.13.0/24.

  3. Selezionare Add Gateway (Aggiungi gateway), IP Address (Indirizzo IP).

  4. Immettere l'indirizzo IP specificato per VGW Tunnel IP nel file di configurazione (ad esempio 169.254.44.233) e specificare la priorità 1.

  5. Selezionare Ping.

  6. Ripetere le fasi 3 e 4 per il secondo tunnel utilizzando il valore VGW Tunnel IP nella sezione IPSec Tunnel #2 del file di configurazione. Specificare la priorità 2.

    Finestra di dialogo Edit Destination Route (Modifica route di destinazione) di Check Point

  7. Selezionare Salva.

Se utilizzi un cluster, ripeti le fasi precedenti per gli altri membri del cluster.

Per definire un nuovo oggetto di rete

In questa fase, viene creato un oggetto di rete per ogni tunnel VPN, specificando gli indirizzi IP (esterni) pubblici per il gateway virtuale privato. In seguito questi oggetti vengono aggiunti come gateway satellite per la comunità VPN. Occorre anche creare un gruppo vuoto che agisce come segnaposto per il dominio VPN.

  1. Aprire Check Point SmartDashboard.

  2. In Groups (Gruppi), aprire il menu contestuale e scegliere Groups (Gruppi), Simple Group (Gruppo semplice). Lo stesso gruppo può essere utilizzato per ogni oggetto di rete.

  3. In Network Objects (Oggetti di rete), aprire il menu contestuale (tasto destro del mouse) e scegliere New (Nuovo), Interoperable Device (Dispositivo interoperabile).

  4. In Name (Nome), immettere il nome fornito per il tunnel, ad esempio AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.

  5. In IPv4 Address (Indirizzo IPv4), immettere l'indirizzo IP esterno del gateway virtuale privato fornito nel file di configurazione, ad esempio 54.84.169.196. Salvare le impostazioni e chiudere la finestra di dialogo.

    Finestra di dialogo Interoperable Device (Dispositivo interoperabile) di Check Point

  6. In SmartDashboard, aprire le proprietà del gateway e nel riquadro delle categorie, scegliere Topology (Topologia).

  7. Per recuperare la configurazione dell'interfaccia, scegliere Get Topology (Ottieni topologia).

  8. Nella sezione VPN Domain (Dominio VPN), scegliere Manually defined (Definito manualmente), quindi individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Scegli OK.

    Nota

    È possibile mantenere qualsiasi dominio VPN esistente che è stato configurato. Tuttavia, assicurarsi che host e reti utilizzate o servite dalla nuova connessione VPN non siano dichiarate in tale dominio VPN, in particolare se il dominio VPN viene derivato automaticamente.

  9. Ripetere queste fasi per creare un secondo oggetto di rete, utilizzando le informazioni fornite nella sezione IPSec Tunnel #2 del file di configurazione.

Nota

Se stai utilizzando cluster, modifica la topologia e definisci le interfacce come interfacce del cluster. Utilizza gli indirizzi IP specificati nel file di configurazione.

Per creare e configurare le impostazioni comunità VPN, IKE e IPsec

In questa fase, viene creata una comunità VPN nel gateway Check Point a cui aggiungere oggetti di rete (dispositivi interoperabili) per ogni tunnel. Vengono anche configurate le impostazioni Internet Key Exchange (IKE) e IPsec.

  1. Dalle proprietà del gateway, scegliere IPSec VPN (VPN IPSec) nel riquadro delle categorie.

  2. Selezionare Communities (Comunità), New (Nuova), Star Community (Comunità stella).

  3. Fornire un nome per la comunità (ad esempio, AWS_VPN_Star), quindi selezionare Center Gateways (Gateway centrali) nel riquadro delle categorie.

  4. Selezionare Add (Aggiungi) e aggiungere il gateway o il cluster all'elenco dei gateway partecipanti.

  5. Nel riquadro delle categorie, selezionare Satellite Gateways (Gateway satellite), Add (Aggiungi), quindi aggiungere i dispositivi interoperabili creati in precedenza (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) all'elenco di gateway partecipanti.

  6. Nel riquadro delle categorie, selezionare Encryption (Crittografia). Nella sezione Encryption Method (Metodo di crittografia), scegliere IKEv1 only (Solo IKEv1). Nella sezione Encryption Suite (Suite di crittografia), scegliere Custom (Personalizzato), Custom Encryption (Crittografia personalizzata).

