amazon virtual private cloud - aws documentation · aws vpn cloudhub e gateways do cliente...

Amazon Virtual Private CloudGuia do administrador de redes


Amazon Virtual Private Cloud: Guia do administrador de redesCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsBem-vindo ......................................................................................................................................... 1Seu gateway do cliente ....................................................................................................................... 2

O que é um gateway do cliente? .................................................................................................. 2Sua função ........................................................................................................................ 3

Visão geral da configuração de uma conexão VPN .......................................................................... 4Informações da rede ........................................................................................................... 4

AWS VPN CloudHub e gateways do cliente redundantes .................................................................. 5Configuração de várias conexões VPN para a VPC ......................................................................... 5Dispositivos de gateway do cliente testados ................................................................................... 7Requisitos do seu gateway do cliente ............................................................................................ 8Configuração de um firewall entre o seu gateway do cliente e a Internet ............................................ 11

Exemplo: dispositivo Check Point usando BGP ..................................................................................... 13Visão detalhada do gateway do cliente ........................................................................................ 13Arquivo de configuração ............................................................................................................ 13Configuração do dispositivo Check Point ...................................................................................... 14

Etapa 1: configurar a interface dos túneis ............................................................................. 15Etapa 2: configurar o BGP ................................................................................................. 16Etapa 3: Criar objetos de rede ............................................................................................ 16Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec .............................................. 17Etapa 5: configurar o firewall .............................................................................................. 19Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP ................................................ 20

Como testar a configuração do gateway do cliente ........................................................................ 21Exemplo: dispositivo Check Point (sem BGP) ........................................................................................ 24

Visão detalhada do gateway do cliente ........................................................................................ 24Arquivo de configuração ............................................................................................................ 25Configuração do dispositivo Check Point ...................................................................................... 25

Etapa 1: configurar uma interface de túnel ............................................................................ 26Etapa 2: configurar uma rota estática ................................................................................... 27Etapa 3: Criar objetos de rede ............................................................................................ 29Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec .............................................. 30Etapa 5: configurar o firewall .............................................................................................. 31Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP ................................................ 32

Como testar a configuração do gateway do cliente ........................................................................ 33Exemplo: dispositivo Cisco ASA .......................................................................................................... 36

uma visão detalhada do gateway do cliente .................................................................................. 36Umaa configuração de exemplo .................................................................................................. 37Como testar a configuração do gateway do cliente ........................................................................ 41

Exemplo: dispositivo de Cisco ASA com VTI e BGP .............................................................................. 43uma visão detalhada do gateway do cliente .................................................................................. 43Exemplo de configuração ........................................................................................................... 44Como testar a configuração do gateway do cliente ........................................................................ 49

Exemplo: dispositivo de Cisco ASA com VTI (sem BGP) ........................................................................ 51uma visão detalhada do gateway do cliente .................................................................................. 51Exemplo de configuração ........................................................................................................... 52Como testar a configuração do gateway do cliente ........................................................................ 57

Exemplo: Dispositivo Cisco IOS .......................................................................................................... 59uma visão detalhada do gateway do cliente .................................................................................. 60Uma visão detalhada do gateway do cliente e uma configuração de exemplo ..................................... 61Como testar a configuração do gateway do cliente ........................................................................ 67

Exemplo: dispositivo Cisco IOS (sem BGP) .......................................................................................... 70uma visão detalhada do gateway do cliente .................................................................................. 70Uma visão detalhada do gateway do cliente e uma configuração de exemplo ..................................... 71Como testar a configuração do gateway do cliente ........................................................................ 76

Exemplo: dispositivo Dell SonicWALL .................................................................................................. 79

iii


uma visão detalhada do gateway do cliente .................................................................................. 79Exemplo: arquivo de configuração ............................................................................................... 80Configurar o dispositivo SonicWALL, usando a interface de gerenciamento ........................................ 83Como testar a configuração do gateway do cliente ........................................................................ 84

Exemplo: dispositivo Dell SonicWALL (sem BGP) .................................................................................. 86uma visão detalhada do gateway do cliente .................................................................................. 86Exemplo: arquivo de configuração ............................................................................................... 87Configurar o dispositivo SonicWALL, usando a interface de gerenciamento ........................................ 90Como testar a configuração do gateway do cliente ........................................................................ 92

Exemplo: dispositivo Fortinet Fortigate ................................................................................................. 94uma visão detalhada do gateway do cliente .................................................................................. 95Uma visão detalhada do gateway do cliente e uma configuração de exemplo ..................................... 95Como testar a configuração do gateway do cliente ....................................................................... 103

Exemplo: dispositivo Juniper J-Series com o JunOS ............................................................................. 105uma visão detalhada do gateway do cliente ................................................................................ 106Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 107Como testar a configuração do gateway do cliente ....................................................................... 113

Exemplo: dispositivo Juniper SRX com o JunOS .................................................................................. 115uma visão detalhada do gateway do cliente ................................................................................ 116Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 117Como testar a configuração do gateway do cliente ....................................................................... 123

Exemplo: Dispositivo Juniper ScreenOS ............................................................................................. 125uma visão detalhada do gateway do cliente ................................................................................ 126Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 127Como testar a configuração do gateway do cliente ....................................................................... 132

Exemplo: dispositivo Netgate PfSense (sem BGP) ............................................................................... 135uma visão detalhada do gateway do cliente ................................................................................ 135Configuração de exemplo ......................................................................................................... 136Como testar a configuração do gateway do cliente ....................................................................... 139

Exemplo: Dispositivo Palo Alto Networks ............................................................................................ 141uma visão detalhada do gateway do cliente ................................................................................ 142Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 142Como testar a configuração do gateway do cliente ....................................................................... 149

Exemplo: dispositivo Yamaha ............................................................................................................ 151uma visão detalhada do gateway do cliente ................................................................................ 152Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 152Como testar a configuração do gateway do cliente ....................................................................... 158

Exemplo: gateway de cliente genérico que usa BGP ............................................................................ 160uma visão detalhada do gateway do cliente ................................................................................ 161Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 161Como testar a configuração do gateway do cliente ....................................................................... 166

Exemplo: Generic Customer Gateway (sem BGP) ................................................................................ 168uma visão detalhada do gateway do cliente ................................................................................ 169Uma visão detalhada do gateway do cliente e uma configuração de exemplo ................................... 169Como testar a configuração do gateway do cliente ....................................................................... 174

Solução de problemas ..................................................................................................................... 176Conectividade de gateway de cliente Cisco ASA .......................................................................... 176

IKE ............................................................................................................................... 176IPsec ............................................................................................................................. 177Roteamento .................................................................................................................... 178

Conectividade de gateway de cliente do Cisco IOS ...................................................................... 179IKE ............................................................................................................................... 179IPsec ............................................................................................................................. 180Túnel ............................................................................................................................. 181BGP .............................................................................................................................. 182Conexão de um gateway privado virtual ............................................................................. 183

Conectividade de gateway de cliente do Cisco IOS (sem BGP) ...................................................... 183

iv


IKE ............................................................................................................................... 184IPsec ............................................................................................................................. 184Túnel ............................................................................................................................. 186Conexão de um gateway privado virtual ............................................................................. 188

Conectividade de gateway de cliente do Juniper JunOS ................................................................ 188IKE ............................................................................................................................... 188IPsec ............................................................................................................................. 188Túnel ............................................................................................................................. 189BGP .............................................................................................................................. 189Conexão de um gateway privado virtual ............................................................................. 191

Conectividade de gateway de cliente do Juniper ScreenOS ........................................................... 191IKE e IPsec .................................................................................................................... 191Túnel ............................................................................................................................. 191BGP .............................................................................................................................. 192Conexão de um gateway privado virtual ............................................................................. 194

Conectividade de gateway de cliente da Yamaha ......................................................................... 194IKE ............................................................................................................................... 194IPsec ............................................................................................................................. 194Túnel ............................................................................................................................. 195BGP .............................................................................................................................. 196Conexão de um gateway privado virtual ............................................................................. 197

Conectividade de gateway de cliente em dispositivo genérico ........................................................ 197Conectividade de gateway de cliente em dispositivo genérico (com BGP) ........................................ 200

Configuração do Windows Server 2008 R2 como gateway do cliente ...................................................... 204Configuração do Windows Server .............................................................................................. 204Etapa 1: Criar uma conexão VPN e configurar a VPC ................................................................. 205Etapa 2: fazer download do arquivo de configuração para a conexão VPN ....................................... 206Etapa 3: configurar o Windows Server ....................................................................................... 207Etapa 4: configurar o túnel de VPN ........................................................................................... 210

Opção 1: Executar script netsh ......................................................................................... 210Opção 2: usar a interface de usuário do servidor Windows .................................................... 210

Etapa 5: habilitar a detecção de gateway inativo .......................................................................... 216Etapa 6: testar a conexão VPN ................................................................................................. 217

Configuração do Windows Server 2012 R2 como gateway do cliente ...................................................... 219Configuração do Windows Server .............................................................................................. 219Etapa 1: Criar uma conexão VPN e configurar a VPC ................................................................. 220Etapa 2: fazer download do arquivo de configuração para a conexão VPN ....................................... 221Etapa 3: configurar o Windows Server ....................................................................................... 223Etapa 4: configurar o túnel de VPN ........................................................................................... 223

Opção 1: Executar script netsh ......................................................................................... 224Opção 2: usar a interface de usuário do servidor Windows .................................................... 2242.4: Configurar o Firewall do Windows ............................................................................... 228

Etapa 5: habilitar a detecção de gateway inativo .......................................................................... 229Etapa 6: testar a conexão VPN ................................................................................................. 230

Histórico do documento .................................................................................................................... 232

v


Bem-vindoBem-vindo ao Guia de administrador de rede do Amazon VPC. Este guia destina-se a clientes quepretendem usar uma conexão VPN de IPsec gerenciada pela AWS com sua nuvem privada virtual (VPC).Os tópicos deste guia podem ajudá-lo a configurar o gateway do cliente, que é o dispositivo da conexãoVPN do seu lado.

A conexão VPN permite que você faça uma ponte entre sua VPC e a infraestrutura de TI e estenda suaspolíticas atuais de segurança e gerenciamento para instâncias do EC2 na VPC como se estivessem sendoexecutadas em sua infraestrutura.

Para obter mais informações, consulte os tópicos a seguir:

• Seu gateway do cliente (p. 2)• Exemplo: dispositivo Check Point com protocolo de gateway de borda (p. 13)• Exemplo: dispositivo Check Point sem protocolo de gateway de borda (p. 24)• Exemplo: dispositivo Cisco ASA (p. 36)• Exemplo: Dispositivo Cisco IOS (p. 59)• Exemplo: dispositivo Cisco IOS sem protocolo de gateway de borda (p. 70)• Exemplo: dispositivo de Cisco ASA com interface de túnel virtual e Border Gateway Protocol (p. 43)• Exemplo: dispositivo de Cisco ASA com interface de túnel virtual (sem Border Gateway

Protocol) (p. 51)• Exemplo: dispositivo Dell SonicWALL SonicOS sem protocolo de gateway de borda (p. 86)• Exemplo: dispositivo Dell SonicWALL (p. 79)• Exemplo: dispositivo Juniper J-Series com o JunOS (p. 105)• Exemplo: dispositivo Juniper SRX com o JunOS (p. 115)• Exemplo: Dispositivo Juniper ScreenOS (p. 125)• Exemplo: dispositivo Netgate PfSense sem protocolo de gateway de ponta (p. 135)• Exemplo: Dispositivo Palo Alto Networks (p. 141)• Exemplo: dispositivo Yamaha (p. 151)• Exemplo: gateway de cliente genérico que usa protocolo de gateway de borda (p. 160)• Exemplo: Generic Customer Gateway without Border Gateway Protocol (p. 168)• Configuração do Windows Server 2008 R2 como gateway do cliente (p. 204)• Configuração do Windows Server 2012 R2 como gateway do cliente (p. 219)

1

Amazon Virtual Private CloudGuia do administrador de redesO que é um gateway do cliente?

Seu gateway do clienteTópicos

• O que é um gateway do cliente? (p. 2)• Visão geral da configuração de uma conexão VPN (p. 4)• AWS VPN CloudHub e gateways do cliente redundantes (p. 5)• Configuração de várias conexões VPN para a VPC (p. 5)• Dispositivos de gateway do cliente testados (p. 7)• Requisitos do seu gateway do cliente (p. 8)• Configuração de um firewall entre o seu gateway do cliente e a Internet (p. 11)

O que é um gateway do cliente?Uma conexão VPN do Amazon VPC liga seu datacenter (ou rede) à nuvem privada virtual (VPC) do seuAmazon VPC. O gateway do cliente é a âncora do seu lado nesta conexão. Isso pode ser um dispositivofísico ou software. A âncora do lado da AWS da conexão VPN é chamada de gateway privado virtual.

O diagrama a seguir mostra a rede, o gateway do cliente, a conexão VPN que vai para o gateway privadovirtual e a VPC. Há duas linhas entre o gateway do cliente e o gateway privado virtual, pois a conexão VPNconsiste em dois túneis para fornecer maior disponibilidade ao serviço do Amazon VPC. Se houver umafalha no dispositivo dentro da AWS, sua conexão VPN realizará automaticamente failover no segundo túnelpara que seu acesso não seja interrompido. De tempos em tempos, a AWS também executa manutençãorotineira no gateway privado virtual, que pode desativar brevemente um dos dois túneis da conexão VPN.Durante essa manutenção, a conexão VPN realizará failover automaticamente no segundo túnel. Aoconfigurar o gateway do cliente, é importante configurar ambos os túneis.

2


Sua função

É possível criar conexões VPN adicionais para outras VPCs, usando o mesmo dispositivo de gateway docliente. É possível reutilizar o mesmo endereço IP de gateway do cliente para cada uma das conexõesVPN.

Ao criar uma conexão VPN, o túnel VPN surge quando o tráfego é gerado no seu lado da conexão VPN. Ogateway privado virtual não é o iniciador, seu gateway do cliente deve iniciar os túneis.

Para obter mais informações sobre os componentes de uma conexão VPN, consulte Conexões VPN noGuia do usuário da Amazon VPC.

Caso o gateway do cliente fique indisponível, proteja-se da perda de conectividade, configurando umasegunda conexão VPN. Para obter mais informações, consulte Utilização de conexões VPN redundantespara realizar failover.

Sua funçãoAo longo deste guia, faremos referência à equipe de integração da sua empresa, que são as pessoasresponsáveis pela integração da sua infraestrutura com a Amazon VPC. Esta equipe (que pode ou não

3

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNConnections

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNConnections


Visão geral da configuração de uma conexão VPN

consistir em você) deve usar o Console de Gerenciamento da AWS para criar uma conexão VPN e obteras informações de que você precisa para configurar seu gateway do cliente. Sua empresa pode terequipes específicas para cada tarefa (uma equipe de integração que usa o Console de Gerenciamentoda AWS e um grupo de engenharia de rede separado que acessa os dispositivos de rede e configura ogateway do cliente). Este guia pressupõe que você faz parte do grupo de engenharia de rede que recebeas informações da equipe de integração da empresa. Assim, você poderá configurar o dispositivo degateway do cliente.

Visão geral da configuração de uma conexão VPNO processo de configurar a conexão VPN na AWS está coberto no Guia do usuário da Amazon VPC. Umadas tarefas do processo geral é configurar o gateway do cliente. Para criar a conexão VPN, a AWS precisade informações sobre o gateway do cliente e você deve configurar o dispositivo do gateway do cliente emsi.

Para configurar uma conexão VPN, siga estas etapas gerais:

1. Escolha um dispositivo para atuar como gateway do cliente. Para obter mais informações, consulteDispositivos de gateway do cliente testados (p. 7) e Requisitos do seu gateway do cliente (p. 8).

2. Obtenha o Informações da rede (p. 4) necessário e forneça essas informações à equipe que vaicriar a conexão VPN na AWS.

3. Crie a conexão VPN na AWS e obtenha o arquivo de configuração para seu gateway do cliente. Paraobter mais informações, consulte Configuração de uma conexão VPN AWS; no Guia do usuário daAmazon VPC.

4. Configure seu gateway do cliente usando as informações do arquivo de configuração. Os exemplos sãofornecidos neste guia.

5. Gere tráfego do seu lado da conexão VPN para acessar o túnel da VPN.

Informações da redePara criar uma conexão VPN na AWS, você precisa das informações a seguir.

Item Comentários

O fornecedor do gateway do cliente (por exemplo,Cisco), a plataforma (por exemplo, roteadores dasérie ISR) e a versão do software (por exemplo,IOS 12.4)

Essas informações são usadas para gerar umarquivo de configuração para o gateway do cliente.

O endereço IP roteável na internet para a interfaceexterna do dispositivo do gateway do cliente.

O valor deve ser estático. O gateway do clientepode estar por trás de um dispositivo que estejaexecutando a conversão de endereços de rede(NAT).

(Opcional) Número de sistema autônomo (ASN)do Border Gateway Protocol (BGP) do gateway docliente.

É possível usar um ASN já existente e atribuídopara a rede. Se não possuir um, você poderá usarum ASN privado (no intervalo de 64512 a 65534).Caso contrário, supomos que o BGP ASN dogateway do cliente seja 65000.

(Opcional) O ASN para o lado da Amazon dasessão BGP.

Especificado na criação de um gateway privadovirtual. Se você não especificar um valor, oASN padrão será aplicado. Para obter maisinformações, consulte Gateway privado virtual.

4

http://aws.amazon.com/console

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/SetUpVPNConnections.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNGateway


AWS VPN CloudHub e gateways do cliente redundantes

Item Comentários

(Opcional) Informações de túnel para cada túnelVPN

Você pode especificar as seguintes informações detúnel para a conexão VPN:

• Dentro do CIDR do túnel• Chave pré-compartilhada para estabelecer a

associação de segurança IKE inicial entre ogateway privado virtual e o gateway do cliente.

Para obter mais informações, consulteConfiguração de túneis VPN para sua conexãoVPN.

AWS VPN CloudHub e gateways do clienteredundantes

É possível estabelecer várias conexões VPN a partir de um único gateway privado virtual ou de múltiplosgateways do cliente. Esta configuração pode ser usada de diferentes maneiras: com gateways de clienteredundantes entre seu datacenter e seu VPC ou com múltiplos locais conectados ao AWS VPN CloudHub.

Havendo gateways de cliente redundantes, cada gateway de cliente anuncia o mesmo prefixo (porexemplo, 0.0.0.0/0) para o gateway privado virtual. Usamos o roteamento BGP a fim de determinar ocaminho para o tráfego. Se um gateway do cliente falhar, o gateway privado virtual direcionará todo otráfego para o gateway do cliente em funcionamento.

Ao usar a configuração AWS VPN CloudHub, vários sites podem acessar sua VPC ou acessar um ao outrode forma segura usando um modelo simples de hub e spoke. Configure cada gateway do cliente paraanunciar um prefixo específico do site (como 10.0.0.0/24, 10.0.1.0/24) para o gateway privado virtual. Ogateway privado virtual direciona o tráfego para o site apropriado e anuncia a acessibilidade de um sitepara todos os outros sites.

Para configurar o AWS VPN CloudHub, use o console da Amazon VPC para criar vários gateways docliente, cada um com o endereço IP público do gateway. Você deve usar um número de sistema autônomo(ASN) do Border Gateway Protocol (BGP) exclusivo para cada um. Em seguida, crie uma conexão VPNde cada gateway do cliente para um gateway privado virtual em comum. Use as instruções a seguir paraconfigurar cada gateway do cliente para se conectar ao gateway privado virtual.

Para permitir que as instâncias na sua VPC alcancem o gateway privado virtual (e seus gateways docliente), é preciso configurar as rotas em suas tabelas de roteamento VPC. Para instruções completas,consulte Conexões VPN no Guia do usuário da Amazon VPC. Para o AWS VPN CloudHub, é possívelconfigurar uma rota agregada em sua tabela de roteamento VPC (por exemplo, 10.0.0.0/16) e usar prefixosmais específicos entre os gateways do cliente e o gateway privado virtual.

Configuração de várias conexões VPN para a VPCÉ possível criar até dez conexões VPN para a sua VPC. Você pode usar várias conexões VPN paravincular os seus escritórios remotos à mesma VPC. Por exemplo, se você tem escritórios em Los Angeles,Chicago, Nova York e Miami, é possível vincular cada desses escritórios a sua VPC. É possível, ainda,usar várias conexões VPN para estabelecer gateways do cliente redundantes a partir de uma únicalocalização.

5

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNTunnels


http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html


Configuração de várias conexões VPN para a VPC

Note

Se precisar de mais do que dez conexões VPN, preencha o formulário Solicitação para aumentaros limites da Amazon VPC para solicitar o aumento do limite.

