Conceitos básicos - AWS Site-to-Site VPN

Conceitos básicos

Use os procedimentos a seguir para configurar manualmente a conexão AWS Site-to-Site VPN. É possível criar uma conexão Site-to-Site VPN com um gateway privado virtual ou um gateway de trânsito como gateway de destino.

Para configurar uma conexão Site-to-Site VPN, execute as seguintes etapas:

Estes procedimentos pressupõem que você tem uma VPC com uma ou mais sub-redes.

Para obter as etapas para criar uma conexão Site-to-Site VPN em um gateway de trânsito, consulte Criar um anexo de VPN de gateway de trânsito.

Pré-requisitos

Você precisa das informações a seguir para configurar uma conexão Site-to-Site VPN e seus componentes.

Item Informações
Dispositivo de gateway do cliente O dispositivo físico ou de software no seu lado da conexão VPN. Você precisa do fornecedor (por exemplo, Cisco), da plataforma (por exemplo, roteadores da série ISR) e da versão do software (por exemplo, IOS 12.4)
Gateway do cliente Para criar o recurso de gateway do cliente na AWS, você precisa das seguintes informações:
  • O endereço IP roteável na Internet para a interface externa do dispositivo.

  • O tipo de roteamento: estático ou dinâmico

  • Para roteamento dinâmico, o número de sistema autônomo (ASN) do Border Gateway Protocol (BGP)

  • (Opcional) Certificado privado do Autoridade de certificação privada do AWS Certificate Manager para autenticar sua VPN

Para obter mais informações, consulte Opções de gateway do cliente para sua conexão Site-to-Site VPN.

(Opcional) O ASN para o lado da AWS da sessão de BGP.

Isso é especificado ao criar um gateway privado virtual ou um gateway de trânsito. Se você não especificar um valor, o ASN padrão será aplicado. Para obter mais informações, consulte Gateway privado virtual.

conexão VPN Para criar uma conexão VPN, você precisa das seguintes informações:

Criar um gateway do cliente

Um gateway do cliente fornece informações para a AWS sobre seu dispositivo de gateway do cliente ou aplicativo do software. Para obter mais informações, consulte Gateway do cliente.

Se você planeja usar um certificado privado para autenticar a VPN, crie um certificado privado de uma CA subordinada usando o Autoridade de certificação privada do AWS Certificate Manager. Para obter informações sobre como criar um certificado privado, consulte Criar e gerenciar uma CA privada no Guia do usuário do Autoridade de certificação privada do AWS Certificate Manager.

nota

É necessário especificar um endereço IP ou o nome de recurso da Amazon do certificado privado.

Para criar um gateway do cliente usando o console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways do cliente e, em seguida, Criar gateways do cliente.

  3. Preencha as informações a seguir e escolha Criar gateway do cliente:

    • (Opcional) Em Name (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

    • Em Roteamento, selecione o tipo de roteamento.

    • Para roteamento dinâmico, em BGP ASN, insira o número de sistema autônomo (ASN) do Border Gateway Protocol (BGP).

    • (Opcional) EM IP Address (Endereço IP), insira o endereço IP estático roteável pela Internet do dispositivo de gateway do cliente. Se o gateway do cliente estiver atrás de um dispositivo NAT, que seja habilitado para NAT-T, use o endereço IP público do dispositivo NAT.

    • (Opcional) Se você quiser usar um certificado privado, em Certificate ARN (ARN do certificado), selecione o nome de recurso da Amazon do certificado privado.

Para criar um gateway do cliente usando a linha de comando ou a API

Criar um gateway de destino

Para estabelecer uma conexão VPN entre a VPC e a rede no local, é necessário criar um gateway de destino no lado da AWS da conexão. O gateway de destino pode ser um gateway privado virtual ou um gateway de trânsito.

