Exemplo de configurações de dispositivos de gateway do cliente para roteamento estático - AWS Site-to-Site VPN
Exemplo de arquivos de configuraçãoProcedimentos da interface do usuário para roteamento estáticoInformações adicionais para dispositivos CiscoTestar

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo de configurações de dispositivos de gateway do cliente para roteamento estático

Exemplo de arquivos de configuração

Para baixar um arquivo de configuração de amostra com valores específicos para sua configuração de conexão VPN Site-to-Site, use o console Amazon VPC, a AWS linha de comando ou a API do Amazon EC2. Para ter mais informações, consulte Etapa 6: baixar o arquivo de configuração.

Você também pode baixar arquivos de configuração de exemplo genéricos para roteamento estático que não incluem valores específicos para sua configuração de conexão Site-to-Site VPN: static-routing-examples.zip

Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:

  • Valores de exemplo para o ID da conexão VPN, ID do gateway do cliente e ID do gateway privado virtual

  • Espaços reservados para os endpoints de endereço IP remotos (externos) (AWS_ENDPOINT_1 e AWS AWS_ENDPOINT_2)

  • Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente (your-cgw-ip-address)

  • Um espaço reservado para o valor da chave pré-compartilhada (chave pré-compartilhada)

  • Valores de exemplo para o túnel dentro de endereços IP.

  • Valores de exemplo para a configuração de MTU.

nota

As configurações de MTU fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte Práticas recomendadas para o dispositivo de gateway do cliente para obter informações sobre como definir o valor MTU ideal para a sua situação.

Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma conexão VPN Site-to-Site do AES128, SHA1 e Diffie-Hellman do grupo 2 AWS na maioria das regiões e do grupo AES128, SHA2 e Diffie-Hellman 14 nas regiões. AWS GovCloud Eles também especificam chaves pré-compartilhadas para autenticação. É necessário modificar o arquivo de configuração de exemplo para usufruir dos algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego IPv6.

O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.

Dispositivo de gateway do cliente com roteamento estático

Procedimentos da interface do usuário para roteamento estático

Veja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do cliente usando sua interface de usuário (se disponível).

Check Point

A seguir estão as etapas para configurar seu dispositivo de gateway de cliente se seu dispositivo for um dispositivo Check Point Security Gateway executando R77.10 ou superior, usando o sistema operacional Gaia e o Check Point. SmartDashboard Para obter mais informações, consulteCheck Point Security Gateway IPsec VPN to Amazon Web Services VPC no Check Point Support Center.

Para configurar a interface do túnel

O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway do cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informações fornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Para criar o segundo túnel, use os valores fornecidos na seção IPSec Tunnel #2 do arquivo de configuração.

  1. Abra o portal Gaia do dispositivo Check Point Security Gateway.

  2. Escolha Network Interfaces, Add, VPN tunnel.

  3. Na caixa de diálogo, defina as configurações como a seguir e escolha OK ao concluir:

    • Em VPN Tunnel ID, insira qualquer valor único exclusivo, como 1.

    • Em Peer, insira um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1 or AWS_VPC_Tunnel_2.

    • Confirme se Numbered (Numerado) está selecionado e, em Local Address (Endereço local), insira o endereço IP especificado para CGW Tunnel IP no arquivo de configuração; por exemplo, 169.254.44.234.

    • Em Remote Address, insira o endereço IP especificado para VGW Tunnel IP no arquivo de configuração; por exemplo, 169.254.44.233.

    Caixa de diálogo Add VPN Tunnel do Check Point

  4. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clish executando o comando a seguir: clish

  5. Para o túnel 1, execute o comando a seguir:

    set interface vpnt1 mtu 1436

    Para o túnel 2, execute o comando a seguir:

    set interface vpnt2 mtu 1436

  6. Repita essas etapas para criar um segundo túnel, usando as informações na seção IPSec Tunnel #2 do arquivo de configuração.

Para configurar rotas estáticas

Nesta etapa, especifique a rota estática para a sub-rede na VPC de cada túnel para poder enviar tráfego pelas interfaces de túnel. O segundo túnel permite failover, caso haja um problema com o primeiro túnel. Se um problema é detectado, a rota estática baseada na política é removida da tabela de roteamento e a segunda rota é ativada. Você deve também ativar o gateway do Check Point para executar ping na outra extremidade do túnel e verificar se o túnel está ativo.

  1. No portal Gaia, escolha IPv4 Static Routes, Add.

  2. Especifique o CIDR de sua sub-rede; por exemplo, 10.28.13.0/24.

  3. Escolha Add Gateway, IP Address.

  4. Insira o endereço IP especificado para VGW Tunnel IP no arquivo de configuração (por exemplo, 169.254.44.233) e especifique 1 como prioridade.