Ao criar várias conexões VPN, o gateway privado virtual envia tráfego de rede para a conexão VPNapropriada, usando rotas atribuídas estaticamente ou anúncios de rotas BGP, dependendo de como aconexão VPN foi configurada. Quando há rotas idênticas no gateway privado virtual, deve-se preferir asrotas atribuídas estaticamente, em detrimento das rotas anunciadas pela BGP.

Quando há gateways do cliente em várias localizações geográficas, cada gateway do cliente deveanunciar um conjunto exclusivo de intervalos de IP específicos para a localização. Ao estabelecergateways do cliente redundantes em uma única localização, ambos os gateways devem anunciar osmesmos intervalos de IP.

O gateway privado virtual recebe informações de roteamento de todos os gateways do cliente e calcula oconjunto de caminhos preferidos, usando o melhor algoritmo de seleção de caminho BGP. As regras doalgoritmo, conforme aplicadas à VPC, são:

1. Preferir o prefixo IP mais específico (por exemplo, 10.0.0.0/24 é preferível a 10.0.0.0/16). Para obtermais informações, consulte Prioridade de rota em Guia do usuário da Amazon VPC.

2. Quando os prefixos forem os mesmos, as conexões VPN configuradas estaticamente são preferidas,caso elas existam. Para os prefixos correspondentes, em que cada conexão VPN usa o BGP, deve-se comparar o AS PATH e dar preferência ao prefixo com AS PATH mais curto. Ou, ainda, é possívelpreceder AS_PATH, diminuindo, assim, a preferência pelo caminho.

3. Quando AS PATHs forem do mesmo comprimento, deve-se comparar a origem do caminho. Os prefixoscom uma origem Interior Gateway Protocol (IGP) são preferidos em detrimento das origens de ExteriorGateway Protocol (EGP), que são preferidos em detrimento das origens desconhecidas.

O diagrama a seguir mostra a configuração de vários VPNs.

6

http://aws.amazon.com/contact-us/vpc-request/

http://aws.amazon.com/contact-us/vpc-request/

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#route-tables-priority


Dispositivos de gateway do cliente testados

Dispositivos de gateway do cliente testadosSeu gateway do cliente pode ser um dispositivo físico ou software.

Para obter mais informações sobre os roteadores específicos testados, consulte Quais dispositivos degateway do cliente funcionam com a Amazon VPC? na seção Conectividade das Perguntas frequentes daAmazon VPC.

Este guia apresenta informações sobre como configurar os seguintes dispositivos:

• Check Point Security Gateway executando software R77.10 (ou posterior)• Cisco ASA executando o software Cisco ASA 8.2 (ou posterior)• Cisco IOS executando o software Cisco IOS 12.4 (ou posterior)• Dell SonicWALL executando o software SonicOS 5.9 (ou posterior)• Software Fortinet Fortigate 40+ Series executando FortiOS 4.0 (ou posterior)• Juniper J-Series executando o software JunOS 9.5 (ou posterior)• Juniper SRX executando o software JunOS 11.0 (ou posterior)• Juniper SSG executando o software ScreenOS 6.1 ou 6.2 (ou mais recente)• Juniper ISG executando o software ScreenOS 6.1 ou 6.2 (ou mais recente)• Netgate pfSense executando o software OS 2.2.5 (ou posterior).• Software Palo Alto Networks PANOS 4.1.2 (ou posterior)• Roteadores Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 e SRT100• Software Microsoft Windows Server 2008 R2 (ou posterior)

7

https://aws.amazon.com/vpc/faqs/#Connectivity


Requisitos do seu gateway do cliente

• Software Microsoft Windows Server 2012 R2 (ou posterior)• Zyxel Zywall Series executando software 4.20 (ou posterior) para conexões VPN roteadas estaticamente

ou software 4.30 (ou posterior) para conexões VPN roteadas dinamicamente

Caso tenha um desses dispositivos, porém esteja configurado para IPsec de forma diversa ao apresentadoneste guia, sinta-se à vontade para alterar a configuração sugerida para atender às suas necessidadesespecíficas.

Requisitos do seu gateway do clienteHá quatro etapas principais para a configuração do seu gateway do cliente. Ao longo deste guia, usaremosum símbolo para cada uma dessas etapas, facilitando a compreensão sobre o que precisa ser feito. Atabela a seguir mostra as quatro etapas e os símbolos correspondentes.

Associação de segurança IKE (necessária para trocar as chaves usadas para estabelecera associação de segurança IPsec)

Associação de segurança IPsec (cuida da criptografia do túnel, da autenticação e assimpor diante)

Interface do túnel (recebe o tráfego de entrada e saída do túnel)

Optional Emparelhamento BGP (troca as rotas entre o gateway do cliente e o gateway privadovirtual) para dispositivos que usam BGP

Caso tenha um dispositivo que não conste na lista anterior de dispositivos testados, esta seção descreveos requisitos que o dispositivo deverá atender para você usá-lo com Amazon VPC. A tabela a seguir listaos requisitos que o gateway do cliente deve seguir, o RFC relacionado (para referência) e comentáriossobre os requisitos. Para obter um exemplo das informações de configuração se o seu dispositivo nãoestiver entre os dispositivos Cisco ou Juniper testados, consulte Exemplo: gateway de cliente genérico queusa protocolo de gateway de borda (p. 160).

Cada conexão VPN consiste em 2 túneis separados. Cada túnel contém uma associação de segurançaIKE, uma associação de segurança IPsec e um emparelhamento BGP. O limite é de 1 par exclusivo deassociação de segurança (SA) por túnel (1 entrada e 1 saída) e, com isso, 2 pares de SA exclusivosno total para 2 túneis (4 SAs). Alguns dispositivos usam VPN baseada em política e criarão a mesmaquantidade de SAs que as entradas de ACL. Portanto, talvez seja necessário consolidar as suas regras edepois filtrar, evitando, assim, o tráfego indesejado.

O túnel VPN surge quando o tráfego é gerado do seu lado da conexão VPN. O AWS endpoint não é oiniciador; seu gateway do cliente deve iniciar os túneis.

Requisito RFC Comentários

Estabelecer associaçãode segurança IKE usandochaves pré-compartilhadas

RFC 2409 A associação de segurança IKE é estabelecida primeiroentre o gateway privado virtual e o gateway do clienteusando a chave pré-compartilhada como autenticador.No estabelecimento, o IKE negocia uma chave efêmera

8

http://tools.ietf.org/html/rfc2409



Requisito RFC Comentáriospara proteger futuras mensagens de IKE. Para estabeleceruma associação de segurança IKE adequada, deve haveruma total concordância entre os parâmetros, inclusive osparâmetros de criptografia e de autenticação.

Ao criar uma nova conexão VPN na AWS, você podeespecificar sua própria chave pré-compartilhada paracada túnel ou deixar que a AWS gere uma chave pré-compartilhada para você. Para obter mais informações,consulte Configuração de túneis VPN para sua conexãoVPN.

Estabelecer IPsec SecurityAssociations no modoTunnel

RFC 4301 Usando a chave efêmera de IKE, as chaves sãoestabelecidas entre o gateway privado virtual e o gatewaydo cliente para formar uma associação de segurança(SA) IPsec. O tráfego entre os gateways é criptografadoe descriptografado. usando essa SA. Usadas paracriptografar o tráfego dentro da SA IPsec, as chavesefêmeras são alteradas automática e regularmente pelaIKE para garantir a confidencialidade das comunicações.

Utilizar a função decriptografia AES de 128 bitsou de criptografia AES de256 bits

RFC 3602 A função de criptografia é usada para garantir aprivacidade entre as associações de segurança IKE eIPsec.

Utilizar a função de hashingSHA-1 ou SHA-256

RFC 2404 Esta função de hashing é usada para autenticar ambas asassociações de segurança IKE e IPsec.

Utilizar Diffie-HellmanPerfect Forward Secrecy.Os seguintes grupos sãosuportados:

• Grupos da fase 1: 2,14-18, 22, 23 e 24

• Grupos da fase 2: 2, 5,14-18, 22, 23 e 24

RFC 2409 O IKE usa Diffie-Hellman para estabelecer chavesefêmeras para proteger toda a comunicação entre osgateways do cliente e os gateways privados virtuais.

Utilizar IPsec Dead PeerDetection

RFC 3706 O uso de Dead Peer Detection permite que os dispositivosVPN identifiquem rapidamente quando uma condição derede impede a entrega de pacotes pela internet. Quandoisso ocorre, os gateways excluem as associações desegurança e tentam criar novas associações. Durante esseprocesso, quando possível, o túnel IPsec alternativo éutilizado.

Vincular o túnel à interfacelógica (VPN baseada emrota)

Nenhum Seu gateway deve ser compatível com a capacidade devincular o túnel IPsec a uma interface lógica. A interfacelógica contém um endereço IP usado para estabelecero emparelhamento BGP com o gateway privado virtual.Essa interface lógica não deve executar encapsulamentoadicional (por exemplo, GRE, IP em IP). A interface deveser configurada para uma Maximum Transmission Unit(MTU) de 1.399 bytes.

9










Requisito RFC Comentários

Fragmentar pacotes IPantes da criptografia

RFC 4459 Quando os pacotes são muito grandes para sertransmitidos, é necessário fragmentá-los. Nãoremontaremos os pacotes criptografados fragmentados.Portanto, seu dispositivo VPN deve fragmentar os pacotesantes do encapsulamento com os cabeçalhos VPN. Osfragmentos são transmitidos individualmente para o hostremoto que os remontará. Para obter mais informaçõessobre a fragmentação, consulte o artigo da Wikipedia Fragmentação de IP.

(Opcional) Estabeleceremparelhamentos BGP

RFC 4271 O BGP é usado para trocar as rotas entre o gateway docliente e o gateway privado virtual para dispositivos queusam o BGP. Todo o tráfego de BGP é criptografado etransmitido por meio da associação de segurança IPsec. OBGP é necessário para que ambos os gateways troquemos prefixos IP acessíveis por meio da SA IPsec.

Recomendamos o uso das técnicas listadas na tabela a seguir, visando minimizar os problemasrelacionados à quantidade de dados que podem ser transmitidos por meio do túnel IPsec. A redução daquantidade de dados transmissíveis em um único pacote deve-se ao fato da conexão encapsular pacotescom cabeçalhos de rede adicionais (incluindo IPsec).

Técnica RFC Comentários

Ajustar o tamanho máximodo segmento de pacotesTCP que podem entrar notúnel VPN

RFC 4459 Os pacotes TCP são frequentemente o tipo de pacote quemais prevalece nos túneis IPsec. Alguns gateways têm acapacidade de alterar o parâmetro do tamanho máximodo segmento TCP. Isso faz com que os endpoints TCP(clientes, servidores) reduzam a quantidade de dadosenviados com cada pacote. Essa é uma abordagem ideal,já que os pacotes que chegam aos dispositivos VPNsão pequenos o suficiente para serem encapsulados etransmitidos.

Redefinir o sinalizador "Nãofragmentar" nos pacotes

RFC 791 Alguns pacotes carregam um sinalizador chamado de Nãofragmentar (DF) que indica que o pacote não deve serfragmentado. Quando os pacotes usam o sinalizador, osgateways geram uma mensagem de MTU de caminhoICMP excedido. Em alguns casos, os aplicativos nãopossuem mecanismos adequados para processar essasmensagens ICMP e reduzir a quantidade de dadostransmitidos em cada pacote. Alguns dispositivos VPNtêm a capacidade de substituir o sinalizador DF e defragmentar os pacotes incondicionalmente, se necessário.Se o gateway do cliente possuir essa capacidade,recomendamos o uso, conforme apropriado.

Se houver um firewall entre o gateway do cliente e a Internet, consulte Configuração de um firewall entre oseu gateway do cliente e a Internet (p. 11).

10


http://en.wikipedia.org/wiki/IP_fragmentation

http://en.wikipedia.org/wiki/IP_fragmentation





Configuração de um firewall entre oseu gateway do cliente e a Internet

Configuração de um firewall entre o seu gateway docliente e a Internet

Para usar esse serviço, é necessário ter um endereço IP roteável na internet para usar como o endpointpara os túneis IPsec, conectando seu gateway do cliente ao gateway privado virtual. Se houver um firewallentre a Internet e o seu gateway, será necessário instalar as regras das tabelas a seguir para estabeleceros túneis IPsec. Os endereços do gateway privado virtual estão nas informações de configuraçãofornecidas pela equipe de integração.

Entrada (a partir da Internet)

Regra de entrada I1

IP de origem Gateway privado virtual 1

Dest IP Gateway cliente

Protocolo UDP

Porta de origem 500

Destino 500

Regra de entrada I2



Protocolo UDP

Porta de origem 500

Porta de destino 500

Regra de entrada I3



Protocolo IP 50 (ESP)

Regra de entrada I4




Saída (para a Internet)

Regra de saída O1

IP de origem Gateway cliente

Dest IP Gateway privado virtual 1

11


Configuração de um firewall entre oseu gateway do cliente e a Internet

Protocolo UDP

Porta de origem 500


Regra de saída O2



Protocolo UDP

Porta de origem 500


Regra de saída O3




Regra de saída O4




As regras I1, I2, O1 e O2 permitem a transmissão de pacotes IKE. As regras I3, I4, O3 e O4 permitem atransmissão de pacotes IPsec contendo o tráfego de rede criptografado.

Caso esteja usando NAT transversal (NAT-T) no seu dispositivo, será necessário incluir regras quepermitam acesso UDP pela porta 4500. Verifique se o seu dispositivo está anunciando NAT-T.

12


Visão detalhada do gateway do cliente

Exemplo: dispositivo Check Pointcom protocolo de gateway de borda

Esta seção tem informações de configuração de exemplo fornecidas por sua equipe de integração quandoo gateway de cliente é um dispositivo Check Point Security Gateway executando R77.10 ou posterior eusando o sistema operacional Gaia.

Tópicos• Visão detalhada do gateway do cliente (p. 13)• Arquivo de configuração (p. 13)• Configuração do dispositivo Check Point (p. 14)• Como testar a configuração do gateway do cliente (p. 21)

Visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. Observe que a conexão VPN consisteem dois túneis distintos. O uso de túneis redundantes garante disponibilidade contínua em caso de falhaem um dispositivo.

Arquivo de configuraçãoSua equipe de integração fornecerá a você um arquivo de configuração com os valores necessáriospara configurar cada túnel e as configurações de IKE e IPsec para o dispositivo de VPN. O arquivo de

13


Configuração do dispositivo Check Point

configuração contém instruções sobre como usar o portal web Gaia e o Check Point SmartDashboard paraconfigurar seu dispositivo. As mesmas etapas são fornecidas na seção seguinte.

A seguir encontra-se um trecho de um arquivo de configuração de exemplo. Esse arquivo contém duasseções: IPSec Tunnel #1 e IPSec Tunnel #2. Você deve usar os valores fornecidos em cada seçãopara configurar cada túnel.

! Amazon Web Services! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuração do dispositivo Check PointOs procedimentos a seguir demonstram como configurar túneis de VPN, objetos de rede e a segurançapara conexão da VPN. Você precisa substituir os valores de exemplo nos procedimentos pelos valoresfornecidos no arquivo de configuração.

Note

Para obter mais informações, acesse o artigo Amazon Web Services (AWS) VPN BGP no CheckPoint Support Center.

Tópicos• Etapa 1: configurar a interface dos túneis (p. 15)• Etapa 2: configurar o BGP (p. 16)• Etapa 3: Criar objetos de rede (p. 16)• Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec (p. 17)• Etapa 5: configurar o firewall (p. 19)

14

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108958


Etapa 1: configurar a interface dos túneis

• Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP (p. 20)

Etapa 1: configurar a interface dos túneisO primeiro passo para criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway docliente e do gateway privado virtual de cada túnel. Para o primeiro túnel, use as informações fornecidas naseção IPSec Tunnel #1 do arquivo de configuração. Para o segundo túnel, use os valores fornecidos naseção IPSec Tunnel #2 do arquivo de configuração.

Para configurar a interface do túnel

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clishexecutando o comando a seguir: clish

2. Defina o ASN do gateway do cliente (o ASN fornecido quando o gateway do cliente foi criado na AWS)executando o comando a seguir:

set as 65000

3. Crie a interface para o primeiro túnel, usando as informações fornecidas na seção IPSec Tunnel #1do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1.

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436

4. Repita esses comandos para criar o segundo túnel, usando as informações fornecidas na seçãoIPSec Tunnel #2 do arquivo de configuração. Forneça um nome exclusivo para seu túnel, comoAWS_VPC_Tunnel_2.

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436

5. Defina o ASN do gateway privado virtual:

set bgp external remote-as 7224 on

6. Configure o BGP para o primeiro túnel, usando as informações fornecidas na seção IPSec Tunnel#1 do arquivo de configuração:

set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. Configure o BGP para o segundo túnel, usando as informações fornecidas na seção IPSec Tunnel#2 do arquivo de configuração:

set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

8. Salve a configuração:

save config

15


Etapa 2: configurar o BGP

Etapa 2: configurar o BGPNesta etapa, você criará uma política de BGP que permite a importação de rotas que são anunciadas pelaAWS e depois configurará o gateway do cliente para anunciar as respectivas rotas locais para a AWS.

Para criar uma política de BGP

1. Na Gaia WebUI, escolha Advanced Routing, Inbound Route Filters. Escolha Add e selecione Add BGPPolicy (Based on AS).

2. Em Add BGP Policy, selecione um valor entre 512 e 1024 no primeiro campo e insira o ASN dogateway privado virtual no segundo campo; por exemplo, 7224.

3. Escolha Salvar.

As etapas a seguir destinam-se à distribuição de rotas de interface locais. Além disso, você poderedistribuir as rotas de diferentes origens; por exemplo, rotas estáticas ou rotas obtidas por meio deprotocolos de roteamento dinâmico. Para obter mais informações, acesse Gaia Advanced Routing R77Versions Administration Guide.

Para anunciar rotas locais

1. Na Gaia WebUI, escolha Advanced Routing, Routing Redistribution. Escolha Add Redistribution Frome selecione Interface.

2. Em To Protocol, selecione o ASN do gateway privado virtual; por exemplo, 7224.3. Em Interface, selecione uma interface interna. Escolha Salvar.

Etapa 3: Criar objetos de redeNesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IPpúblicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de redecomo gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio parafuncionar como espaço reservado para o domínio de VPN.

Para definir um novo objeto de rede

1. Abra o Check Point SmartDashboard.2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo

grupo para cada objeto de rede.3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New,

Interoperable Device.4. Em Name, insira o nome que você forneceu para seu túnel na etapa 1; por exemplo,

AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de

configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.

16

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

Amazon Virtual Private CloudGuia do administrador de redesEtapa 4: criar uma comunidadeVPN e configurar o IKE e IPsec

6. No painel de categoria, escolha Topology.7. Na seção VPN Domain, escolha Manually defined e procure e selecione o grupo vazio exclusivo que

você criou na etapa 2. Escolha OK.8. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção IPSec

Tunnel #2 do arquivo de configuração.9. Acesse o objeto de rede do gateway, abra o gateway ou objeto do cluster e escolha Topology.10. Na seção VPN Domain, escolha Manually defined e procure e selecione o grupo vazio exclusivo que

você criou na etapa 2. Escolha OKNote

Você pode manter qualquer domínio existente da VPN que tenha configurado; entretanto,verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPNnão estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN fororiginado automaticamente.

Note

Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Useos endereços IP especificados no arquivo de configuração.

Etapa 4: criar uma comunidade VPN e configurar oIKE e IPsecNesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos derede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações do InternetKey Exchange (IKE) e do IPsec.

Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec

1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.2. Escolha Communities, New, Star Community.3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center Gateways no

painel de categoria.

17


4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.5. No painel de categoria, escolha Satellite Gateways, Add, e adicione os dispositivos interoperáveis

que você criou anteriormente (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) à lista de gatewaysparticipantes.

6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 for IPv4 andIKEv2 for IPv6. Na seção Encryption Suite, escolha Custom, Custom Encryption.

Note

Você deve selecionar a opção IKEv1 for IPv4 and IKEv2 for IPv6 para a funcionalidadeIKEv1; entretanto, no momento IKEv2 e IPv6 não são comportados.

7. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha OK aoconcluir:

• Propriedades da associação de segurança IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA1

• Propriedades da associação de segurança IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1

8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On all tunnelsin the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gateway pair.

9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.10. Selecione o nome do peer para o primeiro túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #1.11. Selecione o nome do peer para o segundo túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #2.

18


Etapa 5: configurar o firewall

12. Ainda na categoria Advanced Settings, escolha Advanced VPN Properties, configure as propriedadescomo a seguir e escolha OK ao concluir:

• IKE (fase 1):• Use Diffie-Hellman group: Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes

• IPsec (fase 2):• Escolha Use Perfect Forward Secrecy• Use Diffie-Hellman group: Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds

Etapa 5: configurar o firewallNesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcionalque permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seugateway.

