Il dispositivo gateway del cliente - AWS Site-to-Site VPN

Il dispositivo gateway del cliente

Un dispositivo gateway del cliente è un'appliance fisica o software che si possiede o gestisce nella rete locale (sul lato di una connessione VPN da sito a sito). L'utente o l'amministratore di rete deve configurare il dispositivo in modo che funzioni con la connessione VPN da sito a sito.

Il diagramma sottostante mostra la rete, il dispositivo gateway del cliente, la connessione VPN che va al gateway virtuale privato (che è collegato al VPC). Le due linee tra il dispositivo gateway del cliente e il gateway virtuale privato rappresentano i tunnel per la connessione VPN. Se all'interno di AWS è presente un errore dispositivo, la connessione VPN esegue automaticamente il failover al secondo tunnel per non interrompere l'accesso. Occasionalmente, AWS esegue anche manutenzione di routine sul gateway virtuale privato, che potrebbe brevemente disabilitare uno dei due tunnel della connessione VPN. La connessione VPN esegue automaticamente il failover al secondo tunnel durante l'esecuzione della manutenzione. Durante la configurazione del dispositivo gateway del cliente, è pertanto importante configurare entrambi i tunnel.


				Panoramica del gateway del cliente di alto livello

Per le fasi di configurazione di una connessione VPN, consulta Nozioni di base. Durante questo processo, viene creata una risorsa gateway del cliente in AWS che fornisce informazioni a AWS sul dispositivo, ad esempio, l'indirizzo IP pubblico. Per ulteriori informazioni, consulta Opzioni gateway del cliente per la connessione Site-to-Site VPN. La risorsa gateway del cliente in AWS non configura o crea il dispositivo gateway del cliente. È necessario configurare autonomamente il dispositivo.

Dopo aver creato la connessione VPN, scarica il file di configurazione dalla console Amazon VPC, contenente informazioni specifiche per la connessione VPN. Utilizza queste informazioni per configurare il dispositivo gateway del cliente. In alcuni casi, i file di configurazione specifici del dispositivo sono disponibili per i dispositivi che sono stati sottoposti a test. In caso contrario, puoi scaricare il file di configurazione generico.

Dispositivi gateway del cliente sottoposti a test

Il dispositivo gateway del cliente può essere un'appliance fisica o software. Abbiamo testato e fornito informazioni di configurazione per i seguenti dispositivi:

  • Check Point Security Gateway che Esegue il software R77.10 (o versioni successive)

  • Cisco ASA che Esegue il software Cisco ASA 8.2 (o versioni successive)

  • Cisco IOS che Esegue il software Cisco IOS 12.4 (o versioni successive)

  • SonicWALL con software SonicOS 5.9 (o versioni successive)

  • Fortinet Fortigate serie 40+ con software FortiOS 4.0 (o versione successiva)

  • Juniper J-Series che Esegue il software JunOS 9.5 (o versioni successive)

  • Juniper SRX che Esegue il software JunOS 11.0 (o versioni successive)

  • Juniper SSG con software ScreenOS 6.1 o 6.2 (o versione successiva)

  • Juniper ISG con software ScreenOS 6.1 o 6.2 (o versione successiva)

  • Netgate pfSense che Esegue il software OS 2.2.5 (o versioni successive).

  • Software Palo Alto Networks PANOS 4.1.2 (o versioni successive)

  • Router Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 e SRT100

  • Microsoft Windows Server 2008 R2 (o versione successiva)

  • Microsoft Windows Server 2012 R2 (o versione successiva)

  • Software Zyxel Zywall Series 4.20 (o versioni successive) per connessioni VPN instradate staticamente o software 4.30 (o versioni successive) per connessioni VPN instradate dinamicamente

Se uno di questi dispositivi è disponibile ma la configurazione IPsec utilizzata è diversa da quella presentata nel file di configurazione, puoi modificare la configurazione suggerita per soddisfare le tue esigenze.

Requisiti per il dispositivo gateway del cliente

Se è disponibile un dispositivo non incluso nell'elenco precedente di dispositivi sottoposti a test, in questa sezione vengono descritti i requisiti che il dispositivo deve soddisfare affinché possa essere utilizzato per stabilire una connessione VPN da sito a sito.

La configurazione del dispositivo gateway del cliente comprende quattro parti principali. I seguenti simboli rappresentano ciascuna parte della configurazione.

Associazione di sicurezza Internet key exchange (IKE). Richiesta per scambiare chiavi utilizzate per stabilire l'associazione di sicurezza IPsec.

