aws site-to-site vpn › pt_br › vpn › latest › s2svpn › s2s-vpn-… · ferramentas de...
TRANSCRIPT
AWS Site-to-Site VPNGuia do usuário
AWS Site-to-Site VPN Guia do usuário
AWS Site-to-Site VPN: Guia do usuárioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Site-to-Site VPN Guia do usuário
Table of ContentsO que é o Site-to-Site VPN .................................................................................................................. 1
Conceitos .................................................................................................................................. 1Trabalhar com Site-to-Site VPN .................................................................................................... 1Limitações de VPN de local para local ........................................................................................... 1Definição de preços .................................................................................................................... 2
Como AWS Site-to-Site VPN funciona ................................................................................................... 3Componentes do Site-to-Site VPN ................................................................................................ 3
Gateway privado virtual ....................................................................................................... 3Transit gateway .................................................................................................................. 3Dispositivo de gateway do cliente ......................................................................................... 4Gateway do cliente ............................................................................................................. 4
Categorias de Site-to-Site VPN ..................................................................................................... 4Opções de túnel do Site-to-Site VPN ............................................................................................. 5Opções de autenticação de túnel Site-to-Site VPN .......................................................................... 8
Chaves pré-compartilhadas .................................................................................................. 8Certificado privado do Autoridade de certificação privada do AWS Certificate Manager ................... 8
Opções de gateway do cliente ..................................................................................................... 9Conexões VPN de local para local aceleradas .............................................................................. 10
Habilitar a aceleração ........................................................................................................ 10Regras e restrições ........................................................................................................... 10Definição de preços .......................................................................................................... 11
Opções de roteamento de Site-to-Site VPN .................................................................................. 11Roteamento estático e dinâmico ......................................................................................... 11Tabelas de rotas e prioridade de rota da VPN ....................................................................... 12Roteamento durante atualizações de endpoint do túnel de VPN ............................................... 13
Conceitos básicos ............................................................................................................................. 14Pré-requisitos ........................................................................................................................... 14Criar um gateway do cliente ....................................................................................................... 15Criar um gateway de destino ...................................................................................................... 16
Criar um gateway privado virtual ......................................................................................... 16Criar um gateway de trânsito .............................................................................................. 17
Configurar o roteamento ............................................................................................................ 17(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas .............................. 17(Gateway de trânsito) Adicionar uma rota à tabela de rotas ..................................................... 18
Atualizar o security group ........................................................................................................... 18Criar uma conexão Site-to-Site VPN ............................................................................................ 19Fazer download do arquivo de configuração ................................................................................. 20Configurar o dispositivo de gateway do cliente .............................................................................. 20
Arquiteturas ...................................................................................................................................... 21Exemplos de conexão única e de várias conexões ........................................................................ 21
Conexão Site-to-Site VPN única .......................................................................................... 21Conexão Site-to-Site VPN única com um gateway de trânsito .................................................. 21Várias conexões Site-to-Site VPN ....................................................................................... 22Várias conexões Site-to-Site VPN com um gateway de trânsito ................................................ 23
AWS VPN CloudHub ................................................................................................................. 24Visão geral ...................................................................................................................... 24Definição de preços .......................................................................................................... 26
Usar conexões Site-to-Site VPN redundantes para fornecer failover .................................................. 26O dispositivo de gateway do cliente ..................................................................................................... 29
Dispositivos de gateway do cliente que testamos ........................................................................... 31Requisitos do seu dispositivo de gateway do cliente ....................................................................... 31Configurar um firewall entre a Internet e o dispositivo de gateway do cliente ....................................... 34Cenários de várias conexões VPN .............................................................................................. 36Roteamento para o dispositivo de gateway do cliente ..................................................................... 36
iii
AWS Site-to-Site VPN Guia do usuário
Exemplo de configurações para roteamento estático ...................................................................... 37Exemplo de arquivos de configuração .................................................................................. 37Procedimentos da interface do usuário para roteamento estático .............................................. 39Informações adicionais para dispositivos Cisco ...................................................................... 48Testes ............................................................................................................................. 49
Exemplo de configurações para roteamento dinâmico (BGP) ........................................................... 49Exemplo de arquivos de configuração .................................................................................. 37Procedimentos da interface do usuário para roteamento dinâmico ............................................ 51Informações adicionais para dispositivos Cisco ...................................................................... 59Informações adicionais para dispositivos Juniper ................................................................... 60Testes ............................................................................................................................. 60
Configurar o Windows Server 2008 R2 como um dispositivo de gateway do cliente ............................. 60Configurar o servidor do Windows ....................................................................................... 61Etapa 1: Criar uma conexão VPN e configurar a VPC ........................................................... 61Etapa 2: Fazer download do arquivo de configuração para a conexão VPN ................................ 62Etapa 3: Configurar o servidor do Windows .......................................................................... 63Etapa 4: Configurar o túnel VPN ......................................................................................... 65Etapa 5: Habilitar a detecção de gateway inativo ................................................................... 71Etapa 6: Testar a conexão VPN .......................................................................................... 71