Para criar regras de firewall

1. No SmartDashboard, escolha Global Properties para seu gateway. No painel de categoria, expandaVPN e escolha Advanced.

2. Escolha Enable VPN Directional Match in VPN Column e clique em OK.

19


Etapa 6: ativar o Dead PeerDetection e o ajuste de MSS TCP

3. No SmartDashboard, escolha Firewall e crie uma política com as regras a seguir:

• Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.• Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as regras

de correspondência direcional a seguir escolhendo Add para cada uma e escolha OK ao concluir:

• internal_clear > VPN community (A Star Community da VPN que você criou anteriormente; porexemplo, AWS_VPN_Star)

• VPN community > VPN community• VPN community > internal_clear

6. No SmartDashboard, escolha Policy, Install.7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.

Etapa 6: ativar o Dead Peer Detection e o ajuste deMSS TCPO gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando umaassociação IKE está inativa.

Para configurar o DPD para um túnel permanente, o túnel permanente precisa ser configurado nacomunidade VPN AWS (consulte a Etapa 8 em Etapa 4: criar uma comunidade VPN e configurar o IKE eIPsec (p. 17)).

Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configurada comotunnel_test. Você precisa alterar o valor para dpd. Todo gateway VPN na comunidade VPN que requermonitoramento de DPD dever ser configurado com a propriedade tunnel_keepalive_method, incluindoqualquer gateway VPN de terceiros (não é possível configurar mecanismos de monitoramento diferentespara o mesmo gateway).

Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.

Para modificar a propriedade tunnel_keepalive_method

1. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain ManagementServer.

2. Escolha File, Database Revision Control... e crie um snapshot de revisão.3. Feche todas as janelas do SmartConsole, como SmartDashboard, SmartView Tracker e SmartView

Monitor.4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point Database

Tool no Check Point Support Center.5. Escolha Security Management Server, Domain Management Server.6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.8. Pressione CTRL+F ou use o menu Search para procurar o seguinte: tunnel_keepalive_method.9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e selecione Edit....

Selecione dpd e clique em OK.10. Repita as etapas 7-9 para cada gateway que faz parte da comunidade VPN AWS.11. Escolha File, Save All.

20

http://supportcontent.checkpoint.com/solutions?id=sk13009



Como testar a configuração do gateway do cliente

12. Feche a ferramenta GuiDBedit.13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management

Server.14. Instale a política no objeto Security Gateway, Cluster pertinente.

Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point SupportCenter.

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentaçãode pacotes.

Para ativar o ajuste de MSS TCP

1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.3. Escolha Table, Global Properties, properties.4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e escolha OK.

Como testar a configuração do gateway do clienteVocê pode testar a configuração do gateway para cada túnel.

Para testar a configuração do gateway do cliente em cada túnel

1. No gateway do cliente, determine se o status de BGP é Active.

Demora aproximadamente 30 segundos para que o emparelhamento de BGP fique ativo.2. Confirme se o gateway do cliente anuncia uma rota para o gateway privado virtual. A rota pode ser a

padrão (0.0.0.0/0) ou uma rota mais específica de sua preferência.

Quando definido corretamente, o emparelhamento de BGP deve receber uma rota, partindo do gatewayprivado virtual, correspondente ao prefixo que sua equipe de integração de VPC especificou, até o VPC(por exemplo, 10.0.0.0/24). Se o emparelhamento de BGP estiver definido, você receber e anunciar umprefixo, isso significa que o túnel está configurado corretamente. Certifique-se de que os dois túneis estãonesse estado.

Em seguida, teste a conectividade de cada túnel, iniciando uma instância na VPC e executando ping nessainstância a partir da sua rede doméstica. Antes de começar, certifique-se do seguinte:

• Use uma AMI que responda a solicitações de ping. Recomendamos que você use uma das AmazonLinux AMIs.

• Configure a Network ACL e o security group da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN: a tabela de rotas da sub-rede

deve conter uma rota para o gateway privado virtual. Para obter mais informações, consulte EnableRoute Propagation in Your Route Table no Guia do usuário da Amazon VPC.

Para testar a conectividade de ponta a ponta de cada túnel

1. Inicie uma instância de uma das Amazon Linux AMIs em sua VPC. O Amazon Linux AMIs estarálistado no assistente de inicialização ao iniciar uma instância do Console Amazon EC2. Para obtermais informações, consulte Guia de conceitos básicos do Amazon VPC.

21


http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-configure-routing


http://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/



2. Depois que a instância estiver em execução, obtenha o endereço IP privado (por exemplo,10.0.0.4). O console exibe o endereço como parte dos detalhes da instância.

3. Em um sistema da sua rede doméstica, use o comando ping com o endereço IP da instância.Certifique-se de que o computador em que executou o ping esteja atrás do gateway do cliente. Umaresposta correta deve ser semelhante ao seguinte:

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Se você executar um ping em uma instância do roteador do gateway do cliente, certifique-sede enviar mensagens de ping de um endereço IP interno e não de um endereço IP de túnel.Algumas AMIs não respondem mensagens de ping de endereços IP de túnel.

4. (Opcional) Para testar o failover de túneis, é possível desabilitar temporariamente um dos túneis nogateway do cliente e repetir a etapa acima. Não é possível desativar um túnel no lado da AWS daconexão VPN.

No gateway do Check Point, você pode verificar o status do túnel executando o comando a seguir naferramenta de linha de comando, no modo especialista:

vpn tunnelutil

Nas opções exibidas, escolha 1 para verificar as associações IKE e 2 verificar as associações IPsec.

Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexãoestão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foicriptografada.

22



23


Visão detalhada do gateway do cliente

Exemplo: dispositivo Check Pointsem protocolo de gateway de borda

Esta seção tem informações de configuração de exemplo fornecidas por sua equipe de integração quandoo gateway de cliente é um dispositivo Check Point Security Gateway executando R77.10 ou posterior eusando o sistema operacional Gaia.

Tópicos• Visão detalhada do gateway do cliente (p. 24)• Arquivo de configuração (p. 25)• Configuração do dispositivo Check Point (p. 25)• Como testar a configuração do gateway do cliente (p. 33)

Visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. Observe que a conexão VPN consisteem dois túneis distintos. O uso de túneis redundantes garante disponibilidade contínua em caso de falhaem um dispositivo.

24


Arquivo de configuração

Arquivo de configuraçãoSua equipe de integração fornecerá a você um arquivo de configuração com os valores necessáriospara configurar cada túnel e as configurações de IKE e IPsec para o dispositivo de VPN. O arquivo deconfiguração contém instruções sobre como usar o portal web Gaia e o Check Point SmartDashboard paraconfigurar seu dispositivo. As mesmas etapas são fornecidas na seção seguinte.

A seguir encontra-se um trecho de um arquivo de configuração de exemplo. Esse arquivo contém duasseções: IPSec Tunnel #1 e IPSec Tunnel #2. Você deve usar os valores fornecidos em cada seçãopara configurar cada túnel.


! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuração do dispositivo Check PointOs procedimentos a seguir demonstram como configurar túneis de VPN, objetos de rede e a segurançapara conexão da VPN. Você precisa substituir os valores de exemplo nos procedimentos pelos valoresfornecidos no arquivo de configuração.

Note

Para obter mais informações, acesse o artigo Check Point Security Gateway IPsec VPN toAmazon Web Services VPC no Check Point Support Center.

Tópicos• Etapa 1: configurar uma interface de túnel (p. 26)• Etapa 2: configurar uma rota estática (p. 27)

25




Etapa 1: configurar uma interface de túnel

• Etapa 3: Criar objetos de rede (p. 29)• Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec (p. 30)• Etapa 5: configurar o firewall (p. 31)• Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP (p. 32)

Etapa 1: configurar uma interface de túnelO primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gatewaydo cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informaçõesfornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Para criar o segundo túnel, use osvalores fornecidos na seção IPSec Tunnel #2 do arquivo de configuração.

Para configurar a interface do túnel

1. Abra o portal Gaia do dispositivo Check Point Security Gateway.2. Escolha Network Interfaces, Add, VPN tunnel.3. Na caixa de diálogo, defina as configurações como a seguir e escolha OK ao concluir:

• Em VPN Tunnel ID, insira qualquer valor único exclusivo, como 1.• Em Peer, insira um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1 orAWS_VPC_Tunnel_2.

• Confirme se Numbered está selecionada e, em Local Address, insira o endereço IP especificadopara CGW Tunnel IP no arquivo de configuração; por exemplo, 169.254.44.234.

• Em Remote Address, insira o endereço IP especificado para VGW Tunnel IP no arquivo deconfiguração; por exemplo, 169.254.44.233.

26


Etapa 2: configurar uma rota estática

4. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clishexecutando o comando a seguir: clish

5. Para o túnel 1, execute o comando a seguir:

set interface vpnt1 mtu 1436

Para o túnel 2, execute o comando a seguir:

set interface vpnt2 mtu 1436

6. Repita essas etapas para criar um segundo túnel, usando as informações na seção IPSec Tunnel#2 do arquivo de configuração.

Etapa 2: configurar uma rota estáticaNesta etapa, você especificará a rota estática para a sub-rede na VPC para cada túnel para poder enviartráfego pelas interfaces de túnel. O segundo túnel permite failover para o caso de haver um problema como primeiro túnel — se for detectado algum problema, a rota estática baseada em política é removida da

27


Etapa 2: configurar uma rota estática

tabela de rotas e o segundo túnel é ativado. Você deve também ativar o gateway do Check Point paraexecutar ping na outra extremidade do túnel e verificar se o túnel está ativo.

Para configurar rotas estáticas

1. No portal Gaia, escolha IPv4 Static Routes, Add.2. Especifique o CIDR de sua sub-rede; por exemplo, 10.28.13.0/24.3. Escolha Add Gateway, IP Address.4. Insira o endereço IP especificado para VGW Tunnel IP no arquivo de configuração (por exemplo,

169.254.44.233) e especifique 1 como prioridade.5. Selecione Ping.6. Repita as etapas 3 e 4 para o segundo túnel, usando o valor VGW Tunnel IP na seção IPSec

Tunnel #2 do arquivo de configuração. Especifique 2 como prioridade.

7. Escolha Salvar.

Se estiver usando um cluster, repita as etapas anteriores para os outros membros do cluster.

28

Amazon Virtual Private CloudGuia do administrador de redesEtapa 3: Criar objetos de rede

Etapa 3: Criar objetos de redeNesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IPpúblicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de redecomo gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio parafuncionar como espaço reservado para o domínio de VPN.

Para definir um novo objeto de rede

1. Abra o Check Point SmartDashboard.2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo

grupo para cada objeto de rede.3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New,

Interoperable Device.4. Em Name, insira o nome que você forneceu para seu túnel; por exemplo, AWS_VPC_Tunnel_1 ou

AWS_VPC_Tunnel_2.5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de

configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.

6. No SmartDashboard, abra as propriedades do gateway e, no painel de categoria, escolha Topology.7. Para recuperar a configuração da interface, escolha Get Topology.8. Na seção VPN Domain, escolha Manually defined e procure e selecione o grupo vazio exclusivo que

você criou na etapa 2. Escolha OK.

Note

Você pode manter qualquer domínio existente da VPN que tenha configurado; entretanto,verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPNnão estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN fororiginado automaticamente.

9. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção IPSecTunnel #2 do arquivo de configuração.

29


Note

Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Useos endereços IP especificados no arquivo de configuração.

Etapa 4: criar uma comunidade VPN e configurar oIKE e IPsecNesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos derede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações do InternetKey Exchange (IKE) e do IPsec.

Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec

1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.2. Escolha Communities, New, Star Community.3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center Gateways no

painel de categoria.4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.5. No painel de categoria, escolha Satellite Gateways, Add, e adicione os dispositivos interoperáveis

que você criou anteriormente (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) à lista de gatewaysparticipantes.

6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 only. Naseção Encryption Suite, escolha Custom, Custom Encryption.

7. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha OK aoconcluir:

• Propriedades da associação de segurança IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA1

• Propriedades da associação de segurança IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1

8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On all tunnelsin the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gateway pair.

9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.10. Selecione o nome do peer para o primeiro túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #1.11. Selecione o nome do peer para o segundo túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #2.

30


Etapa 5: configurar o firewall

12. Ainda na categoria Advanced Settings, escolha Advanced VPN Properties, configure as propriedadescomo a seguir e escolha OK ao concluir:

• IKE (fase 1):• Use Diffie-Hellman group: Group 2• Renegotiate IKE security associations every 480 minutes

• IPsec (fase 2):• Escolha Use Perfect Forward Secrecy• Use Diffie-Hellman group: Group 2• Renegotiate IPsec security associations every 3600 seconds

Etapa 5: configurar o firewallNesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcionalque permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seugateway.

Para criar regras de firewall

1. No SmartDashboard, escolha Global Properties para seu gateway. No painel de categoria, expandaVPN e escolha Advanced.

2. Escolha Enable VPN Directional Match in VPN Column e salve suas alterações.

31


Etapa 6: ativar o Dead PeerDetection e o ajuste de MSS TCP

3. No SmartDashboard, escolha Firewall e crie uma política com as regras a seguir:

• Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.• Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as regras

de correspondência direcional a seguir escolhendo Add para cada uma e escolha OK ao concluir:

• internal_clear > VPN community (A Star Community da VPN que você criou anteriormente; porexemplo, AWS_VPN_Star)

• VPN community > VPN community• VPN community > internal_clear

6. No SmartDashboard, escolha Policy, Install.7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.

Etapa 6: ativar o Dead Peer Detection e o ajuste deMSS TCPO gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando umaassociação IKE está inativa.

Para configurar o DPD para um túnel permanente, o túnel permanente precisa ser configurado nacomunidade VPN AWS (consulte a Etapa 8 em Etapa 4: criar uma comunidade VPN e configurar o IKE eIPsec (p. 30)).

Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configurada comotunnel_test. Você precisa alterar o valor para dpd. Todo gateway VPN na comunidade VPN que requermonitoramento de DPD dever ser configurado com a propriedade tunnel_keepalive_method, incluindoqualquer gateway VPN de terceiros (não é possível configurar mecanismos de monitoramento diferentespara o mesmo gateway).

Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.

Para modificar a propriedade tunnel_keepalive_method


2. Escolha File, Database Revision Control... e crie um snapshot de revisão.3. Feche todas as janelas do SmartConsole, como SmartDashboard, SmartView Tracker e SmartView

Monitor.4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point Database

Tool no Check Point Support Center.5. Escolha Security Management Server, Domain Management Server.6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.8. Pressione CTRL+F ou use o menu Search para procurar o seguinte: tunnel_keepalive_method.9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e selecione Edit....

Selecione dpd e clique em OK.10. Repita as etapas 7-9 para cada gateway que faz parte da comunidade VPN AWS.11. Escolha File, Save All.12. Feche a ferramenta GuiDBedit.

32






14. Instale a política no objeto Security Gateway, Cluster pertinente.

Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point SupportCenter.

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentaçãode pacotes.

Para ativar o ajuste de MSS TCP

1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.3. Escolha Table, Global Properties, properties.4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e escolha OK.



1. Certifique-se de que o gateway do cliente tenha uma rota estática para o seu VPC, conforme sugeridonos modelos de configuração fornecidos pela AWS.

2. Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR a sua conexão VPN. Certifique-se deque os dois túneis tenham uma rota estática em seu VPC.



• Configure a rede ACL e o security group da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN - a tabela de rotas da sub-rede



1. Inicie uma instância de uma das Amazon Linux AMIs em sua VPC. O Amazon Linux AMI constarálistado no assistente de inicialização quando você iniciar uma instância do Console de Gerenciamentoda AWS. Para obter mais informações, consulte Guia de conceitos básicos do Amazon VPC.



33







ping 10.0.0.4





Note



No gateway do Check Point, você pode verificar o status do túnel executando o comando a seguir naferramenta de linha de comando, no modo especialista:

vpn tunnelutil

Nas opções exibidas, escolha 1 para verificar as associações IKE e 2 verificar as associações IPsec.

Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexãoestão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foicriptografada.

34



35


uma visão detalhada do gateway do cliente

Exemplo: dispositivo Cisco ASATópicos

• uma visão detalhada do gateway do cliente (p. 36)• Umaa configuração de exemplo (p. 37)• Como testar a configuração do gateway do cliente (p. 41)

Nesta seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um dispositivo Cisco ASA que executa o software Cisco ASA 8.2ou superior.

O mostra um layout detalhado do gateway do cliente. Você deve usar informações da configuração realque receber de sua equipe de integração e aplicá-las ao gateway do cliente.

uma visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. Observe que a conexão VPN consisteem dois túneis distintos. O uso de túneis redundantes garante disponibilidade contínua em caso de falhaem um dispositivo.

Observe que alguns dispositivos Cisco ASA comportam somente o modo ativo/espera. Ao usar um CiscoASA, é possível ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel

36

Amazon Virtual Private CloudGuia do administrador de redesUmaa configuração de exemplo

ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meiode um dos túneis.

Umaa configuração de exemploNesta seção, a configuração é um exemplo de informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.

A configuração de exemplo inclui valores de exemplo para ajudá-lo a compreender como a configuraçãofunciona. Por exemplo, fornecemos valores de exemplo para o ID da conexão VPN (vpn-12345678)e o ID do gateway privado virtual (vgw-12345678) e espaços reservados para os endpoints da AWS(AWS_ENDPOINT_1 e AWS_ENDPOINT_2). Você substituirá esses valores de exemplo pelos valores reaispresentes nas informações de configuração que receber.

Além disso, também é preciso:

• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garanta que o número Crypto List Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Garantir que o número de monitoramento de SLA seja exclusivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração forneça. Muitos dos valores no exemplo a seguir serão diferentes daquelesdas informações de configuração reais que você receber. Você dever usar os valores reais e nãoos valores de exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.

! Amazon Web Services! Virtual Private Cloud!! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway. Only a single tunnel will be up at a! time to the VGW.! ! You may need to populate these values throughout the config based on your setup:! outside_interface - External interface of the ASA! outside_access_in - Inbound ACL on the external interface! amzn_vpn_map - Outside crypto map! vpc_subnet and vpc_subnet_mask - VPC address range! local_subnet and local_subnet_mask - Local subnet address range! sla_monitor_address - Target address that is part of acl-amzn to run SLA monitoring!! --------------------------------------------------------------------------------

37


! IPSec Tunnels! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same or lower number depending on ! the encryption type. If so, we recommend changing the sequence number to ! avoid conflicts and overlap.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!crypto isakmp identity address crypto isakmp enable outside_interfacecrypto isakmp policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash shaexit!! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group AWS_ENDPOINT_1 type ipsec-l2ltunnel-group AWS_ENDPOINT_1 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit!tunnel-group AWS_ENDPOINT_2 type ipsec-l2ltunnel-group AWS_ENDPOINT_2 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! --------------------------------------------------------------------------------! #2: Access List Configuration!! Access lists are configured to permit creation of tunnels and to send applicable traffic over them.! This policy may need to be applied to an inbound ACL on the outside interface that is used to manage control-plane traffic. ! This is to allow VPN traffic into the device from the Amazon endpoints.!

38


access-list outside_access_in extended permit ip host AWS_ENDPOINT_1 host YOUR_UPLINK_ADDRESSaccess-list outside_access_in extended permit ip host AWS_ENDPOINT_2 host YOUR_UPLINK_ADDRESS!! The following access list named acl-amzn specifies all traffic that needs to be routed to the VPC. Traffic will! be encrypted and transmitted through the tunnel to the VPC. Association with the IPSec security association! is done through the "crypto map" command.!! This access list should contain a static route corresponding to your VPC CIDR and allow traffic from any subnet.! If you do not wish to use the "any" source, you must use a single access-list entry for accessing the VPC range.! If you specify more than one entry for this ACL without using "any" as the source, the VPN will function erratically.! The any rule is also used so the security association will include the ASA outside interface where the SLA monitor! traffic will be sourced from.! See section #4 regarding how to restrict the traffic going over the tunnel!!access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask

!---------------------------------------------------------------------------------! #3: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. !crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac

! The crypto map references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime. The mapping is created! as #1, which may conflict with an existing crypto map using the same! number. If so, we recommend changing the mapping number to avoid conflicts.!crypto map amzn_vpn_map 1 match address acl-amzncrypto map amzn_vpn_map 1 set pfs group2crypto map amzn_vpn_map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map amzn_vpn_map 1 set transform-set transform-amzncrypto map amzn_vpn_map 1 set security-association lifetime seconds 3600!! Only set this if you do not already have an outside crypto map, and it is not applied:!crypto map amzn_vpn_map interface outside_interface!! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.!! This option instructs the firewall to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear-df outside_interface!! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128!