  5. Selecione Ping.

  6. Repita as etapas 3 e 4 para o segundo túnel, usando o valor VGW Tunnel IP na seção IPSec Tunnel #2 do arquivo de configuração. Especifique 2 como prioridade.

    Caixa de diálogo Edit Destination Route do Check Point

  7. Escolha Salvar.

Se estiver usando um cluster, repita as etapas anteriores para os outros membros do cluster.

Para definir um novo objeto de rede

Nesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio para funcionar como espaço reservado para o domínio de VPN.

  1. Abra o Check Point SmartDashboard.

  2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo grupo para cada objeto de rede.

  3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New, Interoperable Device.

  4. Em Name (Nome), insira o nome que você forneceu para o túnel; por exemplo, AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.

  5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.

    Caixa de diálogo Interoperable Device do Check Point

  6. Em SmartDashboard, abra as propriedades do gateway e, no painel de categorias, escolha Topologia.

  7. Para recuperar a configuração da interface, escolha Get Topology.

  8. Na seção VPN Domain (Domínio da VPN), escolha Manually defined (Definido manualmente) e procure e selecione o grupo vazio simples criado na etapa 2. Escolha OK.

    nota

    Você pode manter qualquer domínio de VPN existente que configurou. Entretanto, verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN for originado automaticamente.

  9. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção IPSec Tunnel #2 do arquivo de configuração.

nota

Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Use os endereços IP especificados no arquivo de configuração.

Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec

Nesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos de rede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações do Internet Key Exchange (IKE) e do IPsec.

  1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.

  2. Escolha Communities, New, Star Community.

  3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center Gateways no painel de categoria.

  4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.

  5. No painel de categoria, escolha Satellite Gateways (Gateways secundários), Add (Adicionar) e adicione os dispositivos interoperáveis que você criou anteriormente (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) à lista de gateways participantes.

  6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 only. Na seção Encryption Suite, escolha Custom, Custom Encryption.

  7. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha OK ao concluir:

    • Propriedades da associação de segurança IKE (fase 1):

      • Perform key exchange encryption with: AES-128

      • Perform data integrity with: SHA-1

    • Propriedades da associação de segurança IPsec (fase 2):

      • Perform IPsec data encryption with: AES-128

      • Perform data integrity with: SHA-1

  8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On all tunnels in the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gateway pair.

  9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.

  10. Selecione o nome do par do primeiro túnel, escolha Edit (Editar) e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #1.

  11. Selecione o nome do par do segundo túnel, escolha Edit (Editar) e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #2.

    Caixa de diálogo Interoperable Shared Secret do Check Point

  12. Ainda na categoria Advanced Settings (Configurações avançadas), selecione Advanced VPN Properties (Propriedades avançadas da VPN), configure as propriedades da forma a seguir e escolha OK ao concluir:

    • IKE (fase 1):

      • Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (fase 2):

      • Escolha Use Perfect Forward Secrecy

      • Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2

      • Renegotiate IPsec security associations every 3600 seconds

Para criar regras de firewall

Nesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcional que permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seu gateway.

  1. No SmartDashboard, escolha Propriedades globais para seu gateway. No painel de categoria, expanda VPN e escolha Advanced.

  2. Escolha Enable VPN Directional Match in VPN Column e salve suas alterações.

  3. No SmartDashboard, escolha Firewall e crie uma política com as seguintes regras:

    • Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.

    • Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

  4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.

  5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as regras de correspondência direcional a seguir escolhendo Add para cada uma e escolha OK ao concluir:

    • internal_clear > comunidade VPN (a comunidade estrela da VPN que você criou anteriormente, por exemplo, AWS_VPN_Star)

    • VPN community > VPN community

    • Comunidade VPN > internal_clear

  6. Em SmartDashboard, escolha Política, Instalar.

  7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.

Para modificar a propriedade tunnel_keepalive_method

O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando uma associação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanente deve ser configurado na comunidade AWS VPN (consulte a Etapa 8).

Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configurada como tunnel_test. Você precisa alterar o valor para dpd. Cada gateway de VPN na comunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedade tunnel_keepalive_method, incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos de monitoramento para o mesmo gateway.

Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.

  1. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management Server.

  2. Escolha File, Database Revision Control... e crie um snapshot de revisão.

  3. Feche todas as SmartConsole janelas, como, por exemplo SmartDashboard, o SmartView Rastreador e o SmartView Monitor.

  4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point Database Tool no Check Point Support Center.

  5. Escolha Security Management Server, Domain Management Server.

  6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.

  7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.

  8. Pressione CTRL+F ou use o menu Search para procurar o seguinte: tunnel_keepalive_method.

  9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e escolha Edit... (Editar). Escolha dpd e OK.