Configurar o Windows Server 2012 R2 como um dispositivo de gateway do cliente ............................. 72Configurar o servidor do Windows ....................................................................................... 72Etapa 1: Criar uma conexão VPN e configurar a VPC ........................................................... 73Etapa 2: Fazer download do arquivo de configuração para a conexão VPN ................................ 73Etapa 3: Configurar o servidor do Windows .......................................................................... 75Etapa 4: Configurar o túnel VPN ......................................................................................... 76Etapa 5: Habilitar a detecção de gateway inativo ................................................................... 81Etapa 6: Testar a conexão VPN .......................................................................................... 81
Solução de problemas ............................................................................................................... 82Dispositivo com BGP ......................................................................................................... 82Dispositivo sem BGP ......................................................................................................... 85Cisco ASA ....................................................................................................................... 88Cisco IOS ........................................................................................................................ 91Cisco IOS sem BGP ......................................................................................................... 95Juniper JunOS ................................................................................................................. 99Juniper ScreenOS ........................................................................................................... 102Yamaha ......................................................................................................................... 105
Trabalhar com Site-to-Site VPN ......................................................................................................... 109Identificar uma conexão Site-to-Site VPN .................................................................................... 109Migrar da VPN AWS Classic para a VPN AWS ........................................................................... 110
Opção 1: migrar diretamente para um novo gateway privado virtual ........................................ 110Opção 2: migrar usando um gateway de trânsito ................................................................. 112Opção 3: (Conexões VPN de backup para o AWS Direct Connect) Excluir e recriar a conexãoVPN .............................................................................................................................. 114
Criar um anexo de VPN de gateway de trânsito ........................................................................... 115Testar a conexão Site-to-Site VPN ............................................................................................ 116Excluir uma conexão Site-to-Site VPN ........................................................................................ 117Modificar o gateway de destino de uma conexão Site-to-Site VPN .................................................. 118
Etapa 1: Criar o gateway de trânsito .................................................................................. 119Etapa 2: Excluir suas rotas estáticas (necessário para a migração de uma conexão VPN estáticapara um gateway de trânsito) ............................................................................................ 119Etapa 3: Migrar para um novo gateway .............................................................................. 120Etapa 4: Atualizar tabelas de rotas da VPC ........................................................................ 120Etapa 5: Atualizar o roteamento do gateway de trânsito (necessário quando o novo gateway éum gateway de trânsito) ................................................................................................... 121Etapa 6: Atualizar o ASN do gateway do cliente (necessário quando o novo gateway tiver umASN diferente do gateway antigo) ..................................................................................... 121
Modificar opções de túnel Site-to-Site VPN ................................................................................. 121
iv
AWS Site-to-Site VPN Guia do usuário
Editar rotas estáticas para uma conexão Site-to-Site VPN ............................................................. 122Alterar o gateway do cliente para uma conexão Site-to-Site VPN .................................................... 123Substituir credenciais comprometidas ......................................................................................... 123Alternar certificados de endpoint do túnel da Site-to-Site VPN ........................................................ 124
Segurança ...................................................................................................................................... 125Proteção de dados .................................................................................................................. 125
Privacidade do tráfego entre redes .................................................................................... 126Identity and Access Management .............................................................................................. 127
Políticas do IAM para sua conexão VPN de local para local ................................................... 127Função vinculada ao serviço ............................................................................................. 130
Registro em log e monitoramento .............................................................................................. 131Validação de conformidade ....................................................................................................... 131Resiliência .............................................................................................................................. 132
Dois túneis por conexão VPN ........................................................................................... 132Redundância .................................................................................................................. 132
Segurança da infraestrutura ...................................................................................................... 133Monitorar a conexão Site-to-Site VPN ................................................................................................ 134
Ferramentas de monitoramento ................................................................................................. 134Ferramentas de monitoramento automatizadas .................................................................... 134Ferramentas de monitoramento manual .............................................................................. 135
Monitorar túneis VPN usando o Amazon CloudWatch ................................................................... 135Métricas e dimensões de túneis VPN ................................................................................. 135Visualiza métricas do CloudWatch de túneis VPN ................................................................ 136Criar alarmes do CloudWatch para monitorar túneis VPN ...................................................... 137
Cotas ............................................................................................................................................ 139Histórico do documento .................................................................................................................... 140
v
AWS Site-to-Site VPN Guia do usuárioConceitos
O que é o AWS Site-to-Site VPN?Por padrão, as instâncias que você executa na Amazon VPC não podem se comunicar com sua própriarede (remota). Você pode habilitar o acesso à sua rede remota da VPC criando uma conexão AWS Site-to-Site VPN (Site-to-Site VPN) e configurando o roteamento para transmitir o tráfego pela conexão.
Embora o termo conexão VPN tenha amplo sentido, nesta documentação, uma conexão VPN refere-se àconexão entre a sua VPC e sua própria rede local. O Site-to-Site VPN oferece suporte para conexões VPNIPsec (segurança de IP).
Sua conexão Site-to-Site VPN é uma AWS Classic VPN ou uma AWS VPN. Para obter mais informações,consulte Categorias de Site-to-Site VPN (p. 4).