39


! This option instructs the firewall to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption outside_interface!! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.sysopt connection tcpmss 1379!! In order to keep the tunnel in an active or always up state, the ASA needs to send traffic to the subnet! defined in acl-amzn. SLA monitoring can be configured to send pings to a destination in the subnet and! will keep the tunnel active. This traffic needs to be sent to a target that will return a response.! This can be manually tested by sending a ping to the target from the ASA sourced from the outside interface.! A possible destination for the ping is an instance within the VPC. For redundancy multiple SLA monitors ! can be configured to several instances to protect against a single point of failure.!! The monitor is created as #1, which may conflict with an existing monitor using the same! number. If so, we recommend changing the sequence number to avoid conflicts.!sla monitor 1 type echo protocol ipIcmpEcho sla_monitor_address interface outside_interface frequency 5exitsla monitor schedule 1 life forever start-time now!! The firewall must allow icmp packets to use "sla monitor"icmp permit any outside_interface

!---------------------------------------------------------------------------------! #4: VPN Filter! The VPN Filter will restrict traffic that is permitted through the tunnels. By default all traffic is denied. ! The first entry provides an example to include traffic between your VPC Address space and your office.! You may need to run 'clear crypto isakmp sa', in order for the filter to take effect.!! access-list amzn-filter extended permit ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_maskaccess-list amzn-filter extended deny ip any anygroup-policy filter internalgroup-policy filter attributesvpn-filter value amzn-filtertunnel-group AWS_ENDPOINT_1 general-attributesdefault-group-policy filterexittunnel-group AWS_ENDPOINT_2 general-attributesdefault-group-policy filterexit

!---------------------------------------------------------------------------------------! #5: NAT Exemption! If you are performing NAT on the ASA you will have to add a nat exemption rule.! This varies depending on how NAT is set up. It should be configured along the lines of:! object network obj-SrcNet! subnet 0.0.0.0 0.0.0.0! object network obj-amzn! subnet vpc_subnet vpc_subnet_mask! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn! If using version 8.2 or older, the entry would need to look something like this:! nat (inside) 0 access-list acl-amzn

40



! Or, the same rule in acl-amzn should be included in an existing no nat ACL.

Como testar a configuração do gateway do clienteAo usar um Cisco ASA como gateway de cliente, somente um túnel estará no estado ATIVO. O segundotúnel deverá ser configurado, mas só será usado se o primeiro ficar inativo. O segundo túnel não podeestar no estado ATIVO quando o primeiro se encontra no estado ATIVO. O console exibirá apenas umtúnel ativo e mostrará o segundo como inativo. Esse comportamento é esperado no caso de túneis degateway de cliente Cisco ASA porque o gateway de cliente comporta apenas um túnel ativo por vez.

Você pode testar a configuração do gateway para cada túnel.


• Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR a sua conexão VPN. Certifique-se deque os dois túneis tenham uma rota estática em seu VPC.









ping 10.0.0.4





41






Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente Cisco ASA (p. 176).

42



Exemplo: dispositivo de Cisco ASAcom interface de túnel virtual eBorder Gateway Protocol

Tópicos• uma visão detalhada do gateway do cliente (p. 43)• Exemplo de configuração (p. 44)• Como testar a configuração do gateway do cliente (p. 49)

Nesta seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um dispositivo Cisco ASA que executa o software Cisco ASA9.7.1 ou superior.


Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deveráter conectividade com sua VPC por meio de um dos túneis.

43


Exemplo de configuração

Exemplo de configuraçãoNesta seção, a configuração é um exemplo de informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.


Além disso, você precisa fazer o seguinte:

• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).

44



! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!

crypto ikev1 enable 'outside_interface'

crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit

! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.

crypto ipsec df-bit clear-df 'outside_interface'

! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.

sysopt connection tcpmss 1379

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).

45



!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.

interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit

! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!

46



! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.197 remote-as 7224 neighbor 169.254.33.197 timers 10 30 30 neighbor 169.254.33.197 default-originate neighbor 169.254.33.197 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summaryno synchronization exit-address-familyexit!

! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.

47



!crypto ipsec profile ipsec-vpn-12345678-1 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-1exit






! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------


! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!

48



! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.


! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.193 remote-as 7224 neighbor 169.254.33.193 timers 10 30 30 neighbor 169.254.33.193 default-originate neighbor 169.254.33.193 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summary no synchronization exit-address-familyexit!

Como testar a configuração do gateway do clienteAo usar um Cisco ASA como gateway do cliente em modo roteado, os dois túneis estarão no estadoATIVO.


49




• Verifique se as rotas estão anunciadas com BGP corretamente e à mostra na tabela de roteamentode modo que o tráfego possa voltar ao gateway do cliente. Por exemplo, se o prefixo da sub-redelocal é 198.10.0.0/16, você deve anunciá-lo por meio do BGP. Verifique se os dois túneis estãoconfigurados com roteamento BGP.









ping 10.0.0.4





Note




50






Exemplo: dispositivo de Cisco ASAcom interface de túnel virtual (semBorder Gateway Protocol)

Tópicos• uma visão detalhada do gateway do cliente (p. 51)• Exemplo de configuração (p. 52)• Como testar a configuração do gateway do cliente (p. 57)

Esta seção mostra um exemplo das informações de configuração fornecidas pela equipe de integração seo gateway do cliente é um dispositivo de Cisco ASA que executa o software Cisco ASA 9.7.1+ e se vocêdeseja configurar uma conexão VPN roteada estaticamente.


51



Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deveráter conectividade com sua VPC por meio de um dos túneis.

Exemplo de configuraçãoNesta seção, a configuração é um exemplo de informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.


Além disso, você precisa fazer o seguinte:

• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.

52



• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.

53



! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------


54





! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-0 10.0.0.0 255.255.0.0 169.254.33.197 100 ! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes

55



authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!

56



tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit



! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-1 10.0.0.0 255.255.0.0 169.254.33.193 200

Como testar a configuração do gateway do clienteAo usar um Cisco ASA como gateway do cliente em modo roteado, os dois túneis estarão no estadoATIVO.



• Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR a sua conexão VPN. Certifique-se deque os dois túneis tenham uma rota estática em seu VPC.

57











ping 10.0.0.4





Note




58





Exemplo: Dispositivo Cisco IOSTópicos

• uma visão detalhada do gateway do cliente (p. 60)• Uma visão detalhada do gateway do cliente e uma configuração de exemplo (p. 61)• Como testar a configuração do gateway do cliente (p. 67)

Nesta seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um dispositivo Cisco IOS que executa o software Cisco IOS 12.4(ou posterior).

Dois diagramas mostram a configuração de exemplo. O primeiro mostra um layout detalhado do gatewaydo cliente e o segundo mostra detalhes da configuração de exemplo. Você deve usar informações daconfiguração real que receber de sua equipe de integração e aplicá-las ao gateway do cliente.

59




60


Uma visão detalhada do gateway docliente e uma configuração de exemplo

Uma visão detalhada do gateway do cliente e umaconfiguração de exemplo

Nesta seção, o diagrama mostra um exemplo de gateway de cliente Cisco IOS. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.

Além disso, a configuração de exemplo refere-se aos itens a seguir que você precisa fornecer:

• YOUR_UPLINK_ADDRESS– O endereço IP para a interface externa roteável para Internet no gateway docliente. O endereço deve ser estático e pode estar subjacente a um dispositivo que esteja executandoconversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deveajustar suas regras de firewall para desbloquear a porta UDP 4500.

• YOUR_BGP_ASN – BGP ASN do gateway do cliente (por padrão, usamos 65000)

A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID de conexão VPN(vpn-44a8938f), o ID do gateway privado virtual (vgw-8db04f81), os endereços IP (72.21.209.*,169.254.255.*) e o ASN remoto (7224). Você substituirá esses valores de exemplo pelos valores reaispresentes nas informações de configuração que receber.


• Configurar a interface externa• Configure as IDs de interface de túnel (referidas como Tunnel1 e Tunnel2 na configuração de

exemplo).• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

No diagrama e na configuração de exemplo a seguir, você deve substituir os itens em vermelho e itálicopelos valores que se aplicam à sua configuração específica.

61



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier ! and is associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! -------------------------------------------------------------------------! IPsec Tunnel #1! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

62



! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.225 key plain-text-password1exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.225 keyring keyring-vpn-44a8938f-0exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-0exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.

63



! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption

! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.255.2 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.225 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !

64



! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 activate neighbor 169.254.255.1 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 timers 10 30 30 neighbor 169.254.255.1 default-originate neighbor 169.254.255.1 activate neighbor 169.254.255.1 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit

! -------------------------------------------------------------------------! IPsec Tunnel #2! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.193 key plain-text-password2exit

65



! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.193 keyring keyring-vpn-44a8938f-1exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-1exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be

66



! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your Cloud.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 activate neighbor 169.254.255.5 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 timers 10 30 30 neighbor 169.254.255.5 default-originate neighbor 169.254.255.5 activate neighbor 169.254.255.5 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit


67
















ping 10.0.0.4





Note


68







Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Cisco IOS (p. 179).

69



Exemplo: dispositivo Cisco IOS semprotocolo de gateway de borda

Tópicos• uma visão detalhada do gateway do cliente (p. 70)• Uma visão detalhada do gateway do cliente e uma configuração de exemplo (p. 71)• Como testar a configuração do gateway do cliente (p. 76)

Nesta seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um router Cisco Integrated Services que executa o software IOS.



70




O diagrama nesta seção mostra um exemplo do gateway de cliente Cisco IOS (sem BGP). Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.

Além disso, a configuração de exemplo refere-se ao seguinte item que você precisa fornecer:

• YOUR_UPLINK_ADDRESS— O endereço IP para a interface externa roteável para Internet no gateway docliente. O endereço deve ser estático e pode estar subjacente a um dispositivo que esteja executandoconversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deveajustar suas regras de firewall para desbloquear a porta UDP 4500.

A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID de conexão VPN(vpn-1a2b3c4d), o ID do gateway privado virtual (vgw-12345678), os endereços IP (205.251.233.*,169.254.255.*). Você substituirá esses valores de exemplo pelos valores reais presentes nas informaçõesde configuração que receber.


• Configurar a interface externa.• Configure as IDs de interface de túnel (referidas como Tunnel1 e Tunnel2 na configuração de

exemplo).• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Garantir que o número de monitoramento de SLA seja exclusivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.


71



Warning


! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

72



! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-0 local-address CUSTOMER_IP pre-shared-key address 205.251.233.121 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-0 local-address CUSTOMER_IP match identity address 205.251.233.121 keyring keyring-vpn-1a2b3c4d-0exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-0exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------

73



! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.249.18 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #100, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 100 icmp-echo 169.254.249.17 source-interface Tunnel1 timeout 1000 frequency 5exitip sla schedule 100 life forever start-time nowtrack 100 ip sla 100 reachability ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

74



! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-1 local-address CUSTOMER_IP pre-shared-key address 205.251.233.122 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-1 local-address CUSTOMER_IP match identity address 205.251.233.122 keyring keyring-vpn-1a2b3c4d-1exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-1exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets

75



! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.249.22 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.122 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #200, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 200 icmp-echo 169.254.249.21 source-interface Tunnel2 timeout 1000 frequency 5exitip sla schedule 200 life forever start-time nowtrack 200 ip sla 200 reachability ! --------------------------------------------------------------------------------


76




1. Certifique-se de que o gateway do cliente tenha uma rota estática para o seu VPC, conforme sugeridonos modelos de configuração fornecidos pela AWS.

2. Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR a sua conexão VPN. Certifique-se deque os dois túneis tenham uma rota estática em seu VPC.









ping 10.0.0.4





Note



77






Se os testes com os túneis não derem certo, consulte Solução de problemas de gateway de cliente doCisco IOS sem conectividade de protocolo de gateway de borda (p. 183).

78



Exemplo: dispositivo Dell SonicWALLEsse tópico exemplifica como configurar o roteador se o gateway do cliente for um roteador DellSonicWALL.

Essa seção assume que uma conexão VPN com roteamento estático foi configurada no console AmazonVPC. Para obter mais informações, consulte Adicionar um gateway privado virtual de à VPC no Guia dousuário da Amazon VPC.

Tópicos• uma visão detalhada do gateway do cliente (p. 79)• Exemplo: arquivo de configuração (p. 80)• Configurar o dispositivo SonicWALL, usando a interface de gerenciamento (p. 83)• Como testar a configuração do gateway do cliente (p. 84)

uma visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. Observe que a conexão VPN consisteem dois túneis distintos: Túnel 1 e Túnel 2. O uso de túneis redundantes garante disponibilidade contínuaem caso de falha em um dispositivo.

79

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html


Exemplo: arquivo de configuração

Exemplo: arquivo de configuraçãoO arquivo de configuração, cujo download foi feito do console Amazon VPC, inclui os valores necessáriospara o uso das ferramentas da linha de comando no OS 6,2, assim como para a configuração de cadatúnel, do IKE e do IPsec para o dispositivo SonicWALL.

Important

As seguintes informações de configuração usam exemplos de valores &emdash. Use os valoresreais e não os valores exemplificados aqui, pois, do contrário, sua implementação falhará.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC address range!! IPSec Tunnel !1! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193end!

80



! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.44.242 netmask 255.255.255.252!!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24

81



neighbor 169.254.44.242 remote-as 7224neighbor 169.254.44.242 timers 10 30neighbor 169.254.44.242 soft-reconfiguration inboundendwriteexitcommitend!! IPSec Tunnel #2! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225 end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120

82


Configurar o dispositivo SonicWALL,usando a interface de gerenciamento

- DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.44.114 netmask 255.255.255.252!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.114 remote-as 7224neighbor 169.254.44.114 timers 10 30neighbor 169.254.44.114 soft-reconfiguration inboundendwriteexitcommitend

Configurar o dispositivo SonicWALL, usando ainterface de gerenciamento

Também é possível configurar o dispositivo SonicWALL, usando a interface de gerenciamento SonicOS.Para obter mais informações, consulte Configurar o dispositivo SonicWALL, usando a interface degerenciamento (p. 90).

Não é possível configurar o BGP para o dispositivo, usando a interface de gerenciamento. Em vez disso,use as instruções da linha de comando fornecidas no exemplo do arquivo de configuração acima, na seçãochamada BGP.

83

















ping 10.0.0.4





84






Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente em dispositivo genérico usando o protocolo de gateway de borda (p. 197).

85



Exemplo: dispositivo Dell SonicWALLSonicOS sem protocolo de gatewayde borda

Este tópico fornece um exemplo de como configurar o seu roteador se o gateway do cliente for umroteador Dell SonicWALL executando o SonicOS 5.9 ou 6.2.

Essa seção assume que uma conexão VPN com roteamento estático foi configurada no console AmazonVPC. Para obter mais informações, consulte Adicionar um gateway privado virtual de à VPC no Guia dousuário da Amazon VPC.

Tópicos• uma visão detalhada do gateway do cliente (p. 86)• Exemplo: arquivo de configuração (p. 87)• Configurar o dispositivo SonicWALL, usando a interface de gerenciamento (p. 90)• Como testar a configuração do gateway do cliente (p. 92)


86




Exemplo: arquivo de configuraçãoO arquivo de configuração, cujo download foi feito do console Amazon VPC, inclui os valores necessáriospara o uso das ferramentas da linha de comando no OS 6,2, assim como para a configuração de cadatúnel, do IKE e do IPsec para o dispositivo SonicWALL.

Important

As seguintes informações de configuração usam exemplos de valores &emdash. Use os valoresreais e não os valores exemplificados aqui, pois, do contrário, sua implementação falhará.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496! ! This configuration consists of two tunnels. Both tunnels must be

87



! configured on your customer gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC IP address range! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193 end

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.

! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

88



! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.255.6 netmask 255.255.255.252exit!! ! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T1 metric 1 source any destination name AWSVPC service any gateway 169.254.255.5! IPSec Tunnel !2 ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-2gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.

89



! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128 proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enable commit end!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.!! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.255.2 netmask 255.255.255.252!! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T2 metric 1 source any destination name AWSVPC service any gateway 169.254.255.1

Configurar o dispositivo SonicWALL, usando ainterface de gerenciamento

O procedimento a seguir demonstra como configurar os túneis VPN no dispositivo SonicWALL usando ainterface de gerenciamento SonicOS. Você precisa substituir os valores de exemplo nos procedimentospelos valores fornecidos no arquivo de configuração.

90



Para configurar os túneis

1. Abra a interface de gerenciamento SonicWALL SonicOS.2. No painel esquerdo, escolha VPN, Configurações. Em VPN Policies, escolha Adicionar....3. Na janela de política VPN na guia Geral , conclua com as seguintes informações:

• Policy Type: Escolha Site para Site.• Em Método de autenticação: Escolha IKE using Preshared Secret.• Nome: Insira um nome para a política VPN. Recomendamos que você use o nome do ID VPN,

conforme fornecido no arquivo de configuração.• IPsec Primary Gateway Name or Address: Insira o endereço IP do gateway privado virtual (endpoint

da AWS) conforme fornecido no arquivo de configuração; por exemplo, 72.21.209.193.• Nome ou endereço IPsec Secondary Gateway: Deixe o valor padrão.• Shared Secret: Insira a chave pré-compartilhada conforme fornecida no arquivo de configuração, e

insira-a novamente em Confirm Shared Secret.• Local IKE ID: insira o endereço IPv4 do gateway do cliente (o dispositivo SonicWALL).• Peer IKE ID: Insira o endereço IPv4 do gateway privado virtual (endpoint da AWS).

4. Na guia Network, conclua com as seguintes informações:

• Em Local Networks, escolha Any address. Recomendamos esta opção para evitar problemas deconectividade na rede local.

• Em Remote Networks, escolha Choose a destination network from list. Crie um objeto de endereçocom o CIDR da VPC na AWS.

5. Na guia Proposals conclua com as seguintes informações.

• Em IKE (Phase 1) Proposal, faça o seguinte:• Exchange: Escolha Main Mode.• DH Group: Insira um valor para o grupo Diffie-Hellman; por exemplo, 2.• Encryption: Escolha AES-128 ou AES-256.• Autenticação: Escolha SHA1 ou SHA256.• Life Time: Insira 28800.

• Em IKE (Phase 2) Proposal, faça o seguinte:• Protocol: Escolha ESP.• Encryption: Escolha AES-128 ou AES-256.• Autenticação: Escolha SHA1 ou SHA256.• Selecione a caixa de seleção Enable Perfect Forward Secrecy e escolha o grupo Diffie-Hellman.• Life Time: Insira 3600.

Important

Se criou o gateway privado virtual antes de outubro de 2015, você deve especificar Diffie-Hellman grupo 2, AES-128 e SHA1 para ambas as fases.

6. Na guia Advanced conclua com as seguintes informações:

• Selecione Enable Keep Alive.• Selecione Enable Phase2 Dead Peer Detection e insira o seguinte:

• Em Dead Peer Detection Interval, insira 60 (este é o mínimo que o dispositivo SonicWALL aceita).• Em Failure Trigger Level, insira 3.

• Em VPN Policy bound to, selecione Interface X1. Essa é a interface designada normalmente paraendereços IP públicos.

91



7. Escolha OK. Na página Configurações a caixa de seleção Habilitar para o túnel deve ser selecionadapor padrão. Um ponto verde indica que o túnel está ativo.

Como testar a configuração do gateway do clientePrimeiro, teste a configuração do gateway para cada túnel.

Para testar a configuração do gateway do cliente para cada túnel

• No gateway do cliente, verifique se você adicionou uma rota estática ao espaço IP CIDR da VPC parausar a interface do túnel.


• Use uma AMI que responda a solicitações de ping. Recomendamos que você use uma das AMIs doAmazon Linux.

• Configure a rede ACL e o security group da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN. A tabela de rotas da sub-rede



1. Inicie a instância de uma das AMIs Amazon Linux na VPC. As AMIs Amazon Linux estão disponíveisno menu Quick Start quando você usa o assistente de ativação de instâncias no Console degerenciamento da AWS. Para obter mais informações, consulte o Guia de conceitos básicos doAmazon VPC.

2. Depois que a instância estiver em execução, obtenha o endereço IP privado (por exemplo, 10.0.0.4).O console exibe o endereço como parte dos detalhes da instância.

3. Em um sistema da sua rede doméstica, use o comando ping com o endereço IP da instância.Certifique-se de que o computador em que executou o ping esteja atrás do gateway do cliente. Umaresposta bem-sucedida deve ser semelhante a:

ping 10.0.0.4





Note

Se você executar um ping em uma instância do roteador do gateway do cliente, certifique-se deenviar mensagens de ping de um endereço IP interno e não de um endereço IP de túnel. AlgumasAMIs não respondem mensagens de ping de endereços IP de túnel.

92








93


Exemplo: dispositivo FortinetFortigate


O tópico a seguir apresenta informações de configuração de exemplo fornecidas por sua equipe deintegração se o gateway do cliente for um dispositivo Fortinet Fortigate 40+.

Dois diagramas mostram a configuração de exemplo. O primeiro diagrama mostra um layout detalhado dogateway do cliente e o segundo mostra detalhes da configuração de exemplo. Você deve usar informaçõesda configuração real que receber de sua equipe de integração e aplicá-las ao gateway do cliente.