Criar um gateway privado virtual

Quando você cria um gateway privado virtual, também é possível especificar o Número de sistema autônomo privado (ASN) para o lado da Amazon do gateway. Esse ASN deve ser diferente do BGP ASN especificado para o gateway do cliente.

Depois que você criar um gateway privado virtual, você deve anexá-lo à sua VPC.

Para criar um gateway privado virtual e anexá-lo à sua VPC.

  1. No painel de navegação, escolha Gateways privados virtuais, Criar gateways privados virtuais.

  2. (Opcional) Insira um nome para o gateway privado virtual. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  3. Em ASN, deixe a seleção padrão para usar o ASN padrão da Amazon. Caso contrário, selecione Custom ASN (Personalizar ASN) e insira um valor. Para um ASN de 16 bits, o valor deve estar no intervalo de 64512 a 65534. Para um ASN de 32 bits, o valor deve estar no intervalo de 4200000000 a 4294967294.

  4. Escolha Criar gateway privado virtual.

  5. Selecione o gateway privado virtual e, em seguida, escolha Ações, Anexar à VPC.

  6. Selecione a VPC na lista e escolha Sim, anexar.

Para criar um gateway privado virtual usando a linha de comando ou a API

Para anexar um gateway privado virtual a uma VPC usando a linha de comando ou a API

Criar um gateway de trânsito

Para obter mais informações sobre como criar um gateway de trânsito, consulte Gateways de trânsito no Gateways de trânsito da Amazon VPC.

Configurar o roteamento

Para permitir que as instâncias na VPC acessem o gateway do cliente, é necessário configurar a tabela de rotas de forma a incluir as rotas usadas pela conexão Site-to-Site VPN e apontá-las para o gateway privado virtual ou para o gateway de trânsito.

(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas

É possível habilitar a propagação de rotas para a tabela de rotas a fim de propagar rotas Site-to-Site VPN automaticamente.

Para o roteamento estático, os prefixos IP estáticos especificados para a configuração VPN serão propagados para a tabela de rotas, sempre que o status da conexão Site-to-Site VPN for UP. Da mesma forma, para o roteamento dinâmico, as rotas anunciadas no BGP a partir do gateway do cliente também serão propagadas para a tabela de rotas sempre que o status da conexão Site-to-Site VPN for UP.

nota

Se a conexão for interrompida, mas a conexão VPN permanecer no estado UP, todas as rotas propagadas que estão na tabela de rotas não serão removidas automaticamente. Tenha isso em mente se, por exemplo, você quiser que o tráfego faça failover para uma rota estática. Nesse caso, talvez seja necessário desabilitar a propagação de rotas para remover as rotas propagadas.

Para ativar a propagação de rotas usando o console

  1. No painel de navegação, escolha Route Tables e selecione a tabela de rotas associada à sub-rede. Por padrão, essa é a tabela de rotas principal para a VPC.

  2. Na guia Route Propagation (Propagação de rotas) no painel de detalhes, escolha Edit (Editar), selecione o gateway privado virtual criado no procedimento anterior e, em seguida, escolha Save (Salvar).

nota

Se você não habilitar a propagação das rotas no roteamento estático, será preciso inserir manualmente as rotas estáticas usadas pela conexão Site-to-Site VPN. Para fazer isso, selecione a tabela de rotas e escolha Routes (Rotas), Edit (Editar). Em Destination (Destino), adicione a rota estática usada pela conexão Site-to-Site VPN. Em Target (Destino), selecione o ID do gateway privado virtual e escolha Save (Salvar).

Para desabilitar a propagação de rotas usando o console

  1. No painel de navegação, escolha Route Tables e selecione a tabela de rotas associada à sub-rede.

  2. Escolha Propagação de rotas, Editar. Limpe a caixa de seleção Propagar do gateway privado virtual e escolha Salvar.

Para ativar a propagação de rotas usando a linha de comando ou a API

Para desativar a propagação de rotas usando a linha de comando ou a API

(Gateway de trânsito) Adicionar uma rota à tabela de rotas

Se você habilitou a propagação da tabela de rotas para o gateway de trânsito, as rotas para o anexo da VPN são propagadas para a tabela de rotas do gateway de trânsito. Para obter mais informações, consulte Roteamento no Gateways de trânsito da Amazon VPC.