Associazione di sicurezza IPsec. Consente di gestire la crittografia, l'autenticazione e così via del tunnel.

Interfaccia tunnel. Riceve il traffico in uscita e in entrata dal tunnel.

(Facoltativo) Peer secondo il protocollo BGP (Border Gateway Protocol). Per dispositivi che utilizzano BGP, consente di scambiare route tra il dispositivo gateway del cliente e il gateway virtuale privato.

Nella tabella seguente vengono elencate i requisiti del dispositivo gateway del cliente, l'RFC (per riferimento) correlato e i commenti sui requisiti.

Ogni connessione VPN è composta da due tunnel distinti. Ogni tunnel contiene un'associazione di sicurezza IKE, un'associazione di sicurezza IPsec e un peering BGP. Esiste un vincolo di una 1 coppia di associazione di sicurezza univoca (SA) per tunnel (1 in entrata e 1 in uscita), ovvero 2 coppie SA univoche in totale per 2 tunnel (4 SA). Alcuni dispositivi utilizzano una VPN basata su policy e creano il numero massimo consentito di SA come voci ACL. Pertanto, potrebbe essere necessario consolidare le regole e filtrare in modo da non consentire traffico non desiderato.

Per impostazione predefinita, il tunnel VPN si verifica quando viene generato il traffico e la negoziazione IKE viene avviata dal lato della connessione VPN. È possibile configurare la connessione VPN per avviare la negoziazione IKE dal lato AWS della connessione. Per ulteriori informazioni, consulta Opzioni di avvio del tunnel Site-to-Site VPN.

Gli endpoint VPN supportano l'emissione nuova chiave e possono avviare rinegoziazioni quando la fase 1 sta per scadere se il dispositivo gateway del cliente non ha inviato alcun traffico di rinegoziazione.

Requisito RFC Commenti

Stabilire l'associazione di sicurezza IKE

RFC 2409

RFC 7296

L'associazione di sicurezza IKE viene stabilita prima tra il gateway virtuale privato e il dispositivo gateway del cliente utilizzando una chiave precondivisa o un certificato privato che utilizza Autorità di certificazione privata di AWS Certificate Manager come autenticatore. Al termine, IKE negozia una chiave effimera per rendere sicuri i messaggi IKE futuri. Ci deve essere un accordo completo tra i parametri, inclusi i parametri di crittografia e autenticazione.

Quando si crea una connessione VPN in AWS, è possibile specificare la chiave precondivisa per ogni tunnel o lasciare che venga generata da AWS. In alternativa, è possibile specificare il certificato privato da utilizzare con il dispositivo gateway del cliente mediante Autorità di certificazione privata di AWS Certificate Manager. Per ulteriori informazioni sulla configurazione dei tunnel VPN, consulta Opzioni tunnel per la connessione Site-to-Site VPN.

Sono supportate le seguenti versioni: IKEv1 e IKEv2.

Con IKEv1 supportiamo solamente la modalità Main.

Il servizio VPN da sito a sito è una soluzione basata su route. Se usi una configurazione basata su policy, devi limitare la configurazione a un'unica associazione di sicurezza (SA).

Stabilire associazioni di sicurezza IPsec in modalità Tunnel

RFC 4301

Utilizzando la chiave effimera IKE, le chiavi vengono stabilite tra il gateway virtuale privato e il dispositivo gateway del cliente per formare un'associazione di sicurezza IPsec (SA). Il traffico tra i gateway è crittografato e decrittografato utilizzando questa SA. Le chiavi effimere utilizzate per crittografare il traffico all'interno della SA IPsec vengono automaticamente ruotate da IKE periodicamente per garantire la riservatezza delle comunicazioni.

Utilizzare la funzione di crittografia a 128 bit o 256 bit AES

RFC 3602

La funzione di crittografia viene utilizzata per garantire la privacy per le associazioni di sicurezza IKE e IPsec.

Utilizzare la funzione di hashing SHA-1 o SHA-2 (256)

RFC 2404

Questa funzione di hashing viene utilizzata per autenticare le associazioni di sicurezza IKE è IPsec.

Utilizzare Diffie-Hellman Perfect Forward Secrecy.

RFC 2409

IKE utilizza Diffie-Hellman per stabilire chiavi effimere per rendere sicura tutta la comunicazione tra i dispositivi gateway del cliente e i gateway virtuali privati.