  7. Nella finestra di dialogo, configurare le proprietà di crittografia come riportato di seguito e, al termine, scegliere OK:

    • Proprietà IKE Security Association (fase 1):

      • Perform key exchange Encryption with (Esegui crittografia scambio delle chiavi con): AES-128

      • Perform data integrity with (Esegui integrità dei dati con): SHA-1

    • Proprietà IPSec Security Association (fase 2):

      • Perform IPsec data encryption with (Esegui crittografia dati IPsec con): AES-128

      • Perform data integrity with (Esegui integrità dei dati con): SHA-1

  8. Nel riquadro delle categorie, selezionare Tunnel Management (Gestione tunnel). Selezionare Set Permanent Tunnels (Imposta tunnel permanenti), On all tunnels in the community (Su tutti i tunnel nelle comunità). Nella sezione VPN Tunnel Sharing (Condivisione tunnel VPN), scegliere One VPN tunnel per Gateway pair (Un tunnel VPN per coppia gateway).

  9. Nel riquadro delle categorie, espandere Advanced Settings (Impostazioni avanzate) e scegliere Shared Secret (Segreto condiviso).

  10. Selezionare il nome peer per il primo tunnel, scegliere Edit (Modifica) e immettere la chiave precondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #1.

  11. Selezionare il nome peer per il secondo tunnel, scegliere Edit (Modifica) e immettere la chiave precondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #2.

    Finestra di dialogo Interoperable Shared Secret (Segreto condiviso interoperabile) di Check Point

  12. Nella categoria Advanced Settings (Impostazioni avanzate), scegliere Advanced VPN Properties (Proprietà VPN avanzate), configurare le proprietà come segue e, al termine, scegliere OK:

    • IKE (fase 1):

      • Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman: Group 2

      • Renegotiate IKE security associations every (Rinegozia associazioni sicurezza IKE ogni) 480 minutes (minuti)

    • IPsec (fase 2):

      • Selezionare Use Perfect Forward Secrecy (Utilizza Perfect Forward Secrecy)

      • Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman: Group 2

      • Renegotiate IPsec security associations every (Rinegozia associazioni sicurezza IPsec ogni) 3600 seconds (secondi)

Per creare regole del firewall

In questa fase viene configurata una policy con regole del firewall e regole di corrispondenza direzionali che consentono la comunicazione tra il VPC e la rete locale. Viene quindi installata la policy nel gateway.

  1. In SmartDashboard, scegliere Global Properties (Proprietà globali) per il gateway. Nel riquadro delle categorie, espandere VPN e scegliere Advanced (Avanzate).

  2. Selezionare Enable VPN Directional Match in VPN Column (Abilita corrispondenza VPN direzionale nella colonna VPN) e salvare le modifiche.

  3. In SmartDashboard, scegliere Firewall e creare una policy con le seguenti regole:

    • Consente la comunicazione tra la sottorete VPC e la rete locale sui protocolli richiesti.

    • Consente la comunicazione tra la rete locale e la sottorete VPC sui protocolli richiesti.

  4. Aprire il menu contestuale per la cella nella colonna VPN e scegliere Edit Cell (Modifica cella).

  5. Nella finestra di dialogo VPN Match Conditions (Condizioni corrispondenza VPN), scegliere Match traffic in this direction only (Corrispondenza traffico solo in questa direzione). Creare le seguenti regole di corrispondenza direzionale scegliendo Add (Aggiungi) per ognuna e, al termine, selezionare OK:

    • internal_clear > comunità VPN (la comunità stella VPN creata in precedenza, ad esempio, AWS_VPN_Star)

    • Comunità VPN > Comunità VPN

    • Comunità VPN > internal_clear

  6. In SmartDashboard, selezionare Policy, Install (Installa).

  7. Nella finestra di dialogo, scegliere il gateway e quindi OK per installare la policy.

Per modificare la proprietà tunnel_keepalive_method

Il gateway Check Point può utilizzare Dead Peer Detection (DPD) per identificare quando un'associazione IKE è inattiva. Per configurare DPD per un tunnel permanente, quest'ultimo deve essere configurato nella community AWS VPN (fare riferimento alla fase 8).

Per impostazione predefinita, la proprietà tunnel_keepalive_method per un gateway VPN è impostata su tunnel_test. Occorre modificare il valore in dpd. Ogni gateway VPN nella community VPN che richiede il monitoraggio DPD deve essere configurato con la proprietà tunnel_keepalive_method, inclusi eventuali gateway VPN di terze parti. Non è possibile configurare meccanismi di monitoraggio diversi per lo stesso gateway.