ConceitosVeja a seguir os principais conceitos de Site-to-Site VPN:
• Conexão VPN: uma conexão segura entre seu equipamento no local e suas VPCs.• Túnel VPN: um link criptografado em que os dados podem transmitir da rede do cliente para a AWS ou
vice-versa.
Cada conexão VPN inclui dois túneis VPN que você pode usar simultaneamente para altadisponibilidade.
• Gateway do cliente: um recurso da AWS que fornece informações para a AWS sobre o dispositivo degateway do cliente.
• Gateway do cliente: é um dispositivo físico ou aplicativo de software situado no seu lado da conexãoSite-to-Site VPN.
Trabalhar com Site-to-Site VPNVocê pode criar, acessar e gerenciar seus recursos Site-to-Site VPN usando qualquer uma das seguintesinterfaces:
• Console de gerenciamento da AWS — fornece uma interface da web que pode ser usada para acessarseus recursos Site-to-Site VPN.
• AWS Command Line Interface (AWS CLI) — fornece comandos para um amplo conjunto de serviços daAWS, incluindo a Amazon VPC, e é compatível com o Windows, o macOS e o Linux. Para obter maisinformações, consulte AWS Command Line Interface.
• AWS SDKs — fornecem APIs específicas da linguagem e cuida de muitos dos detalhes da conexão,como calcular assinaturas, lidar com novas tentativas de solicitação e tratamento de erros. Para obtermais informações, consulte SDKs da AWS.
• API de consulta— Fornece ações de API de baixo nível que você chama usando solicitações HTTPS.Usar a API de consulta é a maneira mais direta para acessar a Amazon VPC, mas exige que seuaplicativo lide com detalhes de baixo nível, como a geração de hash para assinar a solicitação emanuseio de erros. Para obter mais informações, consulte Amazon EC2 API Reference.
Limitações de VPN de local para localUma conexão Site-to-Site VPN tem as seguintes limitações.
1
AWS Site-to-Site VPN Guia do usuárioDefinição de preços
• O tráfego IPv6 não é compatível.• Uma conexão VPN AWS não é compatível com a Path MTU Discovery
Além disso, leve o seguinte em consideração ao usar o VPN de local para local:
• Ao conectar suas VPCs a uma rede local comum, recomendamos que você use blocos CIDR nãosobrepostos nas redes.
Definição de preçosPara obter mais informações sobre definição de preços, consulte Definição de preços.
2
AWS Site-to-Site VPN Guia do usuárioComponentes do Site-to-Site VPN
Como AWS Site-to-Site VPN funcionaComponentes do Site-to-Site VPN
Uma conexão Site-to-Site VPN oferece dois túneis VPN entre um gateway privado virtual ou um gatewayde trânsito no lado da AWS e um gateway do cliente (que representa um dispositivo de VPN) no ladoremoto (no local).
Uma conexão Site-to-Site VPN possui os seguintes componentes. Para obter mais informações sobrecotas de Site-to-Site VPN, consulte Cotas de VPN de local para local (p. 139).
Tópicos• Gateway privado virtual (p. 3)• Transit gateway (p. 3)• Dispositivo de gateway do cliente (p. 4)• Gateway do cliente (p. 4)
Gateway privado virtualUm gateway privado virtual é o concentrador VPN situado no lado da Amazon de uma conexão Site-to-SiteVPN. Você cria um gateway privado virtual e o anexa à VPC na qual deseja criar a conexão Site-to-SiteVPN.
Quando você cria um gateway privado virtual, é possível especificar o Número de sistema autônomoprivado (ASN) para o lado da Amazon do gateway. Se você não especificar um ASN, o gateway privadovirtual é criado com o ASN (64512) padrão. Você não poderá alterar o ASN depois de ter criado o gatewayprivado virtual. Para verificar o ASN do gateway privado virtual, visualize seus detalhes na tela VirtualPrivate Gateways (Gateways privados virtuais), no console da Amazon VPC, ou utilize o comandodescribe-vpn-gateways da AWS CLI.
Note
Se você criar o gateway privado virtual antes de 30-06-2018, o ASN padrão é 17493 na regiãoÁsia-Pacífico (Cingapura), 10124 na região Ásia-Pacífico (Tóquio), 9059 na região Europa(Irlanda) e 7224 em todas as outras regiões.
Transit gatewayUm gateway de trânsito é um hub de trânsito que você pode usar para interconectar suas nuvens privadasvirtuais (VPC) e redes locais. Para obter mais informações, consulte Gateways de trânsito da AmazonVPC. É possível criar uma conexão Site-to-Site VPN como um anexo em um gateway de trânsito.
3
AWS Site-to-Site VPN Guia do usuárioDispositivo de gateway do cliente
É possível modificar o gateway de destino de uma conexão Site-to-Site VPN de um gateway privadovirtual para um gateway de trânsito. Para obter mais informações, consulte the section called “Modificar ogateway de destino de uma conexão Site-to-Site VPN” (p. 118).
Dispositivo de gateway do clienteUm dispositivo de gateway do cliente é um dispositivo físico ou aplicativo de software no seu lado daconexão Site-to-Site VPN. Configure o dispositivo para funcionar com a conexão Site-to-Site VPN. Paraobter mais informações, consulte O dispositivo de gateway do cliente (p. 29).