Sono supportati i seguenti gruppi:

  • Gruppi fase 1: 2, 14-24

  • Gruppi fase 2: 2, 5, 14-24

Frammentare pacchetti IP prima della crittografia

RFC 4459

Quando i pacchetti sono troppo grandi per essere trasmessi, devono essere frammentati. I pacchetti crittografati frammentati non vengono riassemblati. Pertanto, il dispositivo VPN deve frammentare i pacchetti prima dell'incapsulamento con le intestazioni VPN. I frammenti vengono trasmessi individualmente all'host remoto che li riassembla.

(Connessioni VPN instradate dinamicamente) Utilizzare IPSec Dead Peer Detection

RFC 3706

Dead Peer Detection consente ai dispositivi VPN di identificare rapidamente quando una condizione di rete impedisce la consegna di pacchetti su Internet. Quando ciò si verifica, i gateway eliminano le associazioni di sicurezza e tentano di creare nuove associazioni. Durante questo processo, viene utilizzato il tunnel IPsec alternativo, se possibile.

(Connessioni VPN instradate dinamicamente) Vincolare tunnel a interfaccia logica (VPN basata su route)

Nessuna

Il dispositivo deve essere in grado di associare il tunnel IPSec a un'interfaccia logica. L'interfaccia logica contiene un indirizzo IP utilizzato per stabilire il peering BGP al gateway virtuale privato. Questa interfaccia logica non deve eseguire ulteriore incapsulamento (ad esempio, GRE o IP in IP). L'interfaccia deve Essere impostata su un'unità massima di trasmissione (MTU) di 1399 byte.

(Connessioni VPN instradate dinamicamente) Stabilire peering BGP

RFC 4271

BGP viene utilizzato per scambiare route tra i dispositivi gateway del cliente e il gateway virtuale privato per dispositivi che utilizzano BGP. Tutto il traffico BGP è crittografato e trasmesso tramite l'associazione di sicurezza IPsec. BGP è obbligatorio per entrambi i gateway per scambiare i prefissi IP raggiungibili tramite l'SA IPsec.

Poiché la connessione incapsula i pacchetti con intestazioni di rete aggiuntive (incluso IPsec), la quantità di dati che può essere trasmessa in un singolo pacchetto è ridotta. Ti consigliamo di utilizzare le tecniche elencate nella tabella seguente per ridurre al minimo i problemi correlati alla quantità di dati che possono essere trasmessi tramite il tunnel IPsec.

Tecnica RFC Commenti

Regolare la dimensione massima del segmento di pacchetti TCP che entrano nel tunnel VPN

RFC 4459

I pacchetti TCP sono spesso il tipo più comune di pacchetti su tunnel IPsec. Alcuni gateway possono modificare il parametro della dimensione massima del segmento TCP. In conseguenza di ciò, gli endpoint TCP (client, server) riducono la quantità di dati inviati con ogni pacchetto. Questo è un approccio ideale, poiché i pacchetti che arrivano ai dispositivi VPN sono abbastanza piccoli da essere incapsulati e tramessi.

Si consiglia di impostare MSS sul dispositivo gateway del cliente su 1359 quando si utilizzano gli algoritmi di hash SHA2-384 o SHA2-512. Questa operazione è necessaria per ospitare l'intestazione più grande.

Ripristinare il flag "Don't Fragment" (Non frammentare) sui pacchetti

RFC 791

Alcuni pacchetti trasportano un flag, noto come il flag Don't Fragment (DF), che indica che il pacchetto non deve Essere frammentato. Se i pacchetti trasportano il flag, i gateway generano un messaggio ICMP Path MTU Exceeded (MTU percorso ICMP superato). In alcuni casi, le applicazioni non contengono meccanismi adeguati per elaborare questi messaggi ICMP e per ridurre la quantità di dati trasmessa in ogni pacchetto. Alcuni dispositivi VPN possono ignorare il flag DF e frammentare i pacchetti incondizionatamente come richiesto. Se il dispositivo gateway del cliente dispone di questa capacità, ti consigliamo di utilizzarla in maniera adeguata.

Una connessione VPN AWS non supporta il rilevamento della MTU del percorso (RFC 1191).

Se tra il dispositivo gateway del cliente e Internet è presente un firewall, consulta Configurazione di un firewall tra Internet e il dispositivo gateway del cliente.

Configurazione di un firewall tra Internet e il dispositivo gateway del cliente

Devi disporre di un indirizzo IP Internet instradabile da utilizzare come endpoint per i tunnel IPsec che collegano il dispositivo gateway del cliente al gateway virtuale privato. Se tra Internet e il gateway è presente un firewall, è necessario predisporre le regole nelle seguenti tabelle per stabilire i tunnel IPsec. Gli indirizzi del gateway virtuale privato si trovano nel file di configurazione.