  10. Repita as etapas de 7 a 9 para cada gateway que fizer parte da comunidade da AWS VPN.

  11. Escolha File, Save All.

  12. Feche a ferramenta GuiDBedit.

  13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management Server.

  14. Instale a política no objeto Security Gateway, Cluster pertinente.

Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point Support Center.

Para ativar o ajuste de MSS TCP

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentação de pacotes.

  1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.

  3. Escolha Table, Global Properties, properties.

  4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e escolha OK.

Como verificar o status do túnel

Você pode verificar o status do túnel executando o comando a seguir na ferramenta da linha de comando, no modo especialista.

vpn tunnelutil

Nas opções exibidas, escolha 1 para verificar as associações de IKE e 2 para verificar as associações de IPsec.

Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexão estão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foi criptografada.

Arquivo de log do Check Point
SonicWALL

O procedimento a seguir demonstra como configurar os túneis VPN no dispositivo SonicWALL usando a interface de gerenciamento SonicOS.

Para configurar os túneis

  1. Abra a interface de gerenciamento SonicWALL SonicOS.

  2. No painel esquerdo, escolha VPN, Configurações. Em VPN Policies, escolha Adicionar....

  3. Na janela de política VPN na guia Geral , conclua com as seguintes informações:

    • Policy Type (Tipo de política): escolha Tunnel Interface (Interface do túnel).

    • Em Método de autenticação: Escolha IKE using Preshared Secret.

    • Nome: Insira um nome para a política VPN. Recomendamos que você use o nome do ID VPN, conforme fornecido no arquivo de configuração.

    • IPsec Primary Gateway Name ou Address (Nome ou endereço do gateway IPsec principal): insira o endereço IP do gateway privado virtual conforme fornecido no arquivo de configuração (por exemplo, 72.21.209.193).

    • Nome ou endereço IPsec Secondary Gateway: Deixe o valor padrão.

    • Shared Secret: Insira a chave pré-compartilhada conforme fornecida no arquivo de configuração, e insira-a novamente em Confirm Shared Secret.

    • Local IKE ID: insira o endereço IPv4 do gateway do cliente (o dispositivo SonicWALL).

    • Peer IKE ID: insira o endereço IPv4 do gateway privado virtual.

  4. Na guia Network, conclua com as seguintes informações:

    • Em Local Networks, escolha Any address. Recomendamos esta opção para evitar problemas de conectividade na rede local.

    • Em Remote Networks, escolha Choose a destination network from list. Crie um objeto de endereço com o CIDR da VPC na AWS.

  5. Na guia Proposals (Propostas) conclua com as seguintes informações.

    • Em IKE (Phase 1) Proposal, faça o seguinte:

      • Exchange: Escolha Main Mode.

      • DH Group (Grupo DH): insira um valor para o grupo Diffie-Hellman (por exemplo, 2).

      • Encryption: Escolha AES-128 ou AES-256.

      • Autenticação: Escolha SHA1 ou SHA256.

      • Life Time: Insira 28800.

    • Em IKE (Phase 2) Proposal, faça o seguinte:

      • Protocol: Escolha ESP.

      • Encryption: Escolha AES-128 ou AES-256.

      • Autenticação: Escolha SHA1 ou SHA256.

      • Selecione a caixa de seleção Enable Perfect Forward Secrecy e escolha o grupo Diffie-Hellman.

      • Life Time: Insira 3600.

    Importante

    Se criou o gateway privado virtual antes de outubro de 2015, você deve especificar Diffie-Hellman grupo 2, AES-128 e SHA1 para ambas as fases.

  6. Na guia Advanced conclua com as seguintes informações:

    • Selecione Enable Keep Alive.

    • Selecione Enable Phase2 Dead Peer Detection e insira o seguinte:

      • Em Dead Peer Detection Interval, insira 60 (este é o mínimo que o dispositivo SonicWALL aceita).

      • Em Failure Trigger Level, insira 3.

    • Em VPN Policy bound to, selecione Interface X1. Essa é a interface designada normalmente para endereços IP públicos.

  7. Escolha OK. Na página Configurações a caixa de seleção Habilitar para o túnel deve ser selecionada por padrão. Um ponto verde indica que o túnel está ativo.

Informações adicionais para dispositivos Cisco

Alguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possível ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses Cisco ASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Para dispositivos Cisco, é necessário fazer o seguinte:

  • Configurar a interface externa.

  • Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.

  • Garanta que o número Crypto List Policy Sequence seja exclusivo.

  • Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com qualquer outro túnel IPsec configurado no dispositivo.

  • Garantir que o número de monitoramento de SLA seja exclusivo.

  • Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.

Testar

Para obter mais informações sobre como testar sua conexão do Site-to-Site VPN, consulte Testar uma conexão do Site-to-Site VPN.