Gateway do clienteUm gateway do cliente é um recurso que você cria na AWS e representa o dispositivo de gateway docliente na rede local. Ao criar um gateway do cliente, você fornece informações sobre o dispositivo à AWS.Para obter mais informações, consulte the section called “Opções de gateway do cliente” (p. 9).
Para usar a Amazon VPC com uma conexão Site-to-Site VPN, você ou o administrador da rede deveconfigurar também o dispositivo ou aplicativo do gateway do cliente na rede remota. Quando você cria aconexão Site-to-Site VPN, fornecemos as informações de configuração necessárias e o administrador darede geralmente executa a configuração. Para obter informações sobre os requisitos e a configuração dogateway do cliente, consulte O dispositivo de gateway do cliente (p. 29).
O túnel de VPN surge quando o tráfego é gerado do seu lado da conexão Site-to-Site VPN. O gatewayprivado virtual não é o iniciador, seu gateway do cliente deve iniciar os túneis. Se ocorrer um períodoocioso na conexão Site-to-Site VPN (geralmente de 10 segundos, dependendo da configuração), poderáhaver um fechamento do túnel. Para evitar isso, use uma ferramenta de monitoramento de rede que enviepings de keepalive usando, por exemplo, o SLA de IP.
Os endpoints de VPN oferecem suporte ao rechaveamento e poderão iniciar renegociações quando a fase1 estiver prestes a expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego derenegociação.
Categorias de Site-to-Site VPNSua conexão Site-to-Site VPN é uma conexão VPN AWS Classic ou uma conexão VPN AWS. Qualquerconexão Site-to-Site VPN que você criar será um conexão VPN AWS. Os seguintes recursos têm suporteapenas em conexões VPN AWS:
• Internet Key Exchange versão 2 (IKEv2)• NAT Traversal• ASN de 4 bytes (além do ASN de 2 bytes)• Métricas do CloudWatch• Endereços IP reutilizáveis para os gateways do cliente• Opções de criptografia adicionais; incluindo criptografia AES de 256 bits, hashing SHA-2 e grupos Diffie-
Hellman adicionais• Opções de túnel configuráveis
4
AWS Site-to-Site VPN Guia do usuárioOpções de túnel do Site-to-Site VPN
• ASN privado do cliente para o lado da Amazon de uma sessão BGP• Certificado privado de uma AC subordinada do Autoridade de certificação privada do AWS Certificate
Manager
Para obter informações sobre como identificar e migrar a conexão, consulte the section called “Identificaruma conexão Site-to-Site VPN” (p. 109) e the section called “Migrar da VPN AWS Classic para a VPNAWS” (p. 110).
Opções de túnel de Site-to-Site VPN para suaconexão Site-to-Site VPN
Use uma conexão Site-to-Site VPN para conectar a rede remota a uma VPC. Cada conexão Site-to-SiteVPN tem dois túneis, sendo que cada um usa um endereço IP público exclusivo do gateway privadovirtual. Para ter redundância, é importante configurar ambos os túneis. Quando um túnel fica indisponível(por exemplo, para manutenção), o tráfego de rede é roteado automaticamente para o túnel que estiverdisponível para aquela conexão Site-to-Site VPN específica.
O diagrama a seguir mostra os dois túneis da conexão Site-to-Site VPN.
Ao criar uma conexão Site-to-Site VPN, faça download de um arquivo de configuração específico para seudispositivo de gateway do cliente que contém as informações de configuração do dispositivo, incluindo
5
AWS Site-to-Site VPN Guia do usuárioOpções de túnel do Site-to-Site VPN
as informações de configuração de cada túnel. Como opção, você mesmo pode especificar algumas dasopções de túnel ao criar a conexão Site-to-Site VPN. Caso contrário, a AWS fornece os valores padrão.
A tabela a seguir descreve as opções de túnel que você pode configurar.
Item Descrição Valor padrão fornecido pela AWS
Tempo limite do Dead peerdetection (DPD) (segundos)
A duração após a qual ocorre otempo limite do DPD.
Você pode especificar 30 ousuperior.
30
Versões do IKE As versões do IKE que sãopermitidas para o túnel VPN.Você pode especificar um oumais dos valores padrão.
ikev1, ikev2
Dentro do CIDR do túnel O intervalo de endereços IPinternos para o túnel VPN.É possível especificar umbloco CIDR de tamanho /30 dointervalo 169.254.0.0/16. Obloco CIDR deve ser exclusivoem todas as conexões Site-to-Site VPN que usam o mesmogateway privado virtual.
Os seguintes blocos CIDR sãoreservados e não podem serusados:
• 169.254.0.0/30
• 169.254.1.0/30
• 169.254.2.0/30
• 169.254.3.0/30
• 169.254.4.0/30
• 169.254.5.0/30
• 169.254.169.252/30
Um bloco CIDR de tamanho /30no intervalo 169.254.0.0/16.
