Configurar o roteamento dinâmico para um dispositivo de gateway AWS Virtual Private Network do cliente

Veja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do cliente usando sua interface de usuário (se disponível).

Check Point

A seguir estão as etapas para configurar um dispositivo Check Point Security Gateway executando o R77.10 ou superior, usando o portal web Gaia e o Check Point. SmartDashboard Você também pode consultar o artigo Amazon Web Services (AWS) VPN BGP no Check Point Support Center.

Para configurar a interface do túnel

O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway do cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informações fornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Para criar o segundo túnel, use os valores fornecidos na seção IPSec Tunnel #2 do arquivo de configuração.

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clish executando o comando a seguir: clish

2. Defina o ASN do gateway do cliente (o ASN fornecido quando o gateway do cliente foi criado em AWS) executando o comando a seguir.

   set as 65000

3. Crie a interface para o primeiro túnel, usando as informações fornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1.

   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436 

4. Repita esses comandos para criar o segundo túnel, usando as informações fornecidas na seção IPSec Tunnel #2 do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_2.

   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436 

5. Defina o ASN do gateway privado virtual:

   set bgp external remote-as 7224 on 

6. Configure o BGP para o primeiro túnel, usando as informações fornecidas na seção IPSec Tunnel #1 do arquivo de configuração:

   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10 

7. Configure o BGP para o segundo túnel, usando as informações fornecidas na seção IPSec Tunnel #2 do arquivo de configuração:

   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10 

8. Salve a configuração.

   save config

Para criar uma política de BGP

Depois, crie uma política de BGP que permita a importação das rotas anunciadas pela AWS. Em seguida, configure seu gateway do cliente para anunciar suas rotas locais para a AWS.

1. Na Gaia WebUI, escolha Advanced Routing (Roteamento avançado), Inbound Route Filters (Filtros de rota de entrada). Escolha Add (Adicionar) e selecione Add BGP Policy (Based on AS) (Adicionar política de BGP (com base em AS)).

2. Em Add BGP Policy (Adicionar política de BGP), selecione um valor entre 512 e 1024 no primeiro campo e insira o ASN do gateway privado virtual no segundo campo (por exemplo, 7224).

3. Escolha Salvar.

Para anunciar rotas locais

As etapas a seguir destinam-se à distribuição de rotas de interface locais. Além disso, você pode redistribuir as rotas de diferentes origens (por exemplo, rotas estáticas ou rotas obtidas por meio de protocolos de roteamento dinâmico). Para obter mais informações, consulte Gaia Advanced Routing R77 Versions Administration Guide.

1. Na Gaia WebUI, escolha Advanced Routing (Roteamento Avançado), Routing Redistribution (Redistribuição de Roteamento). Selecione Add Redistribution From (Adicionar redistribuição de) e escolha Interface.

2. Em To Protocol (Para o protocolo), selecione o ASN do gateway privado virtual (por exemplo, 7224).

3. Em Interface, selecione uma interface interna. Escolha Salvar.

Para definir um novo objeto de rede

Depois, crie um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio para funcionar como espaço reservado para o domínio de VPN.

1. Abra o Check Point SmartDashboard.

2. Em Groups (Grupos), abra o menu de contexto e escolha Groups (Grupos), Simple Group (Grupo Simples). É possível usar o mesmo grupo para cada objeto de rede.

3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New, Interoperable Device.

4. Em Name (Nome), insira o nome que você forneceu para o túnel na etapa 1, por exemplo, AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.

5. Em IPv4 Endereço, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de configuração, por exemplo,54.84.169.196. Salve as configurações e feche a caixa de diálogo.

   

6. No painel de categoria, escolha Topology (Topologia).

7. Na seção VPN Domain (Domínio da VPN), escolha Manually defined (Definido manualmente) e procure e selecione o grupo vazio simples criado na etapa 2. Escolha OK.

8. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção IPSec Tunnel #2 do arquivo de configuração.

9. Acesse o objeto de rede do gateway, abra o gateway ou objeto do cluster e escolha Topology (Topologia).

10. Na seção VPN Domain (Domínio da VPN), escolha Manually defined (Definido manualmente) e procure e selecione o grupo vazio simples criado na etapa 2. Escolha OK.

    nota

    É possível manter qualquer domínio de VPN existente que configurou. Entretanto, verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN for originado automaticamente.

nota

Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Use os endereços IP especificados no arquivo de configuração.

Para criar e configurar a comunidade VPN, o IKE e IPsec as configurações

Depois, crie uma comunidade VPN no gateway do Check Point, à qual você adicionará objetos de rede (dispositivos interoperáveis) para cada túnel. Você também define o Internet Key Exchange (IKE) e IPsec as configurações.

1. Nas propriedades do gateway, escolha IPSecVPN no painel de categorias.

2. Escolha Communities, New, Star Community.

3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center Gateways no painel de categoria.

4. Escolha Adicionar e adicione o gateway ou cluster à lista de gateways participantes.

5. No painel de categoria, selecione Satellite Gateways (Gateways secundários), Add (Adicionar) e adicione os dispositivos interoperáveis criados anteriormente (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) à lista de gateways participantes.

6. No painel de categoria, escolha Encryption. Na seção Método de criptografia, escolha IKEv1 para IPv4 e IKEv2 para IPv6. Na seção Encryption Suite, escolha Custom, Custom Encryption.

   nota

   Você deve selecionar a IPv6 opção IKEv1 para IPv4 e IKEv2 para para a IKEv1 funcionalidade.

