Conceitos básicos do AWS Site-to-Site VPN - AWS Site-to-Site VPN
Pré-requisitosCriar um gateway do clienteCriar um gateway de destinoConfigurar o roteamentoAtualizar o grupo de segurançaCriar uma conexão VPNBaixar arquivo de configuraçãoConfigurar o dispositivo de gateway do cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos do AWS Site-to-Site VPN

Use o procedimento a seguir para configurar uma conexão AWS Site-to-Site VPN. Durante a criação, especifique um gateway privado virtual, um gateway de trânsito ou “Não associado” como o tipo de gateway de destino. Se você especificar “Não associado”, poderá escolher o tipo de gateway de destino posteriormente ou usá-lo como um anexo de VPN para o AWS Cloud WAN. Este tutorial ajuda você a criar uma conexão VPN usando um gateway privado virtual. Ele presume que você já tenha uma VPC com uma ou mais sub-redes.

Para configurar uma conexão VPN usando um gateway privado virtual, conclua as seguintes etapas:

Tarefas relacionadas

Pré-requisitos

Você precisa das informações a seguir para definir e configurar os componentes de uma conexão VPN.

Item Informações
Dispositivo de gateway do cliente O dispositivo físico ou de software no seu lado da conexão VPN. Você precisa do fornecedor (por exemplo, Cisco), da plataforma (por exemplo, roteadores da série ISR) e da versão do software (por exemplo, IOS 12.4).
Gateway do cliente Para criar o recurso de gateway do cliente na AWS, você precisa das seguintes informações:

  • O endereço IP roteável na Internet para a interface externa do dispositivo.

  • O tipo de roteamento: estático ou dinâmico

  • Para roteamento dinâmico, o número de sistema autônomo (ASN) do Border Gateway Protocol (BGP)

  • (Opcional) Certificado privado do AWS Private Certificate Authority para autenticar sua VPN

Para obter mais informações, consulte Opções de gateway do cliente.

(Opcional) O ASN para o lado da AWS da sessão de BGP

Isso é especificado ao criar um gateway privado virtual ou um gateway de trânsito. Se você não especificar um valor, o ASN padrão será aplicado. Para obter mais informações, consulte Gateway privado virtual.
Conexão VPN Para criar uma conexão VPN, você precisa das seguintes informações:

Etapa 1: criar um gateway do cliente

Um gateway do cliente fornece informações para a AWS sobre seu dispositivo de gateway do cliente ou aplicativo do software. Para obter mais informações, consulte Gateway do cliente.

Se você planeja usar um certificado privado para autenticar a VPN, crie um certificado privado de uma CA subordinada usando o AWS Private Certificate Authority. Para obter informações sobre como criar um certificado privado, consulte Criar e gerenciar uma CA privada no Guia do usuário do AWS Private Certificate Authority.

nota

É necessário especificar um endereço IP ou o nome de recurso da Amazon do certificado privado.

Para criar um gateway do cliente usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways do cliente.

  3. Escolha Criar gateway do cliente.

  4. (Opcional) Em Name (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  5. Para BGP ASN, informe o Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente.

  6. (Opcional) Em IP address (Endereço IP), insira o endereço IP estático roteável pela Internet do dispositivo de gateway do cliente. Se o dispositivo de gateway do cliente estiver atrás de um dispositivo NAT que seja habilitado para NAT-T, use o endereço IP público do dispositivo NAT.

  7. (Opcional) Se você quiser usar um certificado privado, em Certificate ARN (Certificado ARN), selecione o nome de recurso da Amazon do certificado privado.

  8. (Opcional) Em Dispositivo, insira um nome para o gateway do cliente associado a esse gateway do cliente.

  9. Escolha Criar gateway do cliente.

Para criar um gateway do cliente usando a linha de comando ou a API

Etapa 2: criar um gateway de destino

Para estabelecer uma conexão VPN entre a sua VPC e a rede on-premises, é necessário criar um gateway de destino no lado da AWS da conexão. O gateway de destino pode ser um gateway privado virtual ou um gateway de trânsito.

Criar um gateway privado virtual

Quando você cria um gateway privado virtual, é possível especificar um Número de sistema autônomo (ASN) privado e personalizado para o lado da Amazon do gateway ou usar o ASN padrão da Amazon. Esse ASN deve ser diferente do BGP ASN especificado para o gateway do cliente.

Depois que você criar um gateway privado virtual, você deve anexá-lo à sua VPC.

Para criar um gateway privado virtual e anexá-lo à sua VPC

  1. No painel de navegação, escolha Gateways privados virtuais.

  2. Escolha Create virtual private gateway (Criar gateway privado virtual).

  3. (Opcional) Em Etiqueta de nome, insira um nome para o gateway privado virtual. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  4. Em Número de sistema autônomo (ASN), mantenha a seleção padrão, ASN padrão da Amazon, para usar o ASN padrão da Amazon. Caso contrário, selecione Custom ASN (Personalizar ASN) e insira um valor. Para um ASN de 16 bits, o valor deve estar no intervalo de 64512 a 65534. Para um ASN de 32 bits, o valor deve estar no intervalo de 4200000000 a 4294967294.