Fase 1 Números de gruposDiffie-Hellman (DH)
Os números de grupos DH quesão permitidos para o túnel VPNpara a fase 1 das negociaçõesde IKE. Você pode especificarum ou mais dos valores padrão.
2, 14, 15, 16, 17, 18, 22, 23, 24
Fase 2 Números de gruposDiffie-Hellman (DH)
Os números de grupos DH quesão permitidos para o túnel VPNpara a fase 2 das negociaçõesde IKE. Você pode especificarum ou mais dos valores padrão.
2, 5, 14, 15, 16, 17, 18, 22, 23,24
Fase 1 Algoritmos de criptografia Os algoritmos de criptografiapermitidos para o túnel VPN paraa fase 1 das negociações de IKE.Você pode especificar um oumais dos valores padrão.
AES128, AES256
6
AWS Site-to-Site VPN Guia do usuárioOpções de túnel do Site-to-Site VPN
Item Descrição Valor padrão fornecido pela AWS
Fase 2 Algoritmos de criptografia Os algoritmos de criptografiapermitidos para o túnel VPN paraa fase 2 das negociações de IKE.Você pode especificar um oumais dos valores padrão.
AES128, AES256
Fase 1 Algoritmos de integridade Os algoritmos de integridadepermitidos para o túnel VPN paraa fase 1 das negociações de IKE.Você pode especificar um oumais dos valores padrão.
SHA-1, SHA2-256
Fase 2 Algoritmos de integridade Os algoritmos de integridadepermitidos para o túnel VPN paraa fase 2 das negociações de IKE.Você pode especificar um oumais dos valores padrão.
SHA-1, SHA2-256
Fase 1 Vida útil (segundos) O tempo de vida em segundosda fase 1 da negociação deIKE. Você pode especificar umnúmero entre 900 e 28.800.
28.800 (8 horas)
Fase 2 Tempo de vida(segundos)
O tempo de vida em segundosda fase 2 da negociação deIKE. Você pode especificarum número entre 900 e 3.600.O número especificado deveser menor que o número desegundos para a vida útil da fase1.
3.600 (1 hora)
Chaves pré-compartilhadas(PSK)
Chave pré-compartilhada (PSK)para estabelecer a associaçãode IKE (Internet key exchange- Troca de chaves da Internet)inicial entre o gateway privadovirtual e o gateway do cliente.
O PSK deve estar entre 8 e64 caracteres de extensão enão pode começar com zero(0). Os caracteres permitidossão alfanuméricos, pontos (.) esublinhados (_).
Uma string de 32 caracteresalfanuméricos.
Fuzz de rechaveamento(percentagem)
A porcentagem da janela derechaveamento (determinadapelo tempo de margem derechaveamento) dentro da qualo tempo de rechaveamento éselecionado aleatoriamente.
Você pode especificar um valorentre 0 e 100.
100
7
AWS Site-to-Site VPN Guia do usuárioOpções de autenticação de túnel Site-to-Site VPN
Item Descrição Valor padrão fornecido pela AWS
Tempo de margem derechaveamento (segundos)
O tempo de margem emsegundos antes da expiração davida útil da fase 2, durante o qualo lado da AWS da conexão VPNexecuta um rechaveamento deIKE.
Você pode especificar umnúmero entre 60 e metade dovalor dos segundos do tempo devida da fase 2.
A hora exata do rechaveamentoé selecionada aleatoriamentecom base no valor de fuzz derechaveamento.
540 (9 minutos)
Reproduzir pacotes de tamanhoda janela
O número de pacotes em umajanela de reprodução de IKE.
Você pode especificar um valorentre 64 e 2048.
1024
Você não pode modificar as opções de túnel depois de criar a conexão Site-to-Site VPN. Você não poderáconfigurar as opções de túnel para uma conexão VPN AWS Classic.
Opções de autenticação de túnel Site-to-Site VPNVocê pode usar chaves pré-compartilhadas ou certificados para autenticar seus endpoints de túnel Site-to-Site VPN.
Chaves pré-compartilhadasUma chave pré-compartilhada é a opção de autenticação padrão.
Uma chave pré-compartilhada é uma opção de túnel Site-to-Site VPN que você pode especificar ao criarum túnel Site-to-Site VPN.
Uma chave pré-compartilhada é uma string inserida ao configurar o dispositivo de gateway do cliente. Sevocê não especificar uma string, geraremos uma automaticamente para você.
Certificado privado do Autoridade de certificaçãoprivada do AWS Certificate ManagerSe você não quiser usar chaves pré-compartilhadas, poderá usar um certificado privado do Autoridade decertificação privada do AWS Certificate Manager para autenticar sua VPN.
Crie um certificado privado de uma CA subordinada usando o Autoridade de certificação privada do AWSCertificate Manager (ACM Private CA). Para assinar a CA subordinada do ACM, você pode usar uma CAraiz do ACM ou uma CA externa. Para obter mais informações sobre como criar um certificado privado,
8
AWS Site-to-Site VPN Guia do usuárioOpções de gateway do cliente
consulte Criar e gerenciar uma CA privada no Guia do usuário do Autoridade de certificação privada doAWS Certificate Manager.