94





Nesta seção, o diagrama mostra um exemplo de gateway de cliente Fortinet. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.


• YOUR_UPLINK_ADDRESS – Endereço IP da interface externa roteável para a Internet no gateway docliente (que deve ser estático e subjacente a um dispositivo que esteja executando a conversão deendereços de rede (NAT)).



95




Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961

96



!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. ! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. ! ! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.193 set psksecret plain-text-password1 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-0" set phase1name "vpn-44a8938f-0" set proposal aes128-sha1 set dhgrp 2

97



set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-0" set vdom "root" set ip 169.254.255.2 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.1 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.1 set remote-as 7224 end

98



! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.1 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5

99



set srcintf "vpn-44a8938f-0"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-0" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.225 set psksecret plain-text-password2 set dpd-retryinterval 10 nextend

100




config vpn ipsec phase2-interface edit "vpn-44a8938f-1" set phase1name "vpn-44a8938f-1" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-1" set vdom "root" set ip 169.254.255.6 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.5 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!

101



!!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.5 set remote-as 7224 end

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.5 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

!! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration

102



!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-1"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-1" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------








103










ping 10.0.0.4





Note



104





Exemplo: dispositivo Juniper J-Seriescom o JunOS


Nesta seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um router Juniper J-Series que executa o software JunOS 9.5 (ouposterior).


105




106




Nesta seção, o diagrama mostra um exemplo de gateway de cliente Juniper JunOS. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.






• Configurar a interface exterior (referida como ge-0/0/0.0 na configuração de exemplo).• Configure as IDs de interface de túnel (referidas como st0.1 e st0.2 na configuração de exemplo).• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.• Identifique a zona de segurança da interface de uplink (as informações de configuração a seguir usam a

zona padrão "untrust").• Identifique a zona de segurança da interface interna (as informações de configuração a seguir usam a

zona padrão "trust").


107



Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

108



# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2

# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-0set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225

# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all

# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600

# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-0

109



# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection

# #3: Tunnel Interface Configuration#

# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1

# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike

# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp

# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387

# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the

110



# Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject

set protocols bgp group ebgp type external

set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193

111











# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#

112



set security zones security-zone trust host-inbound-traffic protocols bgp


# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN






Quando definido corretamente, o emparelhamento de BGP deve receber uma rota, partindo do gatewayprivado virtual, correspondente ao prefixo que sua equipe de integração de VPC especificou, até o VPC

113



(por exemplo, 10.0.0.0/24). Se o emparelhamento de BGP estiver definido, você receber e anunciar umprefixo, isso significa que o túnel está configurado corretamente. Certifique-se de que os dois túneis estãonesse estado.









ping 10.0.0.4





Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Juniper JunOS (p. 188).

114





Exemplo: dispositivo Juniper SRXcom o JunOS


Nesta seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um router Juniper SRX que executa o software JunOS 11.0 (ouposterior).


115




116




Nesta seção, o diagrama mostra um exemplo de gateway de cliente Juniper JunOS 11.0 ou posterior.Logo após o diagrama encontra-se um exemplo correspondente das informações de configuração que suaequipe de integração deve fornecer. A configuração de exemplo contém um conjunto de informações paracada um dos túneis que você precisa configurar.






• Configurar a interface exterior (referida como ge-0/0/0.0 na configuração de exemplo).• Configure as IDs de interface de túnel (referidas como st0.1 e st0.2 na configuração de exemplo).• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.• Identifique a zona de segurança da interface de uplink (as informações de configuração a seguir usam a

zona padrão "untrust").• Identifique a zona de segurança da interface interna (as informações de configuração a seguir usam a

zona padrão "trust").


117



Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

118



# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal




119








# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp


# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured

120



# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-2set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193

121



set security ike gateway gw-vpn-44a8938f-2 no-nat-traversal









# The security zone protecting internal interfaces (including the logical

122



# tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp


# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN






123












ping 10.0.0.4





Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Juniper JunOS (p. 188).

124





Exemplo: Dispositivo JuniperScreenOS


Nesta seção, nós apresentaremos um exemplo das informações de configuração fornecidas pelaequipe de integração se o seu gateway do cliente for um dispositivo da série Juniper SSG ou Netscreenexecutando o software Juniper ScreenOS.


125




126




O diagrama nesta seção ilustra um exemplo de gateway de cliente Juniper ScreenOS. Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém informações para cada um dos túneis quevocê deve configurar.






• Configure a interface exterior (referida como ethernet0/0 na configuração de exemplo).• Configure os IDs de interface de túnel (referidas como tunnel.1 e tunnel.2 na configuração de

exemplo).• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.


127



Warning

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração forneça. Muitos dos valores no exemplo a seguir serão diferentes dasinformações de configuração que você recebe. Você dever usar os valores reais e não os valoresde exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.

Important

A configuração abaixo é apropriada para versões ScreenOS 6.2 e posterior. Você pode baixaruma configuração específica para o ScreenOS versão 6.1. Na caixa de diálogo Configuração dedownload, selecione Juniper Networks, Inc. na lista Fornecedor, SSG and ISG SeriesRouters na lista Plataforma e ScreenOS 6.1 na lista Software.

# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of a VPN # Connection. Each VPN Connection is assigned a VPN Connection Identifier# and is associated with two other identifiers, namely the Customer Gateway# Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be configured# on your Customer Gateway.## This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.## --------------------------------------------------------------------------------# IPsec Tunnel #1# --------------------------------------------------------------------------------

128



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.##If the address changes, the Customer Gateway and VPN Connection must be recreated.#

set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ike-prop-vpn-44a8938f-1

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal ipsec-prop-vpn-44a8938f-1

# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.#

129



# To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.#

set interface tunnel.1 zone Trustset interface tunnel.1 ip 169.254.255.2/30set interface tunnel.1 mtu 1436set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.#

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0). ## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop.

set enableset neighbor 169.254.255.1 remote-as 7224set neighbor 169.254.255.1 enableexitexitset interface tunnel.1 protocol bgp

# -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

130



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#

set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.## This address is configured with the setup for your Customer Gateway. If the# address changes, the Customer Gateway and VPN Connection must be recreated.#set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ike-prop-vpn-44a8938f-2

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal ipsec-prop-vpn-44a8938f-2

# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you

131



# must have an interface facing your internal network in the "Trust" zone.

set interface tunnel.2 zone Trustset interface tunnel.2 ip 169.254.255.6/30set interface tunnel.2 mtu 1436set vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0).## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop. set enableset neighbor 169.254.255.5 remote-as 7224set neighbor 169.254.255.5 enableexitexitset interface tunnel.2 protocol bgp




132














ping 10.0.0.4





Note



133






Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Juniper ScreenOS (p. 191).

134



Exemplo: dispositivo NetgatePfSense sem protocolo de gatewayde ponta

Tópicos• uma visão detalhada do gateway do cliente (p. 135)• Configuração de exemplo (p. 136)• Como testar a configuração do gateway do cliente (p. 139)

Este tópico fornece um exemplo de como configurar o roteador se o gateway do cliente for um firewallNetgate pfSense executando o OS 2.2.5 ou posterior.

Este tópico pressupõe que você configurou uma conexão VPN com roteamento estático no console daAmazon VPC. Para obter mais informações, consulte Adicionar um gateway privado virtual de hardware àVPC no Guia do usuário da Amazon VPC.


Você deve usar informações da configuração real que receber de sua equipe de integração e aplicá-las aogateway do cliente.

135




Configuração de exemplo

Configuração de exemploA configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID da conexão VPN(vpn-12345678), o ID do gateway privado virtual (vgw-12345678) e espaços reservados para os endpointsda AWS (AWS_ENDPOINT_1 e AWS_ENDPOINT_2).

Na configuração de exemplo a seguir, você deve substituir os itens em vermelho e itálico pelos valores quese aplicam à sua configuração específica.

Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração lhe forneça. Muitos dos valores no exemplo a seguir serão diferentesdaqueles das informações de configuração reais que você receber. Você dever usar os valoresreais e não os valores de exemplo mostrados aqui. Do contrário, sua implementação serámalsucedida.


! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.

136



!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway for redundancy.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_1 f. Description: Amazon-IKE-vpn-12345678-0 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password1 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec

137



! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-0 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.

! --------------------------------------------------------------------------------

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_2 f. Description: Amazon-IKE-vpn-12345678-1 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address

138



e. Pre-Shared Key: plain-text-password2 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-1 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.



• No console da Amazon VPC verifique se a rota estática foi adicionada à conexão VPN, de modoque o tráfego possa retornar ao gateway do cliente. Por exemplo, se o prefixo da sub-rede local for198.10.0.0/16, você deverá adicionar uma rota estática com esse intervalo CIDR à conexão VPN.Certifique-se de que os dois túneis tenham uma rota estática em seu VPC.


139







1. Inicie uma instância de uma das AMIs do Amazon Linux na VPC. As AMIs do Amazon Linux estãodisponíveis no menu Quick Start quando você usa o Launch Instances Wizard no console do AmazonEC2. Para obter mais informações, consulte Iniciar uma instânciano Guia do usuário do Amazon EC2para instâncias do Linux.



ping 10.0.0.4





Note



140



http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html


Exemplo: Dispositivo Palo AltoNetworks


O tópico a seguir apresenta informações de configuração de exemplo fornecidas por sua equipe deintegração se o gateway do cliente for um dispositivo Palo Alto Networks PANOS 4.1.2+.


141





Nesta seção, o diagrama ilustra um exemplo de gateway do cliente Palo Alto. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.


• YOUR_UPLINK_ADDRESS — O endereço IP da interface externa roteável pela Internet no gatewaydo cliente (que deve ser estática e pode estar por trás de um dispositivo que executa a tradução deendereços de rede (NAT); no entanto, NAT transversal (NAT-T) não é suportada).



142




Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81

143



! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-0 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-0 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchange-mode main set authentication pre-shared-key key plain-text-password1 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.193 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

144



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.5/30 set units tunnel.1 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-1 set auto-key ike-gateway ike-vpn-44a8938f-0 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0 set tunnel-interface tunnel.1 set anti-replay yes

! --------------------------------------------------------------------------------


edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-0 set connection-options keep-alive-interval 10 set connection-options hold-time 30

145



set enable yes set local-address ip 169.254.255.5/30 set local-address interface tunnel.1 set peer-as 7224 set peer-address ip 169.254.255.2 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.

edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-1 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

146



edit network ike gateway ike-vpn-44a8938f-1 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchange-mode main set authentication pre-shared-key key plain-text-password2 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.225 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.1/30 set units tunnel.2 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-2 set auto-key ike-gateway ike-vpn-44a8938f-1 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1 set tunnel-interface tunnel.2 set anti-replay yes

147




edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-1 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.1/30 set local-address interface tunnel.2 set peer-as 7224 set peer-address ip 169.254.255.6.113 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.


! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

148

















ping 10.0.0.4





149






Note



150


Exemplo: dispositivo YamahaTópicos

• uma visão detalhada do gateway do cliente (p. 152)• Uma visão detalhada do gateway do cliente e uma configuração de exemplo (p. 152)• Como testar a configuração do gateway do cliente (p. 158)

Nessa seção, apresentamos um exemplo de informações de configuração fornecidas pela equipe deintegração, caso o gateway de cliente seja um roteador Yamaha RT107e, RTX1200, RTX1210, RTX1500,RTX3000 ou SRT100.


151





Nessa seção, o diagrama mostra um exemplo de gateway do cliente Yamaha. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.



• YOUR_LOCAL_NETWORK_ADDRESS— O endereço IP atribuído à interface LAN, conectado à rede local(provavelmente um endereço privado como 192.168.0.1)


A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID de conexão VPN(vpn-44a8938f), o ID do gateway privado virtual (vgw-8db04f81), os endereços IP (72.21.209.*,

152



169.254.255.*) e o ASN remoto (7224). Você substituirá esses valores de exemplo pelos valores reaispresentes nas informações de configuração que receber.


• Configurar a interface exterior (referida como LAN3 na configuração de exemplo).• Configure os IDs de interface de túnel (referidas como Tunnel #1 e Tunnel #2 na configuração de

exemplo).• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.


Warning


# Amazon Web Services # Virtual Private Cloud # AWS utilizes unique identifiers to manage the configuration of # a VPN Connection. Each VPN Connection is assigned an identifier and is # associated with two other identifiers, namely the # Customer Gateway Identifier and Virtual Private Gateway Identifier. # # Your VPN Connection ID : vpn-44a8938f # Your Virtual Private Gateway ID : vgw-8db04f81 # Your Customer Gateway ID : cgw-b4dc3961 # # # This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway. #

153



# -------------------------------------------------------------------------------- # IPsec Tunnel #1 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 1 ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha # This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 1 text plain-text-password1

# #2: IPsec Configuration # The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPSec policies, each identified by # sequence number. This policy is defined as #201, which may conflict with# an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.# ipsec tunnel 201 ipsec sa policy 201 1 esp aes-cbc sha-hmac # The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime. ipsec ike duration ipsec-sa 1 3600 ipsec ike pfs 1 on # Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling

154



# them to be fragmented. # ipsec tunnel outer df-bit clear # This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational. ipsec ike keepalive use 1 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS ipsec ike remote address 1 72.21.209.225 ip tunnel address 169.254.255.2/30 ip tunnel remote address 169.254.255.1 # This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation ip tunnel tcp mss limit 1387tunnel enable 1tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the

155



# prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

# -------------------------------------------------------------------------------- # IPsec Tunnel #2 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 2 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha

# This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 2 text plain-text-password2

# #2: IPsec Configuration

# The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPsec policies, each identified by # sequence number. This policy is defined as #202, which may conflict with # an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts. #

ipsec tunnel 202ipsec sa policy 202 2 esp aes-cbc sha-hmac

156



# The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime.

ipsec ike duration ipsec-sa 2 3600ipsec ike pfs 2 on

# Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational.

ipsec ike keepalive use 2 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # Association with the IPsec security association is done through the # "tunnel protection" command. # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESSipsec ike remote address 2 72.21.209.193 ip tunnel address 169.254.255.6/30 ip tunnel remote address 169.254.255.5

# This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation

ip tunnel tcp mss limit 1387tunnel enable 2tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0),

157



# which can be done with the 'network' and 'default-originate' statements.## # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

bgp configure refresh











158









ping 10.0.0.4





Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente da Yamaha (p. 194).

159



Exemplo: gateway de clientegenérico que usa protocolo degateway de borda


Se seu gateway de cliente não for um dos tipos examinados neste guia, sua equipe de integração lhefornecerá informações genéricas que podem ser usadas para configurá-lo. Esta seção contém um exemplodessas informações.


160





Nesta seção, o diagrama mostra um exemplo de gateway de cliente genérico. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.





161




Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration===============================================AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-b4dc3961

A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured.

IPsec Tunnel #1================================================

#1: Internet Key Exchange Configuration

Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).

162



To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password1- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption

#3: Tunnel Interface Configuration

Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.

The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.

The Customer Gateway inside IP address should be configured on your tunnelinterface.

Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

163



Inside IP Addresses- Customer Gateway : 169.254.255.2/30- Virtual Private Gateway : 169.254.255.1/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

#4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.1- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

IPsec Tunnel #2=====================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds

164



- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.6/30- Virtual Private Gateway : 169.254.255.5/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

" #4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.5- Neighbor Hold Time : 30

165



Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.















ping 10.0.0.4




166







Note




167


Exemplo: Generic Customer Gatewaywithout Border Gateway Protocol


Se seu gateway de cliente não for um dos tipos examinados neste guia, sua equipe de integração lhefornecerá informações genéricas que podem ser usadas para configurá-lo. Esta seção contém um exemplodessas informações.


168





O diagrama nesta seção ilustra um exemplo de gateway do cliente genérico (sem BGP). Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.

O diagrama nesta seção ilustra um gateway do cliente genérico que usa roteamento estático parasua conexão VPN (ou seja, não é compatível com roteamento dinâmico ou Border Gateway Protocol(BGP, Protocolo de roteador de perímetro). Logo após o diagrama, há um exemplo correspondente dasinformações de configuração que sua equipe de integração deve fornecer a você. A configuração deexemplo contém um conjunto de informações para cada um dos dois túneis que você precisa configurar.

Além disso, a configuração de exemplo refere-se a um item que você precisa fornecer:

169



• YOUR_UPLINK_ADDRESS — O endereço IP para a interface externa roteável para Internet no gatewaydo cliente. O endereço deve ser estático e pode estar subjacente a um dispositivo que esteja executandoconversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deveajustar suas regras de firewall para desbloquear a porta UDP 4500.

A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID de conexão VPN(vpn-44a8938f), o ID do gateway privado virtual (vgw-8db04f81) e os endereços IP VGW (72.21.209.*,169.254.255.*). Você substituirá esses valores de exemplo pelos valores reais presentes nas informaçõesde configuração que receber.


Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração lhe forneça. Muitos dos valores no exemplo a seguir serão diferentesdaqueles das informações de configuração reais que você receber. Você dever usar os valoresreais e não os valores de exemplo mostrados aqui. Do contrário, sua implementação serámalsucedida.

Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration================================================================================AWS utilizes unique identifiers to manipulate the configuration ofa VPN Connection. Each VPN Connection is assigned a VPN Connection Identifierand is associated with two other identifiers, namely theCustomer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-ff628496

170



A VPN Connection consists of a pair of IPSec tunnel security associations (SAs).It is important that both tunnel security associations be configured.

IPSec Tunnel #1================================================================================


Configure the IKE SA as followsPlease note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that is

171



associated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.73

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

IPSec Tunnel #2 ================================================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main

172



- Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225

Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

173



To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.77

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.



• No gateway do cliente, verifique se você adicionou uma rota estática ao espaço IP CIDR da VPC parausar a interface do túnel.






1. Inicie uma instância de uma das Amazon Linux AMIs em sua VPC. As Amazon Linux AMIs estãodisponíveis no menu Início Rápido quando você usar o Launch Instances Wizard do Console deGerenciamento da AWS. Para obter mais informações, consulte o Guia de conceitos básicos doAmazon VPC.



PROMPT> ping 10.0.0.4Pinging 10.0.0.4 with 32 bytes of data:




174







Note

Se você executar um ping em uma instância do roteador do gateway do cliente, certifique-se deenviar mensagens de ping de um endereço IP interno e não de um endereço IP de túnel. AlgumasAMIs não respondem mensagens de ping de endereços IP de túnel.


175


Conectividade de gateway de cliente Cisco ASA

Solução de problemasOs tópicos a seguir contêm informações sobre solução de problemas que podem ser usadas se os túneisnão estiverem no estado correto ao testar o gateway do cliente.

Tópicos• Solução de problemas de conectividade de gateway de cliente Cisco ASA (p. 176)• Solução de problemas de conectividade de gateway de cliente do Cisco IOS (p. 179)• Solução de problemas de gateway de cliente do Cisco IOS sem conectividade de protocolo de gateway

de borda (p. 183)• Solução de problemas de conectividade de gateway de cliente do Juniper JunOS (p. 188)• Solução de problemas de conectividade de gateway de cliente do Juniper ScreenOS (p. 191)• Solução de problemas de conectividade de gateway de cliente da Yamaha (p. 194)• Solução de problemas de conectividade de gateway de cliente em dispositivo genérico usando o

protocolo de gateway de borda (p. 197)• Solução de problemas de conectividade de gateway de cliente em dispositivo genérico sem o protocolo

de gateway de borda (p. 200)

Solução de problemas de conectividade de gatewayde cliente Cisco ASA

Ao solucionar um problema de conectividade em um gateway de cliente da Cisco, é necessário considerartrês fatores: IKE, IPsec e roteamento. É possível solucionar problemas nessas áreas em qualquersequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

Important

Alguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possívelter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeirotúnel ficar indisponível. O túnel em espera pode gerar o erro a seguir nos arquivos de log, oqual pode ser ignorado: Rejecting IPSec tunnel: no matching crypto map entryfor remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 oninterface outside

IKEUse o seguinte comando. A resposta mostra um gateway de cliente com o IKE configurado corretamente.

ciscoasa# show crypto isakmp sa

Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2

1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

176


IPsec

Provavelmente você verá uma ou mais linhas contendo um src do gateway remoto especificado nos túneis.O estado deve ser MM_ACTIVE e o status deve ser ACTIVE. A ausência de uma entrada, ou de qualquerentrada em outro estado, indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log quefornecem informações de diagnóstico.

router# term monrouter# debug crypto isakmp

Para desativar a depuração, use o comando a seguir.

router# no debug crypto isakmp

IPsecUse o seguinte comando. A resposta mostra um gateway de cliente com o IPsec configuradocorretamente.

ciscoasa# show crypto ipsec sa

interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0

local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6

inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes

177


Roteamento

replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001

Para a interface de cada túnel, você provavelmente verá inbound esp sas e outbound esp sas. Nessecaso, pressupõe-se que uma SA esteja listada (por exemplo, spi: 0x48B456A6) e o IPsec estejaconfigurado corretamente.

