As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O dispositivo de gateway do cliente
Um dispositivo de gateway de cliente é um dispositivo físico ou de software que você possui ou gerencia em sua rede local (do seu lado de uma conexão do Site-to-Site VPN). Você ou o administrador de rede devem configurar o dispositivo para funcionar com a conexão do Site-to-Site VPN.
O diagrama a seguir mostra a rede, o dispositivo de gateway do cliente e a conexão VPN que vai para o gateway privado virtual anexado à VPC. As duas linhas entre o gateway do cliente e o gateway privado virtual representam os túneis para a conexão VPN. Se houver uma falha no dispositivo AWS, sua conexão VPN automaticamente passará para o segundo túnel para que seu acesso não seja interrompido. De tempos em tempos, AWS também realiza manutenção de rotina na conexão VPN, o que pode desativar brevemente um dos dois túneis da sua conexão VPN. Para ter mais informações, consulte Substituições de endpoint de túnel Site-to-Site VPN. É importante configurar o dispositivo de gateway do cliente para usar os dois túneis.
Para obter as etapas para configurar uma conexão VPN, consulte Conceitos básicos do AWS Site-to-Site VPN. Durante esse processo, você cria um recurso de gateway do cliente no AWS, que fornece informações AWS sobre seu dispositivo, por exemplo, seu endereço IP público. Para ter mais informações, consulte Opções de gateway do cliente para a conexão de VPN de local a local. O recurso de gateway do cliente em AWS não configura nem cria o dispositivo de gateway do cliente. Você precisará configurar o dispositivo por conta própria.
Também é possível encontrar dispositivos de programa de VPN no AWS Marketplace
Tópicos
- Exemplo de arquivos de configuração
- Requisitos do seu dispositivo de gateway do cliente
- Práticas recomendadas para o dispositivo de gateway do cliente
- Regras de firewall
- Cenários de várias conexões VPN
- Roteamento para o dispositivo de gateway do cliente
- Exemplo de configurações para roteamento estático
- Exemplo de configurações para roteamento dinâmico (BGP)
- Configurar o Windows Server como um dispositivo de gateway do cliente
- Solução de problemas
Exemplo de arquivos de configuração
Depois de criar a conexão VPN, você também tem a opção de baixar um arquivo de configuração de exemplo fornecido pela AWS do console da Amazon VPC ou usando a API do EC2. Consulte Etapa 6: baixar o arquivo de configuração para obter mais informações. Você também pode baixar arquivos .zip de configurações de exemplo especificamente para roteamento estático vs. dinâmico:
Baixar arquivos .zip
-
Configuração estática: Exemplo de arquivos de configuração
-
Configuração dinâmica: Exemplo de arquivos de configuração
O arquivo AWS de configuração de amostra fornecido contém informações específicas da sua conexão VPN que você pode usar para configurar seu dispositivo de gateway do cliente. Esses arquivos de configuração específicos do dispositivo estão disponíveis para dispositivos testados pela AWS. Se o dispositivo de gateway do cliente específico não estiver listado, você poderá baixar um arquivo de configuração genérica para começar.
Importante
O arquivo de configuração é apenas um exemplo e pode não corresponder às configurações da conexão Site-to-Site VPN pretendidas. Ele especifica os requisitos mínimos para uma conexão VPN Site-to-Site do AES128, SHA1 e Diffie-Hellman do grupo 2 AWS na maioria das regiões e do grupo AES128, SHA2 e Diffie-Hellman 14 nas regiões. AWS GovCloud Ele também especifica chaves pré-compartilhadas para autenticação. É necessário modificar o arquivo de configuração de exemplo para usufruir dos algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego IPv6.
nota
Esses arquivos de configuração específicos do dispositivo são fornecidos com AWS base no melhor esforço. Embora tenham sido testados por AWS, esse teste é limitado. Em caso de problemas com os arquivos de configuração, talvez seja necessário entrar em contato com o fornecedor específico para obter suporte adicional.
A tabela a seguir contém uma lista de dispositivos que têm um arquivo de configuração de exemplo disponível para download atualizado para oferecer suporte a IKEv2. Introduzimos o suporte a IKEv2 nos arquivos de configuração para muitos dispositivos de gateway de clientes populares e continuaremos a adicionar novos arquivos ao longo do tempo. Esta lista será atualizada à medida que mais arquivos de configuração de exemplo forem adicionados.