Crie uma função vinculada ao serviço para gerar e usar o certificado no lado da AWS do endpoint do túnelSite-to-Site VPN. Para obter mais informações, consulte the section called “Permissões concedidas pelafunção vinculada ao serviço” (p. 130).
Depois de gerar o certificado privado, especifique o certificado ao criar o gateway do cliente e aplicá-lo aodispositivo de gateway do cliente.
Se você não especificar o endereço IP do dispositivo de gateway do cliente, não verificaremos o endereçoIP. Essa operação permite que você mova o dispositivo de gateway do cliente para um endereço IPdiferente sem precisar reconfigurar a conexão VPN.
Opções de gateway do cliente para sua conexãoSite-to-Site VPN
A tabela a seguir descreve as informações necessárias para criar um recurso de gateway do cliente.
Item Descrição
(Opcional) Endereço IP roteável na Internet(estático) da interface externa do dispositivo dogateway do cliente.
O valor do endereço IP público deve serestático. Se o gateway do cliente estiver atrásde um dispositivo de tradução de endereço derede (NAT), que esteja habilitado para NATtraversal (NAT-T), use o endereço IP público dodispositivo NAT e ajuste as regras de firewall paradesbloquear a porta UDP 4500.
Isso não será necessário quando você estiverusando um certificado privado de Autoridade decertificação privada do AWS Certificate Manager.
O tipo de roteamento — estático ou dinâmico. Para obter mais informações, consulte Opções deroteamento de Site-to-Site VPN (p. 11).
(Apenas roteamento dinâmico) Número de sistemaautônomo (ASN) do Border Gateway Protocol(BGP) do gateway do cliente.
É possível usar um ASN já existente e atribuídopara a rede. Se não possuir um, você poderá usarum ASN privado (no intervalo de 64512 a 65534).
Caso contrário, o ASN padrão é 65000.
(Opcional) Certificado privado de uma CAsubordinada usando o AWS Certificate Manager(ACM)
Se você quiser usar a autenticação baseadaem certificado, forneça o ARN de um certificadoprivado do ACM que será usado no dispositivo degateway do cliente.
Ao criar um gateway do cliente, você podeconfigurar o gateway do cliente para usarcertificados privados do Autoridade de certificaçãoprivada do AWS Certificate Manager paraautenticar a Site-to-Site VPN.
Quando optar por usar essa opção, você cria umaautoridade de certificação privada (CA) totalmentehospedada pela AWS para uso interno por sua
9
AWS Site-to-Site VPN Guia do usuárioConexões VPN de local para local aceleradas
Item Descriçãoorganização. O certificado CA raiz e os certificadosCA subordinados são armazenados e gerenciadospelo ACM Private CA.
Antes de criar o gateway do cliente, crie umcertificado privado de uma CA subordinada usandoo Autoridade de certificação privada do AWSCertificate Manager e especifique o certificadoao configurar o gateway do cliente. Para obterinformações sobre como criar um certificadoprivado, consulte Criar e gerenciar uma CA privadano Guia do usuário do Autoridade de certificaçãoprivada do AWS Certificate Manager.
Conexões VPN de local para local aceleradasOpcionalmente, você pode habilitar a aceleração para sua conexão VPN de local para local. Uma conexãoVPN de local para local acelerada (conexão VPN acelerada) usa o AWS Global Accelerator para rotearo tráfego da rede no local para um ponto de presença da AWS mais próximo do dispositivo de gatewaydo cliente. O AWS Global Accelerator otimiza o caminho de rede usando a rede global da AWS semcongestionamento para rotear o tráfego para o endpoint que oferece o melhor desempenho do aplicativo(para obter mais informações, consulte AWS Global Accelerator). Você pode usar uma conexão VPNacelerada para evitar interrupções de rede que possam ocorrer quando o tráfego é roteado pela Internetpública.
Quando você cria uma conexão VPN acelerada, criamos e gerenciamos dois aceleradores em seu nome,um para cada túnel VPN.
As conexões VPN aceleradas são compatíveis nas seguintes regiões da AWS: Leste dos EUA (Norte daVirgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Oeste dos EUA (Norte da Califórnia), Europa(Irlanda), Europa (Frankfurt), Europa (Londres), Europa (Paris), Ásia-Pacífico (Cingapura), Ásia-Pacífico(Tóquio), Ásia-Pacífico (Sydney), Ásia-Pacífico (Seul) e Ásia Pacífico (Mumbai).
Tópicos• Habilitar a aceleração (p. 10)• Regras e restrições (p. 10)• Definição de preços (p. 11)
Habilitar a aceleraçãoPor padrão, quando você cria uma conexão VPN de local para local, a aceleração é desabilitada.Opcionalmente, você pode habilitar a aceleração ao criar um anexo VPN de local para local em umgateway de trânsito. Para obter mais informações e etapas, consulte Criar um anexo de VPN de gatewayde trânsito (p. 115).
As conexões VPN aceleradas usam um grupo separado de endereços IP para os endereços IP doendpoint do túnel. Os endereços IP dos dois túneis VPN são selecionados em duas zonas de redeseparadas.