Regola in entrata I1

IP di origine

gateway virtuale privato 1

IP dest

Gateway del cliente

Protocollo

UDP

Porta sorgente

500

Destinazione

500

Regola in entrata I2

IP di origine

gateway virtuale privato 2

IP dest

Gateway del cliente

Protocollo

UDP

Porta sorgente

500

Porta di destinazione

500

Regola in entrata I3

IP di origine

gateway virtuale privato 1

IP dest

Gateway del cliente

Protocollo

IP 50 (ESP)

Regola in entrata I4

IP di origine

gateway virtuale privato 2

IP dest

Gateway del cliente

Protocollo

IP 50 (ESP)

Regola in uscita O1

IP di origine

Gateway del cliente

IP dest

gateway virtuale privato 1

Protocollo

UDP

Porta sorgente

500

Porta di destinazione

500

Regola in uscita O2

IP di origine

Gateway del cliente

IP dest

gateway virtuale privato 2

Protocollo

UDP

Porta sorgente

500

Porta di destinazione

500

Regola in uscita O3

IP di origine

Gateway del cliente

IP dest

gateway virtuale privato 1

Protocollo

IP 50 (ESP)

Regola in uscita O4

IP di origine

Gateway del cliente

IP dest

gateway virtuale privato 2

Protocollo

IP 50 (ESP)

Le regole I1, I2, O1 e O2 abilitano la trasmissione di pacchetti IKE. Le regole I3, I4, O3 e O4 abilitano la trasmissione di pacchetti IPsec contenenti il traffico di rete crittografato.

Se si utilizza NAT Traversal (NAT-T) sul dispositivo, occorre includere le regole che consentono l'accesso UDP sulla porta 4500. Verifica se il dispositivo pubblicizza NAT-T.

Più scenari di connessione VPN

Di seguito sono riportati gli scenari in cui è possibile creare più connessioni VPN con uno o più dispositivi gateway del cliente.

Più connessioni VPN che utilizzano lo stesso dispositivo gateway del cliente

È possibile creare connessioni VPN aggiuntive dalla posizione in locale ad altri VPC utilizzando lo stesso dispositivo gateway del cliente. Puoi riutilizzare lo stesso indirizzo IP del gateway del cliente per ciascuna di tali connessioni VPN.

Connessione VPN ridondante utilizzando un secondo dispositivo gateway del cliente

Per garantire la protezione da una perdita di connettività nel caso in cui il dispositivo gateway del cliente diventi non disponibile, puoi configurare una seconda connessione VPN mediante un secondo dispositivo gateway del cliente. Per ulteriori informazioni, consulta Utilizzo di connessioni Site-to-Site VPN ridondanti per fornire il failover. Quando stabilisci dispositivi gateway del cliente ridondanti in una singola posizione, entrambi i dispositivi devono promuovere gli stessi intervalli IP.

Più dispositivi gateway del cliente a un singolo gateway virtuale privato (AWS VPN CloudHub)

Puoi stabilire più connessioni VPN a un singolo gateway virtuale privato da più dispositivi gateway del cliente. Ciò consente di avere più località collegate ad AWS VPN CloudHub. Per ulteriori informazioni, consulta Fornire una comunicazione sicura tra siti utilizzando VPN CloudHub. Quando disponi di dispositivi gateway del cliente in corrispondenza di più posizioni geografiche, ogni dispositivo deve promuovere un set univoco di intervalli IP specifici per la posizione.

Routing per il dispositivo gateway del cliente

AWS consiglia di pubblicizzare route BGP specifiche per influenzare le decisioni di routing nel gateway virtuale privato. Controlla la documentazione del fornitore per i comandi specifici del dispositivo.

Quando crei più connessioni VPN, il gateway virtuale privato invia il traffico di rete alla connessione VPN appropriata utilizzando route assegnate staticamente o annunci di routing BGP, a seconda della configurazione della connessione VPN. Le route assegnate staticamente sono preferite rispetto alle route pubblicizzate BGP nei casi in cui sono presenti route identiche nel gateway virtuale privato. Se selezioni l'opzione per utilizzare l'annuncio BGP, non puoi specificare route statiche.

Per ulteriori informazioni sulla priorità delle route, consulta Tabelle di routing e priorità della route VPN.