No Cisco ASA, o IPsec só aparecerá depois que "tráfego interessante" for enviado. Para sempre mantero IPsec ativo, é recomendável configurar o monitor de SLA. O monitor de SLA continuará a enviar tráfegointeressante, mantendo assim o IPsec ativo.

Além disso, é possível usar o comando ping a seguir para forçar o IPsec a iniciar a negociação eprosseguir.

ping ec2_instance_ip_address

Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128



Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

router# debug crypto ipsec


router# no debug crypto ipsec

RoteamentoExecute ping na outra extremidade do túnel. Se estiver funcionando, é provável que seu IPsec tambémesteja funcionando adequadamente. Se não estiver, verifique suas listas de acesso e consulte a seção deIPsec anterior.

Se não conseguir alcançar suas instâncias, verifique o seguinte:

1. Verifique se a lista de acesso está configurada para permitir tráfego associado com o mapa decriptografia.

Faça isso usando o seguinte comando:

ciscoasa# show run crypto

crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2

178


Conectividade de gateway de cliente do Cisco IOS

crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

2. Em seguida, verifique a lista de acesso da maneira a seguir.

ciscoasa# show run access-list access-list-name

access-list access-list-name extended permit ip any vpc_subnet subnet_mask

Por exemplo:

access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

3. Verifique se essa lista de acesso está correta. A lista de acesso de exemplo na etapa anterior permitetodo tráfego interno para a sub-rede da VPC 10.0.0.0/16.

4. Execute o comando traceroute no dispositivo Cisco ASA para ver se é possível alcançar os routers daAmazon (por exemplo, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

Se conseguir alcançar o router da Amazon, verifique as rotas estáticas que você adicionou no consoleda Amazon e também os security groups para instâncias específicas.

5. Para solucionar outros problemas, revise a configuração.

Solução de problemas de conectividade de gatewayde cliente do Cisco IOS

Ao solucionar um problema de conectividade em um gateway de cliente da Cisco, é necessário considerarquatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquersequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE

Provavelmente você verá uma ou mais linhas contendo um src do gateway remoto especificado nos túneis.O estado deve ser QM_IDLE e o status deve ser ACTIVE. A ausência de uma entrada, ou de qualquerentrada em outro estado, indica que o IKE não está configurado apropriadamente.




179


IPsec



router# show crypto ipsec sa

interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:


protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

180


Túnel

remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Para a interface de cada túnel, você provavelmente verá inbound esp sas e outbound esp sas. Supondoque uma SA esteja listada ("spi: 0xF95D2F3C", por exemplo) e o status seja ACTIVE, o IPsec estáconfigurado corretamente.



Use o comando a seguir para desativar a depuração.


TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter uma lista de regras,consulte Configuração de um firewall entre o seu gateway do cliente e a Internet (p. 11).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir.

181


BGP

router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Confirme se o protocolo de linha está funcionando. Verifique se o endereço IP de origem, a interfacede origem e o destino correspondem respectivamente ao endereço IP externo do gateway do cliente,à interface e ao endereço IP externo do gateway privado virtual na configuração do túnel. Confirme seProteção de túnel via IPSec está presente Lembre-se de executar o comando em ambas as interfaces dotúnel. Para solucionar qualquer problema aqui, revise a configuração.

Além disso, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual.

router# ping 169.254.255.1 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Você deve ver cinco pontos de exclamação.

Para solucionar outros problemas, revise a configuração.

BGPUse o seguinte comando.

router# show ip bgp summary

BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory

182


Conexão de um gateway privado virtual

0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1

Aqui, ambos os vizinhos deve ser listados. Para cada um, você verá o valor de um em State/PfxRcd.

Se o pareamento BGP estiver ativo, verifique se o router do gateway do cliente está anunciando a rotapadrão (0.0.0.0/0) para a VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes

For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i

Total number of prefixes 1

Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual.

router# show ip route bgp

10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20


Conexão de um gateway privado virtualConfirme se o gateway privado virtual está conectado à VPC. Sua equipe de integração faz isso por meiodo Console de Gerenciamento do AWS.

Se você tiver dúvida ou precisar de maior assistência, use o Amazon VPC forum.

Solução de problemas de gateway de cliente doCisco IOS sem conectividade de protocolo degateway de borda

Ao solucionar um problema de conectividade em um gateway de cliente da Cisco, é necessário considerartrês fatores: IKE, IPsec e túnel. É possível solucionar problemas nessas áreas em qualquer sequência,mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

183

https://forums.aws.amazon.com/forum.jspa?forumID=58


IKE


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE

Provavelmente você verá uma ou mais linhas contendo um src do gateway remoto especificado nos túneis.O estado deve ser QM_IDLE e o status deve ser ACTIVE. A ausência de uma entrada, ou de qualquerentrada em outro estado, indica que o IKE não está configurado apropriadamente.






router# show crypto ipsec sa



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0

184


IPsec

sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

185


Túnel

outbound ah sas:

outbound pcp sas:

Para a interface de cada túnel, você provavelmente verá inbound esp sas e outbound esp sas. Nessecaso, pressupõe-se que uma SA esteja listada (por exemplo, spi: 0x48B456A6), o status seja ACTIVE e oIPsec esteja configurado corretamente.







router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Confirme se o protocolo de linha está funcionando. Verifique se o endereço IP de origem, a interfacede origem e o destino correspondem respectivamente ao endereço IP externo do gateway do cliente,à interface e ao endereço IP externo do gateway privado virtual na configuração do túnel. Confirme seProteção de túnel via IPSec está presente. Lembre-se de executar o comando em ambas as interfaces dotúnel. Para solucionar qualquer problema, revise a configuração.

Você pode também usar o comando a seguir e substituir 169.254.249.18 pelo endereço IP interno deseu gateway privado virtual.

186


Túnel

router# ping 169.254.249.18 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Você deve ver cinco pontos de exclamação.

RoteamentoPara ver sua tabela de rotas estáticas, use o comando a seguir.

router# sh ip route static

1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2

Você verá que existe uma rota estática para o CIDR da VPC por meio de ambos os túneis. Se não houver,adicione as rotas estáticas mostradas aqui.

router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200

Verificação do monitor de SLArouter# show ip sla statistics 100

IPSLAs Latest Operation Statistics

IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

router# show ip sla statistics 200

IPSLAs Latest Operation Statistics

IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

O valor de "Number of successes" indica se o monitor de SLA foi configurado com êxito.


187



Conexão de um gateway privado virtualVerifique se o gateway privado virtual está conectado à VPC. Sua equipe de integração faz isso por meiodo Console de Gerenciamento do AWS.


Solução de problemas de conectividade de gatewayde cliente do Juniper JunOS

Ao solucionar um problema de conectividade em um gateway de cliente da Juniper, é necessárioconsiderar quatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas emqualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir emfrente.


user@router> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main

Provavelmente você verá uma ou mais linhas contendo um endereço remoto do gateway remotoespecificado nos túneis. State deve ser UP. A ausência de uma entrada, ou de qualquer entrada em outroestado (como DOWN), indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, ative as opções de rastreamento de IKE, tal como recomendadonas informações de configuração de exemplo (consulte Exemplo: dispositivo Juniper J-Series com oJunOS (p. 105)). Em seguida, execute o comando a seguir para imprimir na tela uma variedade demensagens de depuração.

user@router> monitor start kmd

Em um host externo, é possível recuperar o arquivo de log completo com o comando a seguir.

scp [email protected]:/var/log/kmd


user@router> show security ipsec security-associations

Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0

188



Túnel

>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0

Mais especificamente, você deve ver pelo menos duas linhas por endereço de gateway (correspondentesao gateway remoto). Observe os operadores maior e menor no início de cada linha (< >), que indicam adireção do tráfego para a entrada específica. A saída tem linhas distintas para tráfego de entrada ("<",tráfego do gateway privado virtual para esse gateway de cliente) e tráfego de saída (">").

Para solucionar outros problemas, ative as opções de rastreamento de IKE (para obter mais informações,consulte a seção precedente sobre IKE).

TúnelPrimeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma listade regras, consulte Configuração de um firewall entre o seu gateway do cliente e a Internet (p. 11).


user@router> show interfaces st0.1

Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2

Confirme se Security: Zone está correto e o endereço Local corresponde ao túnel do gateway de clientedentro do endereço.

Em seguida, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.

user@router> ping 169.254.255.1 size 1382 do-not-fragment

PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms



user@router> show bgp summary

Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0

189


BGP

Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0

Para solucionar outros problemas, use o comando a seguir e substitua 169.254.255.1 pelo endereço IPinterno de seu gateway privado virtual.

user@router> show bgp neighbor 169.254.255.1

Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0

Aqui, você deve ver Received prefixes e Advertised prefixes listados com 1. Isso dever estar dentro daseção Table inet.0.

Se State não for Established, verifique Last State e Last Error para obter detalhes sobre o que énecessário para corrigir o problema.


user@router> show route advertising-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)

190



Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I


user@router> show route receive-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I



Solução de problemas de conectividade de gatewayde cliente do Juniper ScreenOS

Ao solucionar um problema de conectividade em um gateway de cliente do Juniper ScreenOS, énecessário considerar quatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessasáreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) eseguir em frente.

IKE e IPsecUse o seguinte comando. A resposta mostra um gateway de cliente com o IKE configurado corretamente.

ssg5-serial-> get sa

total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Provavelmente você verá uma ou mais linhas contendo um endereço remoto do gateway remotoespecificado nos túneis. Sta deve ser A/- e SPI deve ser um número hexadecimal diferente de 00000000.As entradas em outros estados indicam que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, ative as opções de rastreamento de IKE, tal como recomendado nasinformações de configuração de exemplo (consulte Exemplo: Dispositivo Juniper ScreenOS (p. 125)).

TúnelPrimeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma listade regras, consulte Configuração de um firewall entre o seu gateway do cliente e a Internet (p. 11).

191



BGP


ssg5-serial-> get interface tunnel.1

Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1

Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN

pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Confirme se link:ready está presente e o endereço IP corresponde ao endereço interno do túnel dogateway de cliente.

Em seguida, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.

ssg5-serial-> ping 169.254.255.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms



ssg5-serial-> get vrouter trust-vr protocol bgp neighbor

Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01

192


BGP

7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

Ambos os peers de BGP devem estar listados como State: ESTABLISH, o que significa que a conexão deBGP com o gateway privado virtual está ativa.

Para solucionar outros problemas, use o comando a seguir e substitua 169.254.255.1 pelo endereço IPinterno de seu gateway privado virtual.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1

peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds

Se o pareamento BGP estiver ativo, verifique se o router do gateway do cliente está anunciando a rotapadrão (0.0.0.0/0) para a VPC. Observe que esse comando aplica-se ao ScreenOS versão 6.2.0 esuperior.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1

Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual. Observe que esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received

193



i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1



Solução de problemas de conectividade de gatewayde cliente da Yamaha

Ao solucionar um problema de conectividade em um gateway de cliente da Yamaha, é necessárioconsiderar quatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas emqualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir emfrente.


# show ipsec sa gateway 1

sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1

Provavelmente você verá uma linha contendo um remote-id do gateway remoto especificado nos túneis.Você pode listar todas as associações de segurança (SAs) omitindo o número de túneis.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log de nívelde DEPURAÇÃO que fornecem informações de diagnóstico.

# syslog debug on# ipsec ike log message-info payload-info key-info

Para cancelar os itens registrados, use o comando a seguir.

# no ipsec ike log# no syslog debug on


194



Túnel

# show ipsec sa gateway 1 detail

SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------

Para a interface de cada túnel, você deve ver receive sas e send sas.


# syslog debug on# ipsec ike log message-info payload-info key-info

Use o comando a seguir para desativar a depuração.

# no ipsec ike log# no syslog debug on



# show status tunnel 1

195


BGP

TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]

Confirme se current status é Online. Além disso, confirme se Interface type é IPsec. Lembre-se deexecutar o comando em ambas as interfaces do túnel. Para solucionar qualquer problema aqui, revise aconfiguração.


# show status bgp neighbor

BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:

Aqui, ambos os vizinhos deve ser listados. Para cada um, você verá o valor Active em BGP state.


# show status bgp neighbor 169.254.255.1 advertised-routes

Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP


196



# show ip route

Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124




Solução de problemas de conectividade de gatewayde cliente em dispositivo genérico usando oprotocolo de gateway de borda

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas de gatewayde cliente que usa o protocolo de gateway de borda (BGP, Border Gateway Protocol) em dispositivosdiferentes dos listados neste guia.

Tip

Ao solucionar problemas, é provável que você considere útil ativar os recursos de depuração dodispositivo do gateway. Consulte o fornecedor do dispositivo do gateway para obter informaçõesdetalhadas.

197


Amazon Virtual Private CloudGuia do administrador de redesConectividade de gateway decliente em dispositivo genérico

198

Amazon Virtual Private CloudGuia do administrador de redesConectividade de gateway decliente em dispositivo genérico

Determine se existe uma associação de segurança IKE.

A associação de segurança IKE é necessária para trocar chaves usadas para estabelecera associação de segurança IPsec.

Se não houver nenhuma associação de segurança IKE, revise as definições deconfiguração de IKE. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se houver uma associação de segurança IKE, passe para IPsec.

Determine se existe uma associação de segurança IPsec.

Uma associação de segurança IPsec é o túnel em si. Examine o gateway do cliente paradeterminar se a associação de segurança IPsec está ativa. A configuração apropriada daSA IPsec é essencial. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se não houver nenhuma associação de segurança IPsec, revise as definições deconfiguração de IPsec.

Se houver uma associação de segurança IPsec, passe para o túnel.

Confirme se as regras necessárias de firewall estão configuradas (para obter uma listade regras, consulte Configuração de um firewall entre o seu gateway do cliente e aInternet (p. 11)). Se não, prossiga.

Determine se existe conectividade IP por meio do túnel.

Cada lado do túnel tem um endereço IP tal como especificado na configuração do gatewayde cliente. O endereço do gateway privado virtual é endereço usado como endereço devizinho BGP. No gateway do cliente, execute ping nesse endereço para determinar se otráfego de IP está sendo criptografado descriptografado apropriadamente.

Se o ping não tiver êxito, revise a configuração da interface do túnel para confirmar se oendereço IP apropriado está configurado.

Se o ping tiver êxito, prossiga para o BGP.

Determine se o pareamento BGP está ativo.

Para cada túnel, faça o seguinte:

• No gateway do cliente, determine se o status do BGP é Active ou Established. Podelevar aproximadamente 30 segundos para uma sessão de BGP entre pares ficar ativa.

• Confirme se o gateway do cliente está anunciando a rota padrão (0.0.0.0/0) gatewayprivado virtual.

Se os túneis não estiverem nesse estado, revise a configuração do BGP.

Se a sessão de BGP entre pares for estabelecida e você estiver recebendo um prefixoe anunciando um prefixo, isso quer dizer que o túnel está configurado corretamente.Confirme se ambos os túneis estão nesse estado. Se sim, terá concluído.

Confirme se o gateway privado virtual está conectado à VPC. Sua equipe de integraçãofaz isso por meio do Console de Gerenciamento do AWS.

199


Conectividade de gateway de clienteem dispositivo genérico (com BGP)

Para obter instruções gerais de teste aplicáveis a todos os gateways de cliente, consulte Como testar aconfiguração do gateway do cliente (p. 166).


Solução de problemas de conectividade de gatewayde cliente em dispositivo genérico sem o protocolode gateway de borda

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas para umdispositivo de gateway de cliente que não usa o protocolo de gateway de borda (BGP, Border GatewayProtocol).

Tip

Ao solucionar problemas, é provável que você considere útil ativar os recursos de depuração dodispositivo do gateway. Consulte o fornecedor do dispositivo do gateway para obter informaçõesdetalhadas.

200




201



Determine se existe uma associação de segurança IKE.

A associação de segurança IKE é necessária para trocar chaves usadas para estabelecera associação de segurança IPsec.

Se não houver nenhuma associação de segurança IKE, revise as definições deconfiguração de IKE. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se houver uma associação de segurança IKE, passe para IPsec.

Determine se existe uma associação de segurança IPsec.

Uma associação de segurança IPsec é o túnel em si. Examine o gateway do cliente paradeterminar se a associação de segurança IPsec está ativa. A configuração apropriada daSA IPsec é essencial. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se não houver nenhuma associação de segurança IPsec, revise as definições deconfiguração de IPsec.

Se houver uma associação de segurança IPsec, passe para o túnel.

Confirme se as regras necessárias de firewall estão configuradas (para obter uma listade regras, consulte Configuração de um firewall entre o seu gateway do cliente e aInternet (p. 11)). Se não, prossiga.

Determine se existe conectividade IP por meio do túnel.

Cada lado do túnel tem um endereço IP tal como especificado na configuração do gatewayde cliente. O endereço do gateway privado virtual é endereço usado como endereço devizinho BGP. No gateway do cliente, execute ping nesse endereço para determinar se otráfego de IP está sendo criptografado descriptografado apropriadamente.

Se o ping não tiver êxito, revise a configuração da interface do túnel para confirmar se oendereço IP apropriado está configurado.

Se o ping tiver êxito, prossiga para roteamento.

Rotasestáticas

Roteamento:

Para cada túnel, faça o seguinte:

• Verifique se você adicionou uma rota estática ao CIDR da VPC com os túneis como osalto seguinte.

• Verifique se você adicionou uma rota estática ao console da AWS, para informar o VGWpara rotear o tráfego de volta para suas redes internas.

Se os túneis não estiverem nesse estado, revise a configuração de seu dispositivo.

Confirme se ambos os túneis estão nesse estado. Se sim, terá concluído.

Confirme se o gateway privado virtual está conectado à VPC. Sua equipe de integraçãofaz isso por meio do Console de Gerenciamento do AWS.

202




203



Configuração do Windows Server

Configuração do Windows Server2008 R2 como gateway do cliente

Configuração do Windows Server 2008 R2 como gateway do cliente para sua VPC. Use o processo aseguir se estiver executando o Windows Server 2008 R2 em uma Instância EC2, em uma VPC ou em seupróprio servidor.

Tópicos• Configuração do Windows Server (p. 204)• Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 205)• Etapa 2: fazer download do arquivo de configuração para a conexão VPN (p. 206)• Etapa 3: configurar o Windows Server (p. 207)• Etapa 4: configurar o túnel de VPN (p. 210)• Etapa 5: habilitar a detecção de gateway inativo (p. 216)• Etapa 6: testar a conexão VPN (p. 217)

Configuração do Windows ServerPara configurar o Windows Server como um gateway do cliente, verifique se o Windows Server 2008 R2está instalado na rede ou em uma instância do EC2 em uma VPC. Se usar uma Instância EC2 executadade uma AMI do Windows, faça o seguinte:

• Desative a verificação de origem/destino da instância:1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione a instância do Windows Server e escolha Actions, Networking, Change Source/Dest.

Check. Escolha Yes, Disable.• Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:

1. Conecte-se à sua instância do Windows. Para obter mais informações, acesse Connecting to YourWindows Instance.

2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.3. Expanda o nó Adaptadores de rede.4. Clique com o botão direito em Adaptador de rede Citrix ou PV de AWS e clique em Propriedades.5. Na guia Advanced, desative as propriedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4)

e UDP Checksum Offload (IPv4) e escolha OK.• Associe um endereço IP elástico à instância:

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Elastic IPs. Escolha Allocate new address.3. Selecione o endereço IP elástico e escolha Actions, Associate Address.4. Para Instance, selecione a instância do Windows Server. Escolha Associate.

Anote este endereço — ele será necessário quando você criar o gateway do cliente na sua VPC.• Verifique se as regras do security group da instância permitem tráfego IPsec de saída. Por padrão, um

security group permite todos os tráfegos de saída; entretanto, se as regras de saída do security grouptiverem sido modificadas em relação ao seu estado original, você deve criar as regras personalizadas deprotocolo de saída a seguir para tráfego IPsec: protocolo IP 50, protocolo IP 51 e UDP 500.

204

https://console.aws.amazon.com/ec2/

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html




Etapa 1: Criar uma conexão VPN e configurar a VPC

Anote o intervalo de CIDRs da rede na qual o servidor Windows está localizado; por exemplo,172.31.0.0/16.

Etapa 1: Criar uma conexão VPN e configurar aVPC

Para criar uma conexão VPN na VPC, você deve primeiro criar um gateway privado virtual e associá-loà VPC. Em seguida, você pode criar uma conexão VPN e configurar a VPC. Você precisa ter o intervaloCIDR da rede na qual o servidor Windows está localizado; por exemplo, 172.31.0.0/16.