  5. Escolha Create virtual private gateway (Criar gateway privado virtual).

  6. Selecione o gateway privado virtual e, depois, escolha Actions (Ações), Attach to VPC (Anexar à VPC).

  7. Em VPCs disponíveis, escolha a VPC e selecione Anexar à VPC.

Para criar um gateway privado virtual usando a linha de comando ou a API
Para anexar um gateway privado virtual a uma VPC usando a linha de comando ou a API

Criar um gateway de trânsito

Para obter mais informações sobre como criar um gateway de trânsito, consulte Gateways de trânsito em Gateways de trânsito da Amazon VPC.

Etapa 3: configurar o roteamento

Para permitir que as instâncias na VPC acessem o gateway do cliente, é necessário configurar a tabela de rotas para incluir as rotas usadas pela conexão VPN e apontá-las para o gateway privado virtual ou o gateway de trânsito.

(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas

É possível habilitar a propagação de rotas para a tabela de rotas a fim de propagar rotas da VPN local a local automaticamente.

Para o roteamento estático, os prefixos IP estáticos especificados para a configuração VPN serão propagados para a tabela de rotas sempre que o status da conexão VPN for UP. Da mesma forma, para o roteamento dinâmico, as rotas anunciadas no BGP a partir do gateway do cliente também serão propagadas para a tabela de rotas sempre que o status da conexão VPN for UP.

nota

Se a conexão for interrompida, mas a conexão VPN permanecer no estado UP, todas as rotas propagadas que estão na tabela de rotas não serão removidas automaticamente. Tenha isso em mente se, por exemplo, você quiser que o tráfego faça failover para uma rota estática. Nesse caso, talvez seja necessário desabilitar a propagação de rotas para remover as rotas propagadas.

Para ativar a propagação de rotas usando o console

  1. No painel de navegação, escolha Route tables (Tabelas de rotas).

  2. Selecione a tabela de rotas associada à sub-rede.

  3. Na guia Propagação de rotas, selecione Editar propagação de rotas. Selecione o gateway privado virtual que você criou no procedimento anterior e escolha Salvar.

nota

Se você não habilitar a propagação de rotas, será necessário inserir manualmente as rotas estáticas usadas pela conexão VPN. Para fazer isso, selecione a tabela de rotas, escolha Routes (Rotas), Edit (Editar). Em Destination (Destino), adicione a rota estática usada pela conexão de VPN de local a local. Em Destination (Destino), selecione o ID do gateway privado virtual, e escolha Save (Salvar).

Para desativar a propagação de rotas usando o console

  1. No painel de navegação, escolha Route tables (Tabelas de rotas).

  2. Selecione a tabela de rotas associada à sub-rede.

  3. Na guia Propagação de rotas, selecione Editar propagação de rotas. Limpe a caixa de seleção Propagar do gateway privado virtual.

  4. Escolha Save (Salvar).

Para ativar a propagação de rotas usando a linha de comando ou a API
Para desativar a propagação de rotas usando a linha de comando ou a API

(Gateway de trânsito) Adicionar uma rota à tabela de rotas

Se você habilitou a propagação da tabela de rotas para o gateway de trânsito, as rotas para o anexo da VPN são propagadas para a tabela de rotas do gateway de trânsito. Para obter mais informações, consulte Roteamento em Gateways de trânsito da Amazon VPC.

Se você anexar uma VPC ao gateway de trânsito e quiser habilitar recursos na VPC para acessar o gateway do cliente, será necessário adicionar uma rota à tabela de rotas da sub-rede para apontar para o gateway de trânsito.

Para adicionar uma rota a uma tabela de roteamento da VPC

  1. No painel de navegação, escolha Tabelas de rotas.

  2. Selecione uma tabela de rotas associada à VPC.

  3. Na guia Routes (Rotas), escolha Edit routes (Editar rotas).

  4. Escolha Add route (Adicionar rota).

  5. Na coluna Destino, insira o intervalo de endereços IP de destino. Em Target (Destino), escolha o gateway de trânsito.

  6. Escolha Save changes (Salvar alterações).

Etapa 4: atualizar o grupo de segurança

Para permitir acesso às instâncias na VPC de sua rede, você deve atualizar as regras de grupo de segurança para permitir o acesso SSH, RDP e ICMP de entrada.

Como adicionar regras ao grupo de segurança para permitir o acesso

  1. No painel de navegação, selecione Security groups (Grupos de segurança).

  2. Selecione o grupo de segurança padrão da VPC.

  3. Na guia Inbound Rules (Regras de entrada), selecione Edit inbound rules (Editar regras de entrada).

  4. Adicione as regras que permitem acesso SSH, RDP e ICMP de entrada da rede e selecione Salvar regras. Para obter mais informações, consulte Regras de grupos de segurança no Guia do usuário da Amazon VPC.

Etapa 5: criar uma conexão VPN

Para criar a conexão VPN, use o gateway do cliente com o gateway privado virtual ou o gateway de trânsito criado anteriormente.