| Vendor | Plataforma | Software |
|---|---|---|
|
Ponto de verificação |
Gaia |
R80.10+ |
|
Cisco Meraki |
MX Series |
15.12+ (WebUI) |
|
Cisco Systems, Inc. |
ASA 5500 Series |
ASA 9.7+ VTI |
|
Cisco Systems, Inc. |
CSRv AMI |
IOS 12.4+ |
|
Fortinet |
Fortigate 40+ Series |
FortiOS 6.4.4+ (GUI) |
|
Juniper Networks, Inc. |
J-Series Routers |
JunOS 9.5+ |
|
Juniper Networks, Inc. |
SRX Routers |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6.44.3 |
|
Palo Alto Networks |
PA Series |
PANOS 7.0+ |
|
SonicWall |
NSA, TZ |
OS 6.5 |
|
Sophos |
Sophos Firewall |
v19+ |
|
Strongswan |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
RTX Routers |
Rev.10.01.16+ |
Requisitos do seu dispositivo de gateway do cliente
Se você tem um dispositivo que não está na lista anterior de exemplos, esta seção descreve os requisitos que o dispositivo deve atender para que seja usado a fim de estabelecer uma conexão do Site-to-Site VPN.
Há quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Os símbolos a seguir representam cada parte da configuração.
|
Associação de segurança do Internet Key Exchange (IKE). Isso é necessário para trocar as chaves usadas para estabelecer a associação de segurança IPsec. |
|
Associação de segurança IPsec. Isso lida com a criptografia do túnel, com a autenticação e assim por diante. |
|
Interface do túnel. Isso recebe tráfego de e para o túnel. |
|
(Opcional) Emparelhamento de Border Gateway Protocol (BGP) Para dispositivos que usam BGP, isso troca as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual. |
A tabela a seguir lista os requisitos para o dispositivo de gateway do cliente, o RFC relacionado (para referência) e comentários sobre os requisitos.
Cada conexão VPN consiste em dois túneis separados. Cada túnel contém uma associação de segurança IKE, uma associação de segurança IPsec e um emparelhamento de BGP. Você está limitado a um par exclusivo de associação de segurança (SA) por túnel (um de entrada e um de saída) e, portanto, a dois pares de SA exclusivos no total para dois túneis (quatro SAs). Alguns dispositivos usam uma VPN baseada em política e criam a mesma quantidade de SAs que as entradas da ACL. Assim, talvez seja necessário consolidar as regras e, depois, filtrar para não permitir o tráfego indesejado.
Por padrão, o túnel da VPN é ativado quando o tráfego é gerado e a negociação do protocolo IKE é iniciada do seu lado da conexão VPN. Em vez disso, você pode configurar a conexão VPN para iniciar a negociação IKE do AWS lado da conexão. Para ter mais informações, consulte Opções de iniciação de túnel do Site-to-Site VPN.
Os endpoints de VPN oferecem suporte ao rechaveamento e poderão iniciar renegociações quando a fase 1 estiver prestes a expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego de renegociação.
| Requisito | RFC | Comentários |
|---|---|---|
|
Estabelecer associação de segurança IKE
|
A associação de segurança IKE é estabelecida primeiro entre o gateway privado virtual e o dispositivo de gateway do cliente usando uma chave pré-compartilhada ou um certificado privado usado AWS Private Certificate Authority como autenticador. Quando estabelecido, o IKE negocia uma chave efêmera para proteger futuras mensagens de IKE. Deve haver um acordo completo entre os parâmetros, incluindo parâmetros de criptografia e de autenticação. Ao criar uma conexão VPN no AWS, você pode especificar sua própria chave pré-compartilhada para cada túnel ou deixar AWS gerar uma para você. Como alternativa, você pode especificar o certificado privado usado AWS Private Certificate Authority para usar em seu dispositivo de gateway do cliente. Para obter mais informações, sobre como configurar túneis da VPN, consulte Opções de túnel para a conexão do Site-to-Site VPN. Há suporte para as seguintes versões: IKEv1 e IKEv2. Na versão IKEv1, há suporte apenas para o modo Principal O serviço Site-to-Site VPN é uma solução com base em rota. Se você estiver usando uma configuração com base em políticas, limite a configuração a uma única associação de segurança (SA). |
|
|
Estabelecer associações de segurança IPsec no modo de túnel
|
Usando a chave efêmera de IKE, as chaves são estabelecidas entre o gateway privado virtual e o dispositivo de gateway do cliente para formar uma associação de segurança (SA) IPsec. O tráfego entre os gateways é criptografado e descriptografado. usando essa SA. Usadas para criptografar o tráfego dentro da SA IPsec, as chaves efêmeras são alteradas automática e regularmente pela IKE para garantir a confidencialidade das comunicações. |