Criar um gateway privado virtual

1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Gateways privados virtuais e Criar gateways privados virtuais.3. Opcionalmente, digite um nome para o gateway privado virtual e, em seguida, selecione Yes, Create.4. Selecione o gateway privado virtual criado e, em seguida, escolha Attach to VPC.5. Na caixa de diálogo Attach to VPC, escolha a VPC da lista e selecione Yes, Attach.

Para criar uma conexão VPN

1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN Connections e Create VPN Connection.3. Selecione o gateway privado virtual na lista.4. Para Customer Gateway, escolha New. Para IP address, especifique o endereço IP público do

Windows Server.

Note

O endereço IP deve ser estático e pode estar subjacente a um dispositivo que estejaexecutando conversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deve ajustar suas regras de firewall para desbloquear a portaUDP 4500. Se o gateway do cliente for uma instância do Windows Server do EC2, use seuendereço IP elástico.

5. Selecione a opção de roteamento Static, insira os valores de Static IP Prefixes para sua rede nanotação CIDR e escolha Yes, Create.

Para configurar a VPC

• Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para inicializar instâncias que secomunicarão com o servidor Windows. Para obter mais informações, consulte Adding a Sub-rede to YourVPC.

Note

Uma sub-rede privada que não tem rota para um gateway da Internet. O roteamento para estasub-rede é descrito no próximo item.

• Atualize as tabelas de rotas para a conexão VPN:• Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como

destino e a rede (intervalo CIDR) do servidor Windows como destino.• Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte

Route Tables no Guia do usuário da Amazon VPC.

205

https://console.aws.amazon.com/vpc/


http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#AddaSubnet


http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html


Etapa 2: fazer download do arquivode configuração para a conexão VPN

• Crie uma configuração de um security group para suas instâncias que permita a comunicação entre arede e sua VPC:• Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você

se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores emsua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSHe o conjunto de fontes para o intervalo CIDR de sua rede; por exemplo, 172.31.0.0/16. Para obtermais informações, consulte Security Groups for Your VPC no Guia do usuário da Amazon VPC.

• Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você testesua conexão VPN executando ping em uma instância em sua VPC em seu servidor Windows.

Etapa 2: fazer download do arquivo de configuraçãopara a conexão VPN

Você pode usar o console da Amazon VPC para fazer download de um arquivo de configuração doservidor Windows para sua conexão VPN.

Para fazer download do arquivo de configuração

1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, clique em VPN Connections.3. Selecione sua conexão VPN e clique em Download Configuration.4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2008 R2 como software.

Clique em Yes, Download. Você pode abrir ou salvar o arquivo.

O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essasinformações serão apresentadas duas vezes, uma vez para cada túnel. Você as usará ao configurar oservidor Windows Server 2008 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

O endereço IP para o gateway do cliente — nesse caso, o servidor Windows — que encerra aconexão VPN em sua rede. Se seu gateway de cliente for uma instância do servidor Windows, esseserá o endereço IP privado da instância.

Remote Tunnel Endpoint

Um dos dois endereços IP para o gateway privado virtual que encerra a conexão VPN na AWS.Endpoint 1

O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IPem sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.

Endpoint 2

O intervalo de endereço IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo,10.0.0.0/16).

206

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html



Etapa 3: configurar o Windows Server

Preshared key

A chave pré-compartilhada que é usada para estabelecer a conexão VPN de IPsec entre LocalTunnel Endpoint e Remote Tunnel Endpoint.

É aconselhável configurar ambos os túneis como parte da conexão VPN. Cada túnel conecta-se comoum concentrador VPN separado em sua conexão VPN na Amazon. Embora somente um túnel por vezfique ativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garantedisponibilidade contínua em caso de falha em um dispositivo. Pelo fato de somente um túnel por vez estardisponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento éesperado, nenhuma ação é necessária de sua parte.

Com dois túneis configurados, se houver uma falha de dispositivo dentro da AWS, sua conexão VPNexecutará failover automaticamente no segundo túnel do gateway privado virtual da AWS em questão deminutos. Ao configurar o gateway do cliente, é importante configurar ambos os túneis.

Note

De vez em quando, a AWS realiza manutenção de rotina no gateway privado virtual. Essamanutenção pode desativar um dos dois túneis da conexão VPN durante um breve espaçode tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquantorealizamos essa manutenção.

Outras informações sobre o Internet Key Exchange (IKE) e associações de segurança (SA) IPsec sãoapresentadas no arquivo de configuração baixado. Como as configurações sugeridas de VPN e VPC daAWS são iguais às definições de configuração padrão de IPsec do Windows Server 2008 R2, um trabalhomínimo é necessário de sua parte.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2

MainModeSecMethods

Os algoritmos de criptografia e autenticação da SA IKE. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2008 R2.

MainModeKeyLifetime

Vida útil da chave SA IKE. Essa configuração é sugerida para conexão VPN e é a configuraçãopadrão para conexões VPN IPsec do Windows Server 2008 R2.

QuickModeSecMethods

Os algoritmos de criptografia e autenticação da SA IPsec. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2008 R2.

QuickModePFS

É aconselhável usar a chave mestra sigilo de encaminhamento perfeito (PFS) para as sessões IPsec.

Etapa 3: configurar o Windows ServerAntes de configurar o túnel VPN, você precisa instalar e configurar Serviços de Roteamento e AcessoRemoto no servidor Windows para permitir que os usuários acessem recursos em sua rede.

207



Para instalar Serviços de Roteamento e Acesso Remoto no Windows Server 2008 R2

1. Conecte-se ao servidor Windows Server 2008 R2.2. Clique em Iniciar, aponte para Todos os Programas e depois para Ferramentas Administrativas e

clique em Gerenciador de Servidores.3. Instale Serviços de Roteamento e Acesso Remoto:

a. No painel de navegação do Gerenciador de Servidores, clique em Funções.b. No painel Funções, clique em Adicionar funções.c. Na página Antes de Começar, verifique se seu servidor atende aos pré-requisitos e clique em

Próximo.d. Na página Selecionar Funções do Servidor, clique em Serviços de Acesso e Diretiva de Rede e

clique em Próximo.e. Na página Serviços de Acesso e Diretiva de Rede, clique em Próximo.f. Na página Selecionar Serviços de Função, clique em Serviços de Roteamento e Acesso Remoto,

deixe Serviço de Acesso Remoto e Roteamento selecionadas e clique em Próximo.

g. Na página Confirmar Seleções de Instalação, clique em Instalar.h. Quando o assistente chegar ao fim, clique em Fechar.

Para configurar e ativar o Servidor de Roteamento e Acesso Remoto

1. No painel de navegação do Gerenciador de Servidores, expanda Funções e expanda Acesso eDiretiva de Rede.

2. Clique com o botão direito em Servidor de Roteamento e Acesso Remoto e clique em Configurar eHabilitar Roteamento e Acesso Remoto.

3. Em Assistente para Configuração do Servidor de Roteamento e Acesso Remoto, na página de boas-vindas, clique em Próximo.

4. Na página Configuração, escolha Configuração personalizada e clique em Avançar.5. Clique em Roteamento LAN e clique em Avançar.6. Clique em Concluir.

208



7. Quando solicitado pela caixa de diálogo Roteamento e Acesso Remoto, escolha Iniciar serviço.

209


Etapa 4: configurar o túnel de VPN

Etapa 4: configurar o túnel de VPNVocê pode configurar o túnel de VPN executando os scripts netsh incluídos no arquivo de configuraçãobaixado ou usando o Assistente para Nova Regra de Segurança de Conexão no servidor do Windows.

Important

É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra para as sessões IPsec. Entretanto, não é possível ativar o PFS usando a interfacede usuário do Windows Server 2008 R2; só é possível ativar essa configuração executando oscript netsh com qmpfs=dhgroup2. Por isso, você deve considerar seus requisitos primeiro paraescolher uma opção.

Opção 1: Executar script netshCopie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se umexemplo de script.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix Êndpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: Você pode substituir o nome sugerido (VGW-1a2b3c4d Tunnel 1) por um nome de sua escolha.

LocalTunnelEndpoint: digite o endereço IP privado do servidor Windows na sua rede.

Endpoint1: o bloco CIDR da sua rede em que o servidor Windows reside, por exemplo, 172.31.0.0/16.

Endpoint2: bloco CIDR de sua VPC ou uma sub-rede em sua VPC; por exemplo, 10.0.0.0/16.

Execute o script atualizado em uma janela do prompt de comando. (O sinal ^ permite que você corte e coleo texto contornado na linha de comando.) Para configurar o segundo túnel VPN para essa conexão VPN,repita o processo usando o segundo script netsh no arquivo de configuração.

Quando terminar, vá para 2.4: Configurar o Firewall do Windows (p. 215).

Para obter mais informações sobre os parâmetros netsh, vá para Netsh AdvFirewall Consec Commands naMicrosoft TechNet Library.

Opção 2: usar a interface de usuário do servidorWindowsVocê pode também usar a interface de usuário do servidor Windows para configurar o túnel VPN. Estaseção o conduz ao longo das etapas.

Important

Você não pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra usando a interface de usuário do Windows Server 2008 R2. Por isso, se decidir usar

210

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set


Opção 2: usar a interface de usuário do servidor Windows

o PFS, deverá usar os scripts netsh descritos na opção 1, e não a interface de usuário descritanesta opção.

• 2.1: Configurar uma regra de segurança para um túnel VPN (p. 211)• 2.3: Confirmar a configuração do túnel (p. 214)• 2.4: Configurar o Firewall do Windows (p. 215)

2.1: Configurar uma regra de segurança para um túnel VPNNesta seção, você configurará uma regra de segurança em seu servidor Windows para criar um túnel VPN.

Para configurar uma regra de segurança para um túnel VPN

1. No painel de navegação do Gerenciador de Servidores, expanda Configuração e depois expandaFirewall do Windows com Segurança Avançada.

2. Clique com o botão direito em Regras de Segurança de Conexão e clique em Nova regra.3. No Assistente para Nova Regra de Segurança de Conexão, na página Tipo de Regra, escolha Túnel e

clique em Avançar.4. Na página Tipo de Túnel, em Que tipo de túnel gostaria de criar, escolha Configuração personalizada.

Em Gostaria de isentar as conexões protegidas por IPsec deste túnel, deixe o valor padrão marcadoselecionado (No. Envie todo o tráfego de rede correspondente a essa regra de segurança de conexãopelo túnel) e clique em Avançar.

5. Na página Requisitos, clique em Exigir autenticação para conexões de entrada. Não estabelecertúneis em conexões de saída, e clique em Avançar.

6. Na página Pontos de Extremidade de Túnel, em Quais computadores estão no Ponto de Extremidade1, escolha Adicionar. Digite o intervalo CIDR de sua rede (subjacente ao gateway do cliente doservidor Windows) e clique em OK. (Observe que o intervalo pode incluir o endereço IP do gateway docliente.)

211



7. Em O que é o ponto de extremidade de túnel local (mais próximo dos computadores no Ponto deExtremidade 1), escolha Editar. Digite o endereço IP privado de servidor Windows e clique em OK.

8. Em O que é o ponto de extremidade de túnel remoto (mais próximo dos computadores no Ponto deExtremidade 2), escolha Editar. Digite o endereço IP do gateway privado virtual do túnel 1 do arquivode configuração (consulte Remote Tunnel Endpoint) e clique em OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar oendpoint para o túnel 2.

9. Em Quais computadores estão no Ponto de Extremidade 2, clique em Adicionar. Insira o bloco CIDRde sua VPC e clique em OK.

Important

Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are inEndpoint 2. Não clique em Avançar enquanto não concluir esta etapa; do contrário, nãoconseguirá se conectar ao servidor.

10. Confirme se todas as configurações que você especificou estão corretas e clique em Avançar.11. Na página Método de Autenticação, selecione Avançado e clique em Personalizar.

212



12. Em Métodos de primeira autenticação, escolha Adicionar.13. Selecione Chave pré-compartilhada, digite o valor da chave pré-compartilhada do arquivo de

configuração e clique em OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar achave pré-compartilhada para o túnel 2.

14. Confirme se Primeira autenticação é opcional não está selecionada e clique em OK.15. Na página Método de Autenticação, cliquem em Avançar.16. Na página Perfil, marque todas as três caixas de seleção: Domínio, Privado e Público e clique em

Avançar.17. Na página Nome, digite um nome para sua regra de conexão e clique em Concluir.

213



Repita o procedimento anterior e especifique os dados para o túnel 2 de seu arquivo de configuração.

Assim que concluir, terá dois túneis configurados para sua conexão VPN.

2.3: Confirmar a configuração do túnelPara confirmar a configuração do túnel

1. No painel de navegação do Gerenciador de Servidores, expanda o nó Configuração, expanda Firewalldo Windows com Segurança Avançada e clique em Regras de Segurança de Conexão.

2. Verifique o seguinte para os dois túneis:

• Habilitado é Yes• Modo de autenticação é Require inbound and clear outbound• Authentication method é Custom• Endpoint 1 port é Any• Endpoint 2 port é Any• Protocolo é Any

3. Clique duas vezes na regra de segurança de seu primeiro túnel.4. Na guia Computadores, verifique o seguinte:

• Em Ponto de extremidade 1, o intervalo do bloco CIDR corresponde ao intervalor do bloco CIDR desua rede.

• Em Ponto de extremidade 2, o intervalo do bloco CIDR corresponde ao intervalor do bloco CIDR desua VPC.

5. Na guia Autenticação, em Método, clique em Personalizar, verifique se Métodos de primeiraautenticação contém a chave pré-compartilhada correta do arquivo de configuração para o túnel eclique em OK.

214



6. Na guia Avançado, verifique se Domínio, Privado e Público estão selecionadas.7. Em Encapsulamento IPsec, clique em Personalizar. Verifique as configurações a seguir de

encapsulamento IPsec.

• Usar encapsulamento IPsec está selecionada.• Ponto de extremidade do túnel local (mais próximo ao Ponto de Extremidade 1) contém o endereço

IP seu servidor. Se seu gateway de cliente for uma instância do servidor Windows, esse será oendereço IP privado da instância.

• Ponto de extremidade de túnel remoto (mais próximo ao Ponto de Extremidade 2) contém oendereço IP do gateway privado virtual para esse túnel.

8. Clique duas vezes na regra de segurança de seu segundo túnel. Repita as etapas 4 a 7 para essetúnel.

2.4: Configurar o Firewall do WindowsAssim que configurar suas regras de segurança em seu servidor, defina algumas configurações básicas deIPsec para trabalhar com o gateway privado virtual.

Para configurar o Firewall do Windows

1. No painel de navegação do Gerenciador de Servidores, clique com o botão direito em Firewall doWindows com Segurança Avançada e depois clique em Propriedades.

2. Clique na guia Configurações de IPsec.3. Em Isenções IPsec, verifique se Isentar ICMP de IPsec está definida como Não (padrão). Verifique se

Autorização de túnel IPsec está definida como Nenhuma.4. Em Padrões IPsec, clique em Personalizar.5. Na caixa de diálogo Personalizar Configurações de IPSec, em Troca de Chaves (Modo Principal),

selecione Avançadas e clique em Personalizar.6. Em Customize Advanced Key Exchange Settings, sob Security methods, verifique se os valores

padrão são usados para a primeira entrada.

• Integridade: SHA-1• Criptografia: AES-CBC 128• Algoritmo de troca de chaves: Grupo Diffie-Hellman 2• Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.

Essas configurações correspondem às seguintes entradas no arquivo de configuração:

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

215


Etapa 5: habilitar a detecção de gateway inativo

7. Em Opções de troca de chaves, selecione Utilizar Diffie-Hellman para segurança avançada e cliqueem OK.

8. Em Proteção de Dados (Modo Rápido), selecione Avançado e Personalizar.9. Clique em Exigir criptografia para todas as regras de segurança de conexão que usam estas

configurações.10. Em Integridade e criptografia de dados, deixe os valores padrão:

• Protocolo: ESP• Integridade: SHA-1• Criptografia: AES-CBC 128• Tempo de vida: 60 minutos

Esses valores correspondem às entradas a seguir no arquivo de configuração.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb

11. Clique em OK para retornar à caixa de diálogo Personalizar Configurações de IPSec e clique em OKnovamente para salvar a configuração.

Etapa 5: habilitar a detecção de gateway inativoEm seguida, você precisará configurar o TCP para detectar quando um gateway deve ficar indisponível.Você pode fazer isso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seçõesprecedentes. Assim que alterar a chave de registro, deverá reinicializar o servidor.

Para habilitar a detecção de gateway inativo

1. No servidor, cliquem em Iniciar e digite regedit para iniciar o Editor de Registro.

216

Amazon Virtual Private CloudGuia do administrador de redesEtapa 6: testar a conexão VPN

2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip e Parâmetros.3. No outro painel, clique com o botão direito e aponte para Novo e selecione select Valor DWORD (32

bits).4. Digite o nome EnableDeadGWDetect.5. Clique com o botão direito em EnableDeadGWDetect e depois em Modificar.6. Em Dados de valor, digite 1 e clique em OK.7. Feche o Editor de Registro e reinicialize o servidor.

Para obter mais informações, vá para EnableDeadGWDetect em Biblioteca do TechNet da Microsoft.

Etapa 6: testar a conexão VPNPara testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC egaranta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping norespectivo endereço IP privado em seu servidor Windows. O túnel VPN aparece quando é gerado tráfegono gateway do cliente. Por isso, o comando ping também inicia a conexão VPN.

Para executar uma instância em sua VPC e obter o respectivo endereço IP privado

1. Abra o console do Amazon EC2 e clique em Launch Instance.2. Selecione uma AMI do Amazon Linux e um tipo de instância.3. Na página Step 3: Configure Instance Details, selecione sua VPC na lista Network e selecione uma

sub-rede na lista Subnet. Verifique se selecionou a sub-rede privada que você configurou em Etapa 1:Criar uma conexão VPN e configurar a VPC (p. 205).

4. Na lista Auto-assign Public IP, certifique-se de que a configuração esteja definida como Desabilitar.5. Clique em Next até chegar à página Step 6: Configure Security Group. Você pode selecionar um

security group existente que você configurou em Etapa 1: Criar uma conexão VPN e configurar aVPC (p. 205) ou criar um novo security group e garantir que ele tenha uma regra que permita todo otráfego ICMP do endereço IP do servidor Windows.

6. Conclua as demais etapas do assistente e execute sua instância.7. Na página Instances, selecione sua instância. Obtenha o endereço IP privado no campo Private IPs no

painel de detalhes.

Conecte ou faça login no servidor Windows, abra o prompt de comando e use o comando ping paraexecutar ping na sua instância usando seu endereço IP privado, por exemplo:

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Se o comando ping falhar, verifique as seguintes informações:

217

http://technet.microsoft.com/en-us/library/cc960464.aspx


• Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC.Se seu servidor Windows for uma instância EC2, confirme se as regras de saída do respectivo securitygroup permitem tráfego IPsec. Para obter mais informações, consulte Configuração do WindowsServer (p. 204).

• Confirme se o sistema operacional da instância em que você está executando ping está configuradapara responder a ICMP. Recomendamos que você use uma das AMIs do Amazon Linux.

• Se a instância em que estiver executando ping for uma instância Windows, conecte-se a ela e habiliteICMPv4 de entrada no Firewall do Windows.

• Verifique se configurou as tabelas de rotas corretamente para sua VPC ou sub-rede. Para obter maisinformações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 205).

• Se seu gateway de cliente for uma instância do servidor Windows, confirme se você desativou averificação de origem/destino para a instância. Para obter mais informações, consulte Configuração doWindows Server (p. 204).

No console da Amazon VPC, na página VPN Connections, selecione sua conexão VPN. O primeiro túnelencontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas só será usado se o primeiroficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.

218


Configuração do Windows Server

Configuração do Windows Server2012 R2 como gateway do cliente

Você pode configurar o Windows Server 2012 R2 como gateway do cliente para sua VPC. Use o processoa seguir se estiver executando o Windows Server 2012 R2 em uma instância do EC2, em uma VPC ou emseu próprio servidor.

Tópicos• Configuração do Windows Server (p. 219)• Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 220)• Etapa 2: fazer download do arquivo de configuração para a conexão VPN (p. 221)• Etapa 3: configurar o Windows Server (p. 223)• Etapa 4: configurar o túnel de VPN (p. 223)• Etapa 5: habilitar a detecção de gateway inativo (p. 229)• Etapa 6: testar a conexão VPN (p. 230)

Configuração do Windows ServerPara configurar o Windows Server como um gateway do cliente, verifique se o Windows Server 2012 R2está instalado na rede ou em uma instância do EC2 em uma VPC. Se usar uma Instância EC2 executadade uma AMI do Windows, faça o seguinte:

• Desative a verificação de origem/destino da instância:1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione a instância do Windows Server e escolha Actions, Networking, Change Source/Dest.