Regras e restriçõesPara usar uma conexão VPN acelerada, aplicam-se as seguintes regras:
10
AWS Site-to-Site VPN Guia do usuárioDefinição de preços
• A aceleração só é compatível com conexões VPN de local para local anexadas a um gateway detrânsito. Os gateways privados virtuais não são compatíveis com conexões VPN aceleradas.
• Não é possível habilitar ou desabilitar a aceleração para uma conexão VPN de local para local existente.Em vez disso, você pode criar uma conexão VPN de local para local com a aceleração habilitada oudesabilitada conforme necessário. Configure seu dispositivo de gateway do cliente para usar a novaconexão VPN de local para local e exclua a conexão VPN de local para local antiga.
• O NAT-traversal (NAT-T) é necessário para uma conexão VPN acelerada e é habilitado por padrão.• Os rechaveamentos IKE para túneis VPN acelerados devem ser iniciados a partir do dispositivo de
gateway do cliente para manter os túneis ativos.
Definição de preçosCobranças por hora se aplicam a uma conexão VPN de local para local. Para obter mais informações,consulte Definição de preços da AWS VPN. Quando você cria uma conexão VPN acelerada, criamose gerenciamos dois aceleradores em seu nome. Você é cobrado por uma taxa horária e custos detransferência de dados para cada acelerador. Para obter mais informações, consulte Definição de preçosdo AWS Global Accelerator.
Opções de roteamento de Site-to-Site VPNAo criar uma conexão Site-to-Site VPN, faça o seguinte:
• Especifique o tipo de roteamento que você planeja usar (estático ou dinâmico)• Atualize a tabela de rotas da sub-rede
Existem cotas para o número de rotas que podem ser adicionadas a uma tabela de rotas. Para obter maisinformações, consulte a seção Tabelas de rotas em Cotas da Amazon VPC no Guia do usuário da AmazonVPC.
Tópicos• Roteamento estático e dinâmico (p. 11)• Tabelas de rotas e prioridade de rota da VPN (p. 12)• Roteamento durante atualizações de endpoint do túnel de VPN (p. 13)
Roteamento estático e dinâmicoO tipo de roteamento selecionado pode depender da marca e do modelo do dispositivo de gateway docliente. Se o dispositivo de gateway do cliente oferecer suporte para Border Gateway Protocol (BGP),especifique o roteamento dinâmico quando for configurar a conexão do Site-to-Site VPN. Se o dispositivode gateway do cliente não for compatível com BGP, especifique o roteamento estático. Para obter umalista de dispositivos de roteamento estático e dinâmico que foram testados com Site-to-Site VPN, consulteDispositivos de gateway do cliente que testamos (p. 31).
Se você usar um dispositivo que permita publicidade BGP, não especifique rotas estáticas para a conexãodo Site-to-Site VPN porque o dispositivo usa BGP para anunciar as rotas para o gateway privado virtual.Caso use um dispositivo que não ofereça suporte para publicidade BGP, selecione o roteamento estático einsira as rotas (prefixos IP) para a rede que fazem a comunicação com o gateway privado virtual.
Recomendamos, quando disponíveis, o uso de dispositivos compatíveis com o protocolo BGP queverificam se a detecção é de boa qualidade, o quê pode ajudar o failover para o segundo túnel VPN,
11
AWS Site-to-Site VPN Guia do usuárioTabelas de rotas e prioridade de rota da VPN
caso haja uma redução do primeiro túnel. Os dispositivos que não oferecem suporte para o BGP tambémpodem verificar a integridade, auxiliando o failover para o segundo túnel, quando necessário.
Você deve configurar o dispositivo de gateway do cliente para encaminhar o tráfego da rede local paraa conexão do Site-to-Site VPN. A configuração depende da marca e do modelo do seu dispositivo. Paraobter mais informações, consulte O dispositivo de gateway do cliente (p. 29).
Tabelas de rotas e prioridade de rota da VPNTabelas de rotas determinam para onde o tráfego da VPC é direcionado. Na tabela de rotas da VPC,adicione uma rota à rede remota e especifique o gateway privado virtual como destino. Isso permite que otráfego da VPC destinado para a rede remota seja roteado por meio do gateway privado virtual e sobre umdos túneis VPN. Você pode habilitar a propagação automática de rotas da rede para a tabela de rotas.
Para determinar como o tráfego deve ser roteado, usamos a rota mais específica em sua tabela de rotasque corresponde ao tráfego (correspondência de prefixo mais longa). Se a tabela de rotas tiver rotassobrepostas ou correspondentes, as seguintes regras serão aplicadas:
• Se rotas propagadas de uma conexão Site-to-Site VPN ou de uma conexão do AWS Direct Connect sesobrepor à rota local da VPC, a rota local será a preferencial, mesmo que as rotas propagadas sejammais específicas.
• Se rotas propagadas de uma conexão Site-to-Site VPN ou de uma conexão do AWS Direct Connecttiver o mesmo bloco CIDR de destino que outras rotas estáticas existentes (não é possível aplicar acorrespondência de prefixo mais longa), priorizaremos as rotas estáticas cujos destinos sejam umgateway da Internet, um gateway privado virtual, uma interface de rede, o ID de uma instância, umaconexão de pareamento de VPC, um gateway NAT, um gateway de trânsito ou um VPC endpoint dogateway.