Se você anexar uma VPC ao gateway de trânsito e quiser habilitar recursos na VPC para acessar o gateway do cliente, será necessário adicionar uma rota à tabela de rotas da sub-rede para apontar para o gateway de trânsito.

Para adicionar uma rota a uma tabela de roteamento da VPC

  1. No painel de navegação, escolha Route Tables (Tabelas de rotas).

  2. Selecione uma tabela de rotas associada à VPC.

  3. Escolha a guia Routes (Rotas) e Edit routes (Editar rotas).

  4. Escolha Add route (Adicionar rota).

  5. Na coluna Destination (Destino), informe o intervalo de endereços IP de destino. Em Target (Destino), selecione o gateway de trânsito.

  6. Selecione Save routes (Salvar rotas) e Close (Fechar).

Atualizar o security group

Para permitir acesso às instâncias na VPC de sua rede, você deve atualizar as regras de security group para permitir o acesso SSH, RDP e ICMP de entrada.

Adicionar regras ao security group para permitir o acesso SSH, RDP e ICMP de entrada

  1. No painel de navegação, escolha Security Groups e, então, selecione o security group padrão para a VPC.

  2. Na guia Inbound no painel de detalhes, adicione as regras que permitem acesso SSH, RDP e ICMP de entrada da sua rede e, em seguida, escolha Save. Para obter mais informações sobre como adicionar regras de entrada, consulte Adicionar, remover e atualizar regras no Guia do usuário da Amazon VPC.

Para obter mais informações sobre grupos de segurança usando a AWS CLI, consulte Grupos de segurança para a VPC no Guia do usuário da Amazon VPC.

Criar uma conexão Site-to-Site VPN

Crie a conexão Site-to-Site VPN usando o gateway do cliente e o gateway privado virtual ou o gateway de trânsito criado anteriormente.

Como criar uma conexão Site-to-Site VPN

  1. No painel de navegação, escolha Conexões Site-to-Site VPN, Criar conexão VPN.

  2. (Opcional) Em Name tag (Tag de nome), insira um nome para a conexão Site-to-Site VPN. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  3. Em Target Gateway Type (Tipo de gateway de destino), selecione Virtual Private Gateway (Gateway privado virtual) ou Transit Gateway (Gateway de trânsito). Depois, selecione o gateway privado virtual ou o gateway de trânsito criado anteriormente.

  4. Em Customer Gateway ID (ID do gateway do cliente), selecione o gateway do cliente criado anteriormente.

  5. Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do cliente oferece suporte ao Border Gateway Protocol (BGP):

    • Se o dispositivo de gateway do cliente oferecer suporte ao BGP, selecione Dynamic (requires BGP) (Dinâmico (requer BGP)).

    • Se o dispositivo de gateway do cliente não oferecer suporte ao BGP, selecione Static (Estático). Em Static IP Prefixes (Prefixos do IP estático), especifique cada prefixo IP para a rede privada da conexão Site-to-Site VPN.

  6. (Opcional) Em Tunnel Inside IP Version (Versão de IP do túnel interno), especifique se os túneis de VPN são compatíveis com tráfego IPv4 ou IPv6. O tráfego IPv6 só é compatível com conexões VPN em um gateway de trânsito.

  7. (Opcional) Para Local IPv4 Network CIDR (CIDR de rede IPv4 local), especifique o intervalo CIDR IPv4 no lado do gateway do cliente (no local) que tem permissão para se comunicar pelos túneis da VPN. O padrão é 0.0.0.0/0.