Check. Escolha Yes, Disable.• Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:

1. Conecte-se à sua instância do Windows. Para obter mais informações, acesse Connecting to YourWindows Instance.

2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.3. Expanda o nó Adaptadores de rede.4. Selecione o dispositivo de rede AWS PV, escolha Action e Properties.5. Na guia Advanced, desative as propriedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4)

e UDP Checksum Offload (IPv4) e escolha OK.• Associe um endereço IP elástico à instância:

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Elastic IPs. Escolha Allocate new address.3. Selecione o endereço IP elástico e escolha Actions, Associate Address.4. Para Instance, selecione a instância do Windows Server. Escolha Associate.

Anote este endereço — ele será necessário quando você criar o gateway do cliente na sua VPC.

219






Etapa 1: Criar uma conexão VPN e configurar a VPC

• Verifique se as regras do security group da instância permitem tráfego IPsec de saída. Por padrão, umsecurity group permite todos os tráfegos de saída; entretanto, se as regras de saída do security grouptiverem sido modificadas em relação ao seu estado original, você deve criar as regras personalizadas deprotocolo de saída a seguir para tráfego IPsec: protocolo IP 50, protocolo IP 51 e UDP 500.

Anote o intervalo de CIDRs da rede na qual o servidor Windows está localizado; por exemplo,172.31.0.0/16.

Etapa 1: Criar uma conexão VPN e configurar aVPC

Para criar uma conexão VPN na VPC, você deve primeiro criar um gateway privado virtual e associá-loà VPC. Em seguida, você pode criar uma conexão VPN e configurar a VPC. Você precisa ter o intervaloCIDR da rede na qual o servidor Windows está localizado; por exemplo, 172.31.0.0/16.

Criar um gateway privado virtual

1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Gateways privados virtuais e Criar gateways privados virtuais.3. Opcionalmente, digite um nome para o gateway privado virtual e, em seguida, selecione Yes, Create.4. Selecione o gateway privado virtual criado e, em seguida, escolha Attach to VPC.5. Na caixa de diálogo Attach to VPC, escolha a VPC da lista e selecione Yes, Attach.

Para criar uma conexão VPN

1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN Connections e Create VPN Connection.3. Selecione o gateway privado virtual na lista.4. Para Customer Gateway, escolha New. Para IP address, especifique o endereço IP público do

Windows Server.

Note

O endereço IP deve ser estático e pode estar subjacente a um dispositivo que estejaexecutando conversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deve ajustar suas regras de firewall para desbloquear a portaUDP 4500. Se o gateway do cliente for uma instância do Windows Server do EC2, use seuendereço IP elástico.

5. Selecione a opção de roteamento Static, insira os valores de Static IP Prefixes para sua rede nanotação CIDR e escolha Yes, Create.

Para configurar a VPC

• Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para inicializar instâncias que secomunicarão com o servidor Windows. Para obter mais informações, consulte Adding a Sub-rede to YourVPC.

Note

Uma sub-rede privada que não tem rota para um gateway da Internet. O roteamento para estasub-rede é descrito no próximo item.

220







• Atualize as tabelas de rotas para a conexão VPN:• Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como

destino e a rede (intervalo CIDR) do servidor Windows como destino.• Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte

Route Tables no Guia do usuário da Amazon VPC.• Crie uma configuração de um security group para suas instâncias que permita a comunicação entre a

rede e sua VPC:• Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você

se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores emsua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSHe o conjunto de fontes para o intervalo CIDR de sua rede; por exemplo, 172.31.0.0/16. Para obtermais informações, consulte Security Groups for Your VPC no Guia do usuário da Amazon VPC.

• Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você testesua conexão VPN executando ping em uma instância em sua VPC em seu servidor Windows.

Etapa 2: fazer download do arquivo de configuraçãopara a conexão VPN

Você pode usar o console da Amazon VPC para fazer download de um arquivo de configuração doservidor Windows para sua conexão VPN.

Para fazer download do arquivo de configuração

1. Abra o console de Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN Connections.3. Selecione sua conexão VPN e escolha Download Configuration.4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2012 R2 como software.

Escolha Yes, Download. Você pode abrir ou salvar o arquivo.

O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essasinformações serão apresentadas duas vezes, uma vez para cada túnel. Você as usará ao configurar oservidor Windows Server 2012 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

O endereço IP para o gateway do cliente — nesse caso, o servidor Windows — que encerra aconexão VPN em sua rede. Se seu gateway de cliente for uma instância do servidor Windows, esseserá o endereço IP privado da instância.

Remote Tunnel Endpoint

Um dos dois endereços IP para o gateway privado virtual que encerra a conexão VPN do lado AWSda conexão.

221

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html




Endpoint 1

O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IPem sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.

Endpoint 2

O intervalo de endereço IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo,10.0.0.0/16).

Preshared key

A chave pré-compartilhada que é usada para estabelecer a conexão VPN de IPsec entre LocalTunnel Endpoint e Remote Tunnel Endpoint.

É aconselhável configurar ambos os túneis como parte da conexão VPN. Cada túnel conecta-se comoum concentrador VPN separado em sua conexão VPN na Amazon. Embora somente um túnel por vezfique ativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garantedisponibilidade contínua em caso de falha em um dispositivo. Pelo fato de somente um túnel por vez estardisponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento éesperado, nenhuma ação é necessária de sua parte.

Com dois túneis configurados, se houver uma falha de dispositivo dentro da AWS, sua conexão VPNexecutará failover automaticamente no segundo túnel do gateway privado virtual da AWS em questão deminutos. Ao configurar o gateway do cliente, é importante configurar ambos os túneis.

Note

De vez em quando, a AWS realiza manutenção de rotina no gateway privado virtual. Essamanutenção pode desativar um dos dois túneis da conexão VPN durante um breve espaçode tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquantorealizamos essa manutenção.

Outras informações sobre o IKE (Internet Key Exchange) e associações de segurança (SA) IPsec sãoapresentadas no arquivo de configuração baixado. Como as configurações sugeridas VPN da VPC sãoiguais às definições de configuração padrão de IPsec do Windows Server 2012 R2, um trabalho mínimo énecessário de sua parte.

MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2

MainModeSecMethods

Os algoritmos de criptografia e autenticação da SA IKE. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2012 R2.

MainModeKeyLifetime

Vida útil da chave SA IKE. Essa configuração é sugerida para conexão VPN e é a configuraçãopadrão para conexões VPN IPsec do Windows Server 2012 R2.

QuickModeSecMethods

Os algoritmos de criptografia e autenticação da SA IPsec. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2012 R2.

QuickModePFS

É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra para as sessões IPsec.

222



Etapa 3: configurar o Windows ServerAntes de configurar o túnel VPN, você precisa instalar e configurar Serviços de Roteamento e AcessoRemoto no servidor Windows para permitir que os usuários acessem recursos em sua rede.

Para instalar serviços de roteamento e acesso remoto no Windows Server 2012 R2

1. Conecte-se ao servidor Windows Server 2012 R2.2. Vá para o menu Start e escolha Server Manager.3. Instale Serviços de Roteamento e Acesso Remoto:

a. No menu Manage, escolha Add Roles and Features.b. Na página Before You Begin, verifique se seu servidor atende aos pré-requisitos e escolha Next.c. Escolha Role-based or feature-based installation e Next.d. Escolha Select a server from the server pool, selecione o servidor Windows 2012 R2 e clique em

Next.e. Selecione Network Policy and Access Services na lista. Na caixa de diálogo exibida, escolha Add

Features para confirmar os recursos necessários para esta função.f. Na mesma lista, escolha Remote Access e Next.g. Na página Select features, escolha Next.h. Na página Network Policy and Access Services, escolha Next. Deixe Network Policy Server

selecionada e escolha Next.i. Na página Remote Access, escolha Next. Na página seguinte, selecione DirectAccess and VPN

(RAS). Na caixa de diálogo exibida, escolha Add Features para confirmar os recursos necessáriospara este serviço de função. Na mesma lista, selecione Routing e escolha Next.

j. Na página Web Server Role (IIS), escolha Next. Deixe a seleção padrão e escolha Next.k. Escolha Install. Quando a instalação terminar, escolha Close.

Para configurar e ativar o Servidor de Roteamento e Acesso Remoto

1. No painel, escolha Notifications (ícone sinalizador). Deve haver uma tarefa a ser concluída naconfiguração depois da implantação. Escolha o link Open the Getting Started Wizard.

2. Escolha Deploy VPN only.3. Na caixa de diálogo Routing and Remote Access, escolha o nome do servidor, selecione Action e

Configure and Enable Routing and Remote Access.4. Em Routing and Remote Access Server Setup Wizard, na primeira página, escolha Next.5. Na página Configuration, escolha Custom Configuration e Next.6. Escolha LAN routing, Next e Finish.7. Quando solicitado pela caixa de diálogo Routing and Remote Access, escolha Start service.

Etapa 4: configurar o túnel de VPNVocê pode configurar o túnel de VPN, executando os scripts netsh incluídos no arquivo de configuraçãobaixado ou usando o assistente New Connection Security Rule no servidor Windows.

Important

É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra para as sessões IPsec. Se executar o script netsh, ele incluirá um parâmetro para

223

Amazon Virtual Private CloudGuia do administrador de redesOpção 1: Executar script netsh

habilitar o PFS (qmpfs=dhgroup2). Você não pode habilitar o PFS usando a interface de usuáriodo Windows Server 2012 R2 — é preciso habilitá-la usando a linha de comando.

Opção 1: Executar script netshCopie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se umexemplo de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" Ênable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix Êndpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: Você pode substituir o nome sugerido (vgw-1a2b3c4d Tunnel 1) por um nome de sua escolha.

LocalTunnelEndpoint: digite o endereço IP privado do servidor Windows na sua rede.

Endpoint1: o bloco CIDR da sua rede em que o servidor Windows reside, por exemplo, 172.31.0.0/16.

Endpoint2: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, 10.0.0.0/16.

Execute o script atualizado em uma janela do prompt de comando no servidor Windows. (O sinal ^ permiteque você corte e cole o texto contornado na linha de comando.) Para configurar o segundo túnel VPN paraessa conexão VPN, repita o processo usando o segundo script netsh no arquivo de configuração.

Quando terminar, vá para 2.4: Configurar o Firewall do Windows (p. 228).

Para obter mais informações sobre os parâmetros netsh, vá para Netsh AdvFirewall Consec Commands naMicrosoft TechNet Library.

Opção 2: usar a interface de usuário do servidorWindowsVocê pode também usar a interface de usuário do servidor Windows para configurar o túnel VPN. Estaseção o conduz ao longo das etapas.

Important

Você não pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra usando a interface de usuário do Windows Server 2012 R2. Você precisa habilitar oPFS usando a linha de comando, conforme descrito em Habilite o Perfect Forward Secrecy (PFS -Sigilo de encaminhamento perfeito) da chave mestra (p. 227).

Tópicos• 2.1: Configurar uma regra de segurança para um túnel VPN (p. 224)• 2.3: Confirmar a configuração do túnel (p. 227)• Habilite o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave

mestra (p. 227)

2.1: Configurar uma regra de segurança para um túnel VPNNesta seção, você configurará uma regra de segurança em seu servidor Windows para criar um túnel VPN.

224

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx



Para configurar uma regra de segurança para um túnel VPN

1. Open Server Manager, escolha Tools e selecione Windows Firewall with Advanced Security.2. Selecione Connection Security Rules, escolha Action e New Rule.3. No assistente New Connection Security Rule da página Rule Type, escolha Tunnel e Next.4. Na página Tunnel Type, em What type of tunnel would you like to create, escolha Custom

configuration. Em Would you like to exempt IPsec-protected connections from this tunnel, deixe o valorpadrão marcado como (No. Send all network traffic that matches this connection security rule throughthe tunnel) e escolha Next.

5. Na página Requirements, escolha Require authentication for inbound connections. Do not establishtunnels for outbound connections e Next.

6. Na página Tunnel Endpoints, em Which computers are in Endpoint 1, escolha Add. Digite o intervaloCIDR da sua rede (atrás do gateway do cliente do servidor Windows; por exemplo, 172.31.0.0/16 )e escolha OK. (Observe que o intervalo pode incluir o endereço IP do gateway do cliente.)

7. Em What is the local tunnel endpoint (closest to computer in Endpoint 1), escolha Edit. No campo IPv4address, digite o endereço IP privado do servidor Windows e escolha OK.

8. Em What is the remote tunnel endpoint (closest to computers in Endpoint 2), escolha Edit. Nocampo IPv4 address, digite o endereço IP do gateway privado virtual para o túnel 1 do arquivo deconfiguração (consulte Remote Tunnel Endpoint) e escolha OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar oendpoint para o túnel 2.

9. Em Which computers are in Endpoint 2, escolha Add. Em This IP address or subnet field, digite obloco CIDR da VPC e escolha OK.

Important

Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are inEndpoint 2. Não escolha Next até ter concluído esta etapa, caso contrário, não poderá seconectar ao servidor.

225



10. Confirme que todas as configurações que você especificou estão corretas e escolha Next.11. Na página Authentication Method, selecione Advanced e escolha Customize.12. Em First authentication methods, escolha Add.13. Selecione Preshared key, digite o valor da chave pré-compartilhada do arquivo de configuração e

escolha OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar achave pré-compartilhada para o túnel 2.

14. Certifique-se de que First authentication is optional não esteja selecionada e escolha OK.15. Escolha Avançar.

226



16. Na página Profile, selecione todas as três caixas de verificação: Domain, Private e Public. Depois,escolha Next.

17. Na página Name, digite um nome para a regra de conexão, por exemplo, VPN to AWS Tunnel 1 eescolha Finish.

Repita o procedimento anterior e especifique os dados para o túnel 2 de seu arquivo de configuração.

Assim que concluir, terá dois túneis configurados para sua conexão VPN.

2.3: Confirmar a configuração do túnelPara confirmar a configuração do túnel

1. Abra o Server Manager, escolha Tools, selecione Windows Firewall with Advanced Security eConnection Security Rules.

2. Verifique o seguinte para os dois túneis:

• Enabled está Yes• Endpoint 1 é o bloco CIDR para a rede• Endpoint 2 é o bloco CIDR da VPC• Authentication mode é Require inbound and clear outbound• Authentication method é Custom• Endpoint 1 port é Any• Endpoint 2 port é Any• Protocol é Any

3. Selecione a primeira regra e escolha Properties.4. Na tabela Authentication, em Method, escolha Customize e verifique se First authentication methods

contém a chave pré-compartilhada correta do arquivo de configuração para o túnel e escolha OK.5. Na guia Advanced, verifique se Domain, Private e Public estão selecionados.6. Em IPsec tunneling, escolha Customize. Verifique as seguintes configurações de túnel IPsec, escolha

OK e OK novamente para fechar a caixa de diálogo.

• Use IPsec tunneling está selecionada.• Local tunnel endpoint (closest to Endpoint 1) contém o endereço IP do servidor Windows. Se seu

gateway de cliente for uma instância do EC2, esse será o endereço IP privado da instância.• Remote tunnel endpoint (closest to Endpoint 2) contém o endereço IP do gateway privado virtual

para este túnel.7. Abra as propriedades para o segundo túnel. Repita as etapas 4 a 7 para esse túnel.

Habilite o Perfect Forward Secrecy (PFS - Sigilo deencaminhamento perfeito) da chave mestraVocê pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestrausando a linha de comando. Você não pode habilitar esse recurso usando a interface do usuário.

Para habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra

1. No servidor Windows, abra uma nova janela do prompt de comando.2. Digite o comando a seguir, substituindo rule_name pelo nome que você deu à primeira regra de

conexão.

227


2.4: Configurar o Firewall do Windows

netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Repita a etapa 2 para o segundo túnel, desta vez substituindo rule_name pelo nome que você deu àsegunda regra de conexão.

2.4: Configurar o Firewall do WindowsAssim que configurar suas regras de segurança em seu servidor, defina algumas configurações básicas deIPsec para trabalhar com o gateway privado virtual.

Para configurar o Firewall do Windows

1. Abra o Server Manager, escolha Tools, selecione Windows Firewall with Advanced Security eProperties.

2. Na guia IPsec Settings, em IPsec exemptions, verifique se Exempt ICMP from IPsec está como No(default). Verifique se IPsec tunnel authorization está como None.

3. Em IPsec defaults, escolha Customize.4. Em Key exchange (Main Mode), selecione Advanced e Customize.5. Em Customize Advanced Key Exchange Settings, sob Security methods, verifique se os valores

padrão são usados para a primeira entrada.

• Integridade: SHA-1• Criptografia: AES-CBC 128• Algoritmo de troca de chaves: Grupo Diffie-Hellman 2• Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.

Essas configurações correspondem às seguintes entradas no arquivo de configuração:

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

6. Em Key exchange options, selecione Use Diffie-Hellman for enhanced security e escolha OK.7. Em Data protection (Quick Mode), selecione Advanced e Customize.8. Selecione Require encryption for all connection security rules that use these settings.9. Em Data integrity and encryption, deixe os valores padrão:

• Protocolo: ESP• Integridade: SHA-1• Criptografia: AES-CBC 128• Tempo de vida: 60 minutos

Esses valores correspondem à seguinte entrada no arquivo de configuração.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

10. Escolha OK para retornar à caixa de diálogo Customize IPsec Settings e escolha OK novamente parasalvar a configuração.

228


Etapa 5: habilitar a detecção de gateway inativo

Etapa 5: habilitar a detecção de gateway inativoEm seguida, você precisará configurar o TCP para detectar quando um gateway deve ficar indisponível.Você pode fazer isso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seçõesprecedentes. Assim que alterar a chave de registro, deverá reinicializar o servidor.

Para habilitar a detecção de gateway inativo

1. No servidor Windows, inicie o prompt de comando ou uma sessão PowerShell e digite regedit parainiciar o Registry Editor.

2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip e Parameters.3. No menu Edit, selecione New e DWORD (32-bit) Value.4. Digite o nome EnableDeadGWDetect.5. Selecione EnableDeadGWDetect e escolha Modify no menu Edit.6. Em Value data, digite 1 e escolha OK.7. Feche o Registry Editor e reinicie o servidor.

Para obter mais informações, vá para EnableDeadGWDetect na Microsoft TechNet Library.

229

http://technet.microsoft.com/en-us/library/cc960464.aspx


Etapa 6: testar a conexão VPNPara testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC egaranta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping norespectivo endereço IP privado em seu servidor Windows. O túnel VPN aparece quando é gerado tráfegono gateway do cliente. Por isso, o comando ping também inicia a conexão VPN.

Para executar uma instância em sua VPC e obter o respectivo endereço IP privado

1. Abra o console do Amazon EC2 e escolha Launch Instance.2. Selecione uma AMI do Amazon Linux e um tipo de instância.3. Na página Step 3: Configure Instance Details, selecione sua VPC na lista Network e selecione uma

sub-rede na lista Subnet. Verifique se selecionou a sub-rede privada que você configurou em Etapa 1:Criar uma conexão VPN e configurar a VPC (p. 220).

4. Na lista Auto-assign Public IP, certifique-se de que a configuração esteja definida como Disable.5. Escolha Next até você chegar à página Step 6: Configure Security Group. Você pode selecionar um

security group existente que você configurou em Etapa 1: Criar uma conexão VPN e configurar aVPC (p. 220) ou criar um novo security group e garantir que ele tenha uma regra que permita todo otráfego ICMP do endereço IP do servidor Windows.

6. Conclua as demais etapas do assistente e execute sua instância.7. Na página Instances, selecione sua instância. Obtenha o endereço IP privado no campo Private IPs no

painel de detalhes.

Conecte ou faça login no servidor Windows, abra o prompt de comando e use o comando ping paraexecutar ping na sua instância usando seu endereço IP privado, por exemplo:

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Se o comando ping falhar, verifique as seguintes informações:

• Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC.Se seu servidor Windows for uma instância EC2, confirme se as regras de saída do respectivo securitygroup permitem tráfego IPsec. Para obter mais informações, consulte Configuração do WindowsServer (p. 219).

• Confirme se o sistema operacional da instância em que você está executando ping está configuradapara responder a ICMP. Recomendamos que você use uma das AMIs do Amazon Linux.

• Se a instância em que estiver executando ping for uma instância do Windows, conecte-se a ela e habiliteICMPv4 de entrada no firewall do Windows.

• Verifique se configurou as tabelas de rota corretamente para a sua VPC ou sub-rede. Para obter maisinformações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 220).

• Se seu gateway de cliente for uma instância do servidor Windows, confirme se você desativou averificação de origem/destino para a instância. Para obter mais informações, consulte Configuração doWindows Server (p. 219).

230


No console da Amazon VPC na página VPN Connections, selecione sua conexão VPN. O primeiro túnelencontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas só será usado se o primeiroficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.

231


Histórico do documentoPara obter mais informações sobre as alterações importantes em cada release do Guia de administradorde rede do Amazon VPC, consulte Histórico do documento no Guia do usuário da Amazon VPC.

232

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/WhatsNew.html

amazon virtual private cloud - aws documentation · aws vpn cloudhub e gateways do cliente...

Documents