Puoi aggiornare la proprietà tunnel_keepalive_method utilizzando lo strumento GuiDBedit.

  1. Aprire Check Point SmartDashboard e scegliere Security Management Server (Server di gestione della sicurezza), Domain Management Server (Server di gestione domini).

  2. Selezionare File, Database Revision Control... (Controllo revisione database...) e creare una snapshot di revisione.

  3. Chiudere tutte le finestre SmartConsole, ad esempio SmartDashboard, SmartView Tracker e SmartView Monitor.

  4. Avviare lo strumento GuiBDedit. Per ulteriori informazioni, consulta l'articolo Check Point Database Tool in Check Point Support Center.

  5. Selezionare Security Management Server (Server di gestione della sicurezza), Domain Management Server (Server di gestione domini).

  6. Nel riquadro in alto a sinistra, scegliere Table (Tabella), Network Objects (Oggetti di rete), network_objects.

  7. Nel riquadro in alto a destra, selezionare l'oggetto Security Gateway (Gateway di sicurezza), Cluster pertinente.

  8. Premere CTRL+F o utilizzare il menu Search (Cerca) per cercare quanto segue: tunnel_keepalive_method.

  9. Nel riquadro inferiore aprire il menu contestuale per tunnel_keepalive_method e scegliere Edit... (Modifica...). Scegliere dpd, quindi selezionare OK.

  10. Ripetere le fasi da 7 a 9 per ogni gateway che fa parte della community AWS VPN.

  11. Selezionare File, Save All (Salva tutto).

  12. Chiudere lo strumento GuiDBedit.

  13. Aprire Check Point SmartDashboard e scegliere Security Management Server (Server di gestione della sicurezza), Domain Management Server (Server di gestione domini).

  14. Installare la policy nell'oggetto Security Gateway (Gateway di sicurezza), Cluster pertinente.

Per ulteriori informazioni, consulta l'articolo New VPN features in R77.10 in Check Point Support Center.

Per abilitare TCP MSS Clamping

TCP MSS Clamping riduce la dimensione segmento massima dei pacchetti TCP per impedire la frammentazione pacchetti.

  1. Accedere alla seguente directory: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. AprireCheck Point Database Tool eseguendo il file GuiDBEdit.exe.

  3. Selezionare Table (Tabella), Global Properties (Proprietà globali), properties (proprietà).

  4. In fw_clamp_tcp_mss, scegliere Edit (Modifica). Modificare il valore in true e scegliere OK.

Per verificare lo stato del tunnel

Puoi verificare lo stato del tunnel eseguendo il seguente comando dallo strumento a riga di comando in modalità esperto.

vpn tunnelutil

Nelle opzioni visualizzate, scegli 1 per verificare le associazioni IKE e 2 per verificare le associazioni IPsec.

Puoi anche utilizzare Check Point Smart Tracker Log per verificare che i pacchetti sulla connessione siano crittografati. Ad esempio, il seguente log indica che un pacchetto al VPC è stato inviato su tunnel 1 ed è stato crittografato.

File di log di Check Point
SonicWALL

La procedura seguente mostra come configurare i tunnel VPN nel dispositivo SonicWALL tramite l'interfaccia di gestione SonicOS.

Per configurare i tunnel

  1. Aprire l'interfaccia di gestione SonicOS di SonicWALL

  2. Nel riquadro a sinistra, scegliere VPN, Settings (Impostazioni). In VPN Policies (Policy VPN), scegliere Add... (Aggiungi...).

  3. Nella finestra della policy VPN della scheda General (Generale) , completa le seguenti informazioni:

    • Policy Type (Tipo di policy): scegliere Tunnel Interface (Interfaccia tunnel).

    • Authentication Method (Metodo di autenticazione): selezionare IKE using Preshared Secret (IKE con segreto precondiviso).

    • Name (Nome): inserire un nome per la policy VPN. Ti consigliamo di utilizzare il nome dell'ID VPN fornito nel file di configurazione.

    • Nome o indirizzo del gateway primario IPsec: immetti l'indirizzo IP del gateway virtuale privato fornito nel file di configurazione, ad esempio 72.21.209.193.

    • IPsec Secondary Gateway Name or Address (Nome o indirizzo del gateway secondario IPsec): lasciare il valore predefinito.