|
|
Usar a função de criptografia AES de 128 bits ou AES de 256 bits |
A função de criptografia é usada para garantir a privacidade das associações de segurança IKE e IPsec. |
|
|
Usar a função de hashing SHA-1 ou SHA-2 (256) |
Essa função de hashing é usada para autenticar as associações de segurança IKE e IPsec. |
|
|
Use o Diffie-Hellman Perfect Forward Secrecy. |
O IKE usa Diffie-Hellman para estabelecer chaves efêmeras para proteger toda a comunicação entre os dispositivos de gateway do cliente e os gateways privados virtuais. Os seguintes grupos são compatíveis:
|
|
|
(Conexões VPN roteadas dinamicamente) Usar Dead Peer Detection do IPsec |
O Dead Peer Detection permite que os dispositivos de VPN identifiquem rapidamente quando uma condição de rede impede a entrega de pacotes pela Internet. Quando isso ocorre, os gateways excluem as associações de segurança e tentam criar outras associações. Durante esse processo, quando possível, o túnel IPsec alternativo é utilizado. |
|
|
(Conexões VPN roteadas dinamicamente) Vincular o túnel à interface lógica (VPN baseada em rota)
|
Nenhum |
O dispositivo deve ser capaz de vincular o túnel IPsec a uma interface lógica. A interface lógica contém um endereço IP que é usado para estabelecer o emparelhamento de BGP com o gateway privado virtual. Essa interface lógica não deve executar encapsulamento adicional (por exemplo, GRE ou IP em IP). A interface deve ser configurada para uma Maximum Transmission Unit (MTU) de 1.399 bytes. |
|
(Conexões VPN roteadas dinamicamente) Estabelecer emparelhamentos de BGP
|
O BGP é usado para trocar as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual para dispositivos que usam o BGP. Todo o tráfego de BGP é criptografado e transmitido por meio da associação de segurança IPsec. O BGP é necessário para que ambos os gateways troquem os prefixos IP que são acessíveis por meio da SA de IPsec. |
Uma conexão AWS VPN não oferece suporte ao Path MTU Discovery (RFC 1191
Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte Configurar um firewall entre a Internet e o dispositivo de gateway do cliente.
Práticas recomendadas para o dispositivo de gateway do cliente
Redefinir o sinalizador “Não fragmentar (DF)” nos pacotes
Alguns pacotes carregam um sinalizador chamado de Não fragmentar (DF), que indica que o pacote não deve ser fragmentado. Quando os pacotes usam o sinalizador, os gateways geram uma mensagem de MTU de caminho ICMP excedido. Em alguns casos, as aplicações não possuem mecanismos adequados para processar essas mensagens ICMP e para reduzir a quantidade de dados transmitidos em cada pacote. Alguns dispositivos VPN podem substituir o sinalizador DF e fragmentar os pacotes incondicionalmente, se necessário. Se o dispositivo de gateway do cliente tiver essa capacidade, recomendamos o uso, conforme apropriado. Consulte RFC 791
Fragmentar pacotes IP antes da criptografia
Se os pacotes enviados pela sua conexão VPN Site-to-Site excederem o tamanho da MTU, eles deverão estar fragmentados. Para evitar a diminuição do desempenho, recomendamos que você configure seu dispositivo de gateway do cliente para fragmentar os pacotes antes de serem criptografados. A VPN Site-to-Site então reunirá todos os pacotes fragmentados antes de encaminhá-los para o próximo destino, a fim de obter maiores fluxos pela rede. packet-per-second AWS Consulte RFC 4459
Certifique-se de que o tamanho do pacote não exceda a MTU para redes de destino
Como a VPN Site-to-Site reunirá todos os pacotes fragmentados recebidos do dispositivo de gateway do cliente antes de encaminhá-los para o próximo destino, lembre-se de que pode haver considerações sobre o tamanho do pacote/MTU nas redes de destino para as quais esses pacotes serão encaminhados em seguida, como por exemplo. AWS Direct Connect
Ajuste os tamanhos MTU e MSS de acordo com os algoritmos em uso
Os pacotes TCP são frequentemente o tipo de pacote que mais comum nos túneis IPsec. Uma VPN Site-to-Site suporta uma unidade de transmissão máxima (MTU) de 1446 bytes e um tamanho máximo de segmento correspondente (MSS) de 1406 bytes. No entanto, os algoritmos de criptografia têm tamanhos de cabeçalho variados e podem impedir a capacidade de atingir esses valores máximos. Para obter a performance ideal evitando a fragmentação, recomendamos que você defina o MTU e o MSS com base especificamente nos algoritmos que estão sendo usados.