Para criar uma conexão VPN

  1. No painel de navegação, selecione Conexões VPN de local a local.

  2. Escolha Create VPN Connection (Criar conexão VPN).

  3. (Opcional) Em Etiqueta de nome, insira um nome para a conexão VPN. Ao fazer isso, é criada uma marcação com a chave de Name e o valor que você especificar.

  4. Em Target gateway type (Tipo de gateway de destino), selecione Virtual private gateway (Gateway privado virtual) ou Transit gateway (Gateway de trânsito). Depois, selecione o gateway privado virtual ou o gateway de trânsito criado anteriormente.

  5. Em Gateway do cliente, selecione Existente e, depois, escolha o gateway do cliente criado anteriormente em ID do gateway do cliente.

  6. Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do cliente oferece suporte ao Border Gateway Protocol (BGP):

    • Se o dispositivo de gateway do cliente oferecer suporte ao BGP, selecione Dynamic (requires BGP) (Dinâmico [requer BGP]).

    • Se o dispositivo de gateway do cliente não oferecer suporte ao BGP, selecione Static (Estático). Em Static IP Prefixes (Prefixos do IP estático), especifique cada prefixo IP para a rede privada da conexão VPN.

  7. Se o seu tipo de gateway de destino for de trânsito, em Versão IP de túnel interno, especifique se os túneis de VPN são compatíveis com tráfego IPv4 ou IPv6. O tráfego IPv6 só é compatível com conexões VPN em um gateway de trânsito.

  8. Caso tenha especificado IPv4 para Versão IP de túnel interno, se desejar, você poderá especificar os intervalos CIDR IPv4 nos lados do gateway do cliente e da AWS que têm permissão para se comunicar pelos túneis da VPN. O padrão é 0.0.0.0/0.

    Caso tenha especificado IPv6 para Versão IP de túnel interno, se desejar, você poderá especificar os intervalos CIDR IPv6 nos lados do gateway do cliente e da AWS que têm permissão para se comunicar pelos túneis da VPN. O padrão para ambos os intervalos é ::/0.

  9. Em Tipo de endereço IP externo, mantenha a opção padrão, PublicIpv4.

  10. (Opcional) Em Opções de túnel, é possível especificar as seguintes informações para cada túnel:

    • Um bloco CIDR do IPv4 de tamanho /30 do intervalo 169.254.0.0/16 para os endereços IPv4 do túnel interno.

    • Se você especificou IPv6 em Versão IP de túnel interno, um bloco CIDR do IPv6 /126 do intervalo fd00::/8 para os endereços IPv6 do túnel interno.

    • A chave pré-compartilhada do IKE (PSK). As seguintes versões são compatíveis: IKEv1 ou IKEv2.

    • Para editar as opções avançadas do túnel, escolha Editar opções de túnel. Para obter mais informações, consulte Opções de túnel VPN.

  11. Escolha Create VPN Connection (Criar conexão VPN). Pode levar alguns minutos para criar a conexão VPN.

Para criar uma conexão VPN usando a linha de comando ou a API

Etapa 6: baixar o arquivo de configuração

Depois de criar a conexão VPN, você poderá baixar um arquivo de configuração de exemplo para usar na configuração do dispositivo de gateway do cliente.

Importante

O arquivo de configuração é apenas um exemplo e pode não corresponder totalmente às configurações da conexão VPN pretendidas. Ele especifica os requisitos mínimos para uma conexão VPN de AES128, SHA1 e Diffie-Hellman grupo 2 na maioria das regiões da AWS, e AES128, SHA2 e Diffie-Hellman grupo 14 nas regiões AWS GovCloud. Ele também especifica chaves pré-compartilhadas para autenticação. É necessário modificar o arquivo de configuração de exemplo para usufruir dos algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego IPv6.

Introduzimos o suporte a IKEv2 nos arquivos de configuração para muitos dispositivos de gateway de clientes populares e continuaremos a adicionar novos arquivos ao longo do tempo. Para obter uma lista de arquivos de configuração compatível com IKEv2, consulte O dispositivo de gateway do cliente.

Permissões

Para carregar corretamente a tela de configuração de download pelo AWS Management Console, é necessário garantir que o usuário ou o perfil do IAM tenha permissão para as seguintes APIs do Amazon EC2: GetVpnConnectionDeviceTypes e GetVpnConnectionDeviceSampleConfiguration.

Como baixar o arquivo de configuração usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, selecione Conexões VPN de local a local.

  3. Selecione a conexão VPN e escolha Fazer download da configuração.

  4. Escolha o Fornecedor, a Plataforma, o Software e a Versão IKE que correspondem ao dispositivo do gateway do cliente. Se o dispositivo não estiver listado, selecione Generic (Genérico).

  5. Escolha Download.

Para baixar um arquivo de configuração de exemplo usando a linha de comando ou API da

Etapa 7: configurar o dispositivo de gateway do cliente

Use o arquivo de configuração de exemplo para configurar os dispositivos de gateway do cliente. O dispositivo de gateway do cliente é o dispositivo físico ou software situado no seu lado da conexão VPN. Para obter mais informações, consulte O dispositivo de gateway do cliente.