    • Shared Secret (Segreto condiviso): immettere la chiave già condivisa fornita nel file di configurazione e immetterla nuovamente in Confirm Shared Secret (Conferma segreto condiviso).

    • Local IKE ID (ID IKE locale): immettere l'indirizzo IPv4 del gateway del cliente (il dispositivo SonicWALL).

    • ID IKE in peering: immetti l'indirizzo IPv4 del gateway virtuale privato.

  4. Nella scheda Network (Rete), completare le seguenti informazioni:

    • In Local Networks (Reti locali), scegliere Any address (Qualsiasi indirizzo). Suggeriamo questa opzione per evitare problemi di connettività dalla rete locale.

    • In Remote Networks (Reti locali), selezionare Choose a destination network from list (Scegli una rete di destinazione dall'elenco). Crea un oggetto dell'indirizzo con il blocco CIDR del VPC in AWS.

  5. Nella scheda Proposals (Proposte), completare le seguenti informazioni.

    • In IKE (Phase 1) Proposal (Proposta IKE fase 1), segui la procedura riportata di seguito:

      • Exchange (Scambio): scegliere Main Mode (Modalità principale).

      • DH Group (Gruppo DH): immettere un valore per il gruppo Diffie-Hellman; ad esempio 2.

      • Encryption (Crittografia): selezionare AES-128 o AES-256.

      • Authentication (Autenticazione): selezionare SHA1 o SHA256.

      • Life Time (Durata): immettere 28800.

    • In IKE (Phase 2) Proposal (Proposta IKE fase 2), segui la procedura riportata di seguito:

      • Protocol (Protocollo): selezionare ESP.

      • Encryption (Crittografia): selezionare AES-128 o AES-256.

      • Authentication (Autenticazione): selezionare SHA1 o SHA256.

      • Selezionare la casella di controllo Enable Perfect Forward Secrecy (Abilita Perfect Forward Secrecy) e scegliere il gruppo Diffie-Hellman.

      • Life Time (Durata): immettere 3600.

    Importante

    Se il gateway virtuale privato è stato creato prima dell'ottobre 2015, dovrai specificare gruppo Diffie-Hellman 2, AES-128 e SHA1 per entrambe le fasi.

  6. Nella scheda Advanced (Avanzate), completare le seguenti informazioni:

    • Selezionare Enable Keep Alive (Abilita keep-alive).

    • Selezionare Enable Phase2 Dead Peer Detection (Abilita fase 2 della funzione Dead Peer Detection) e immettere quanto segue:

      • In Dead Peer Detection Interval (Intervallo Dead Peer Detection, immettere 60 (il minimo accettato dal dispositivo SonicWALL).

      • In Failure Trigger Level (Livello di attivazione dell'errore, immettere 3.

    • In VPN Policy bound to (Policy VPN associata a), selezionare Interface X1 (Interfaccia X1). Questa interfaccia è generalmente progettata per gli indirizzi IP pubblici.

  7. Scegli OK. Nella pagina Settings (Impostazioni), la casella di controllo Enable (Abilita) relativa al tunnel deve Essere selezionata per impostazione predefinita. Un punto verde indica che il tunnel è attivo.

Ulteriori informazioni per dispositivi Cisco

Alcuni dispositivi Cisco ASA supportano soltanto la modalità Active/Standby. Quando utilizzi questi Cisco ASA, puoi avere un solo tunnel attivo alla volta. Il tunnel in standby diventa attivo se il primo tunnel non è più disponibile. Con questa ridondanza, dovresti disporre sempre di una connessione al VPC via uno dei tunnel.

Cisco ASA versione 9.7.1 o versione successiva supporta la modalità attivo/attivo. Quando utilizzi i dispositivi Cisco ASA, entrambi i tunnel possono essere contemporaneamente attivi. Con questa ridondanza, dovresti disporre sempre di una connessione al VPC via uno dei tunnel.

Per dispositivi Cisco, è necessario effettuare le seguenti operazioni:

  • Configurare l'interfaccia esterna.

  • Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.

  • Assicurarti che il numero di sequenza della policy della lista Crypto sia univoco.

  • Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.

  • Verificare che il numero di monitoraggio SLA sia univoco.

  • Configurare l'intero routing interno che sposta il traffico tra il dispositivo gateway del cliente e la tua rete locale.

Test

Per ulteriori informazioni sul test della connessione Site-to-Site VPN, consulta Test di una connessione VPN site-to-site.