Use a tabela a seguir para configurar o MTU/MSS para evitar fragmentação e alcançar a performance ideal:
| Algoritmo de criptografia | Algoritmo de hash | NAT Traversal | MTU | MSS (IPv4) | MSS (IPv6 em IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/D |
desabilitado |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/D |
habilitado |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1, SHA2-256 |
desabilitado |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
habilitado |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
desabilitado |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
habilitado |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
desabilitado |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
habilitado |
1406 |
1366 |
1346 |
nota
Os algoritmos AES-GCM cobrem criptografia e autenticação, portanto, não há escolha de algoritmo de autenticação distinta que afetaria a MTU.
Configurar um firewall entre a Internet e o dispositivo de gateway do cliente
Você deve ter um endereço IP estático para usar como ponto final dos túneis IPsec que conectam seu dispositivo de gateway do cliente aos endpoints. AWS Site-to-Site VPN Se houver um firewall entre AWS e seu dispositivo de gateway do cliente, as regras nas tabelas a seguir devem estar em vigor para estabelecer os túneis IPsec. Os endereços IP do AWS lado -estarão no arquivo de configuração.
|
Regra de entrada I1 |
|
|---|---|
|
IP de origem |
IP externo do túnel 1 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Destino |
500 |
|
Regra de entrada I2 |
|
|
IP de origem |
IP externo do túnel 2 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Porta de destino |
500 |
|
Regra de entrada I3 |
|
|
IP de origem |
IP externo do túnel 1 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regra de entrada I4 |
|
|
IP de origem |
IP externo do túnel 2 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regra de saída O1 |
|
|---|---|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 1 |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Porta de destino |
500 |
|
Regra de saída O2 |
|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 2 |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Porta de destino |
500 |
|
Regra de saída O3 |
|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 1 |
|
Protocolo |
IP 50 (ESP) |
|
Regra de saída O4 |
|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 2 |
|
Protocolo |
IP 50 (ESP) |
As regras I1, I2, O1 e O2 permitem a transmissão de pacotes IKE. As regras I3, I4, O3 e O4 permitem a transmissão de pacotes IPsec que contêm o tráfego de rede criptografado.
nota
Se você estiver usando NAT traversal (NAT-T) em seu dispositivo, certifique-se de que o tráfego UDP na porta 4500 também possa passar entre sua rede e os endpoints. AWS Site-to-Site VPN Verifique se o seu dispositivo está anunciando NAT-T.
Cenários de várias conexões VPN
Veja a seguir os cenários em que você pode criar várias conexões VPN com um ou mais dispositivos de gateway do cliente.
Várias conexões VPN usando o mesmo dispositivo de gateway do cliente
É possível criar conexões VPN adicionais do local para outras VPCs usando o mesmo dispositivo de gateway do cliente. É possível reutilizar o mesmo endereço IP de gateway do cliente para cada uma das conexões VPN.
Conexão VPN redundante usando um segundo dispositivo de gateway do cliente
Para se proteger contra uma perda de conectividade, caso o dispositivo de gateway do cliente fique indisponível, é possível configurar uma segunda conexão VPN usando um segundo dispositivo de gateway do cliente. Para ter mais informações, consulte Utilização de conexões do Site-to-Site VPN redundantes para realizar failover. Ao estabelecer dispositivos de gateway do cliente redundantes em uma única localização, os dois dispositivos devem anunciar os mesmos intervalos de IP.
Vários dispositivos de gateway do cliente em um único gateway privado virtual (AWS VPN CloudHub)
É possível estabelecer várias conexões VPN com um único gateway privado virtual a partir de vários gateways do cliente. Isso permite que você tenha vários locais conectados à AWS VPN CloudHub. Para ter mais informações, consulte Garantir a segurança da comunicação entre os sites, usando o VPN CloudHub. Quando há dispositivos de gateway do cliente em várias localizações geográficas, cada dispositivo deve anunciar um conjunto exclusivo de intervalos de IP específicos da localização.
Roteamento para o dispositivo de gateway do cliente
AWS recomenda anunciar rotas BGP específicas para influenciar as decisões de roteamento no gateway privado virtual. Verifique as informações sobre comandos específicos do dispositivo na documentação do fornecedor.
Ao criar várias conexões VPN, o gateway privado virtual envia tráfego de rede para a conexão VPN apropriada, usando rotas atribuídas estaticamente ou anúncios de rotas de BGP. Qual rota será usada dependerá de como a conexão VPN foi configurada. Quando há rotas idênticas no gateway privado virtual, deve-se preferir as rotas atribuídas estaticamente, em detrimento das rotas anunciadas pela BGP. Se você optar por usar o anúncio do BGP, não poderá especificar rotas estáticas.
Para obter mais informações sobre prioridade de rotas, consulte Tabelas de rotas e prioridade de rota da VPN.