    Para Remote IPv4 Network CIDR (CIDR de rede IPv4 remota), especifique o intervalo CIDR IPv4 no lado da AWS que tem permissão para se comunicar pelos túneis da VPN. O padrão é 0.0.0.0/0.

    Se você especificou IPv6 para Tunnel Inside IP Version (Túnel dentro da versão IP), especifique os intervalos CIDR IPv6 no lado do gateway do cliente e no lado da AWS que têm permissão para se comunicar pelos túneis da VPN. O padrão para ambos os intervalos é ::/0.

  8. (Opcional) Em Tunnel Options (Opções de túnel), é possível especificar as seguintes informações para cada túnel:

    • Um bloco CIDR do IPv4 de tamanho /30 do intervalo 169.254.0.0/16 para os endereços IPv4 do túnel interno.

    • Se você especificou IPv6 em Tunnel Inside IP Version (Versão de IP do túnel interno), um bloco CIDR do IPv6 /126 do intervalo fd00::/8 para os endereços IPv6 do túnel interno.

    • A chave pré-compartilhada IKE (PSK). As seguintes versões têm suporte: IKEv1 ou IKEv2.

    • Informações avançadas sobre túneis, que incluem o seguinte:

      • Algoritmos de criptografia para as fases 1 e 2 das negociações de IKE

      • Algoritmos de integridade para as fases 1 e 2 das negociações de IKE

      • Grupos Diffie-Hellman para as fases 1 e 2 das negociações de IKE

      • Versão de IKE

      • Vida útil das fases 1 e 2

      • Tempo de margem de rechaveamento

      • Fuzz de rechaveamento

      • Reproduzir tamanho da janela

      • Intervalo de Dead Peer Detection

      • Ação de tempo limite do Dead Peer Detection

      • Ação de inicialização

    Para obter mais informações sobre essas opções, consulte Opções de túnel para sua conexão Site-to-Site VPN.

  9. Escolha Create VPN Connection (Criar conexão VPN). Pode levar alguns minutos para criar a conexão Site-to-Site VPN.

Para criar uma conexão Site-to-Site VPN usando a linha de comando ou a API

Fazer download do arquivo de configuração

Depois de criar a conexão Site-to-Site VPN, faça download das informações de configuração e use-as para configurar o dispositivo de gateway do cliente ou o aplicativo de software.

Importante

O arquivo de configuração é apenas um exemplo e pode não corresponder às configurações da conexão VPN pretendidas. Por exemplo, ele especifica os requisitos mínimos de IKE versão 1, AES128, SHA1 e DH grupo 2 na maioria das regiões da AWS, e IKE versão 1, AES128, SHA2 e DH grupo 14 nas regiões AWS GovCloud. Ele também especifica chaves pré-compartilhadas para autenticação. É necessário modificar o arquivo de configuração de exemplo para aproveitar o IKE versão 2, algoritmos de segurança adicionais e grupos DH e certificados privados.

Se você especificou opções de túnel personalizadas ao criar ou modificar a conexão Site-to-Site VPN, modifique o arquivo de configuração de exemplo para corresponder às configurações personalizadas dos túneis.

O arquivo também contém o valor para o endereço IP externo do gateway privado virtual. Este atributo será estático a menos que você recrie a conexão VPN na AWS.

Para fazer download do arquivo de configuração

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).

  3. Selecione sua conexão VPN e escolha Download Configuration (Fazer download da configuração).

  4. Escolha o fornecedor, a plataforma e o software que correspondem ao dispositivo ou software do gateway do cliente. Se o dispositivo não estiver listado, selecione Generic (Genérico). Escolha Download.

Configurar o dispositivo de gateway do cliente

Use o arquivo de configuração para configurar os dispositivos de gateway do cliente. O dispositivo de gateway do cliente é o dispositivo físico ou software situado no seu lado da conexão do VPN de local para local. Para obter mais informações, consulte O dispositivo de gateway do cliente.