7. Na caixa de diálogo, configure as propriedades de criptografia como indicado a seguir e selecione OK ao concluir:

   • Propriedades da associação de segurança IKE (fase 1):

     • Perform key exchange encryption with: AES-128

     • Perform data integrity with: SHA-1

   • IPsec Propriedades da Associação de Segurança (Fase 2):

     • Execute a criptografia IPsec de dados com: AES-128

     • Perform data integrity with: SHA-1

8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On all tunnels in the community. Na seção VPN Tunnel Sharing (Compartilhamento de túnel VPN), escolha One VPN tunnel per Gateway pair (Um túnel VPN por par de gateway).

9. No painel de categoria, expanda Advanced Settings (Configurações Avançadas) e escolha Shared Secret.

10. Selecione o nome do par do primeiro túnel, escolha Edit (Editar) e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #1.

11. Selecione o nome do par do segundo túnel, escolha Edit (Editar) e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #2.

    

12. Ainda na categoria Advanced Settings (Configurações avançadas), selecione Advanced VPN Properties (Propriedades avançadas da VPN), configure as propriedades da forma a seguir e escolha OK ao concluir:

    • IKE (fase 1):

      • Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2 (1024 bit)

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (Fase 2):

      • Escolha Use Perfect Forward Secrecy

      • Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2 (1024 bit)

      • Renegocie associações de IPsec segurança a cada segundo 3600

Para criar regras de firewall

Depois, configure uma politica com regras de firewall e regras de correspondência direcional que permitam a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seu gateway.

1. No SmartDashboard, escolha Propriedades globais para seu gateway. No painel de categoria, expanda VPN e escolha Advanced (Avançado).

2. Escolha Enable VPN Directional Match in VPN Column (Habilitar correspondência direcional VPN na coluna VPN) e clique em OK.

3. No SmartDashboard, escolha Firewall e crie uma política com as seguintes regras:

   • Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.

   • Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

4. Abra o menu de contexto da célula na coluna VPN e escolha Editar Célula.

5. Na caixa de diálogo VPN Match Conditions (Condições de correspondência VPN), escolha Match traffic in this direction only (Corresponder tráfego apenas nesta direção). Crie as regras de correspondência direcional a seguir selecionando Add (Adicionar) para cada uma e selecione OK ao concluir:

   • internal_clear > comunidade VPN (a comunidade estrela da VPN que você criou anteriormente, por exemplo, AWS_VPN_Star)

   • Comunidade VPN > Comunidade VPN

   • Comunidade VPN > internal_clear

6. Em SmartDashboard, escolha Política, Instalar.

7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.

Para modificar a propriedade tunnel_keepalive_method

O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando uma associação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanente deve ser configurado na comunidade AWS VPN.

Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configurada como tunnel_test. Você precisa alterar o valor para dpd. Cada gateway de VPN na comunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedade tunnel_keepalive_method, incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos de monitoramento para o mesmo gateway.

Você pode atualizar a tunnel_keepalive_method propriedade usando a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management Server.

2. Escolha File (Arquivo), Database Revision Control...(Controle de revisão de banco de dados…) e crie um snapshot de revisão.

3. Feche todas as SmartConsole janelas, como, por exemplo SmartDashboard, o SmartView Rastreador e o SmartView Monitor.

4. Inicie a BDedit ferramenta Gui. Para obter mais informações, consulte o artigo Check Point Database Tool (Ferramenta de banco de dados de pontos de verificação) no Check Point Support Center.

5. Escolha Security Management Server(Servidor de gerenciamento de segurança), Domain Management Server (Servidor de gerenciamento de domínio).

6. No painel superior esquerdo, escolha Table (tabela), Network Objects (Objetos de rede), network_objects.

7. No painel superior direito, selecione o objeto Security Gateway (Gateway de Segurança), Cluster pertinente.

8. Pressione CTRL+F ou use o menu Search (Buscar) para procurar o seguinte: tunnel_keepalive_method.

9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e selecione Edit... (Editar…). Escolha dpd, OK.

10. Repita as etapas de 7 a 9 para cada gateway que fizer parte da comunidade da AWS VPN.

11. Escolha File (Arquivo), Save All (Salvar Tudo).

12. Feche a DBedit ferramenta Gui.

13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management Server.

14. Instale a política no objeto Security Gateway (Gateway de Segurança), Cluster pertinente.

Para obter mais informações, consulte o artigo New VPN features in R77.10 (Novos recursos de VPN no R77.10) no Check Point Support Center.

Para ativar o ajuste de MSS TCP

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentação de pacotes.

1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.

3. Escolha Table (Tabela), Global Properties (Propriedades Globais), properties (propriedades).

4. Em fw_clamp_tcp_mss, escolha Edit (Editar). Altere o valor para true e selecione OK.

Como verificar o status do túnel

É possível verificar o status do túnel executando o comando a seguir na ferramenta da linha de comando, no modo especialista.

vpn tunnelutil

Nas opções exibidas, escolha 1 para verificar as associações IKE e 2 para verificar as IPsec associações.

É possível usar também Check Point Smart Tracker Log para verificar se os pacotes na conexão estão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foi criptografada.

SonicWALL

É possível configurar um dispositivo SonicWALL usando a interface de gerenciamento SonicOS. Para obter mais informações sobre a configuração de túneis, consulte Configurar o roteamento estático para um dispositivo de gateway do cliente do AWS Site-to-Site VPN.

Não é possível configurar o BGP para o dispositivo, usando a interface de gerenciamento. Em vez disso, use as instruções da linha de comando fornecidas no arquivo de configuração de exemplo, na seção chamada BGP.