Por exemplo, a tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rotapropagada para um gateway privado virtual. O destino de ambas as rotas é 172.31.0.0/24. Nessecaso, todo tráfego destinado para 172.31.0.0/24 é roteado para o gateway da internet. Ela é uma rotaestática e, portanto, tem prioridade sobre a rota propagada.
Destino Destino
10.0.0.0/16 Local
172.31.0.0/24 vgw-11223344556677889 (propagado)
172.31.0.0/24 igw-12345678901234567 (estático)
Somente os prefixos IP que sejam conhecidos do gateway privado virtual, seja por meio de anúncios BGPou de uma entrada da rota estática, podem receber o tráfego da VPC. O gateway privado virtual não roteianenhum outro tráfego cujo destino seja fora dos anúncios BGP recebidos, das entradas de rota estática oudo CIDR da VPC anexada.
Quando um gateway privado virtual recebe informações de roteamento, ele usa a seleção de caminho paradeterminar como rotear o tráfego. A correspondência de prefixo mais longa se aplica. Se os prefixos foremos mesmos, o gateway privado virtual prioriza as rotas da seguinte forma, da mais preferida para a menospreferida:
• Rotas BGP propagadas de uma conexão do AWS Direct Connect• Adicionado rotas estáticas manualmente para uma conexão Site-to-Site VPN• Rotas BGP propagadas de uma conexão Site-to-Site VPN
12
AWS Site-to-Site VPN Guia do usuárioRoteamento durante atualizações
de endpoint do túnel de VPN
• Para os prefixos correspondentes, em que cada conexão Site-to-Site VPN usa o BGP, deve-se compararo AS PATH e dar preferência ao prefixo com AS PATH mais curto.
Note
Não recomendamos usar o prefixo AS PATH, para garantir que os dois túneis tenham um ASPATH igual.
• Quando os AS PATHs tiverem o mesmo comprimento e se o primeiro AS no AS_SEQUENCE for omesmo em vários caminhos, os multi-exit discriminators (MEDs) serão comparados. O caminho com omenor valor MED será o preferido.
A prioridade de rota é afetada durante as atualizações de endpoint do túnel de VPN (p. 13).
Recomendamos anunciar rotas BGP mais específicas para influenciar decisões de roteamento no gatewayprivado virtual.
Roteamento durante atualizações de endpoint do túnelde VPNUma conexão Site-to-Site VPN consiste em dois túneis de VPN entre um dispositivo de gateway do clientee um gateway privado virtual ou um gateway de trânsito. Recomendamos que você configure ambos ostúneis para redundância. A conexão VPN pode sofrer uma breve perda de redundância quando realizamosatualizações de endpoint de túnel em um dos dois túneis. As atualizações de endpoint de túnel podemocorrer por vários motivos, incluindo motivos de integridade, atualizações de software e desativação dohardware subjacente.
Quando realizamos atualizações em um túnel de VPN, definimos um valor menor de multi-exitdiscriminator (MED) no outro túnel. Se você configurou o dispositivo de gateway do cliente para usar osdois túneis, a conexão VPN usará o outro túnel (ativo) durante o processo de atualização do endpoint dotúnel.
Note
Para garantir que o túnel ativo com o valor MED inferior seja o preferencial, certifique-se de queo dispositivo de gateway do cliente use os mesmos valores de Peso e Preferência Local paraambos os túneis (Peso e Preferência Local têm prioridade mais alta do que MED).
13
AWS Site-to-Site VPN Guia do usuárioPré-requisitos
Conceitos básicosUse os procedimentos a seguir para configurar manualmente a conexão AWS Site-to-Site VPN. É possívelcriar uma conexão Site-to-Site VPN com um gateway privado virtual ou um gateway de trânsito comogateway de destino.
Para configurar uma conexão Site-to-Site VPN, execute as seguintes etapas:
• Pré-requisitos (p. 14)• Etapa 1: Criar um gateway do cliente (p. 15)• Etapa 2: Criar um gateway de destino (p. 16)• Etapa 3: Configurar o roteamento (p. 17)• Etapa 4: Atualizar o security group (p. 18)• Etapa 5: Criar uma conexão Site-to-Site VPN (p. 19)• Etapa 6: Fazer download do arquivo de configuração (p. 20)• Etapa 7: Configurar o dispositivo de gateway do cliente (p. 20)
Estes procedimentos pressupõem que você tem uma VPC com uma ou mais sub-redes.
Para obter as etapas para criar uma conexão Site-to-Site VPN em um gateway de trânsito, consulte Criarum anexo de VPN de gateway de trânsito (p. 115).
Pré-requisitosVocê precisa das informações a seguir para configurar uma conexão Site-to-Site VPN e seuscomponentes.
Item Informações
Dispositivo de gateway do cliente O dispositivo físico ou de software no seu lado daconexão VPN. Você precisa do fornecedor (porexemplo, Cisco), da plataforma (por exemplo,roteadores da série ISR) e da versão do software(por exemplo, IOS 12.4)
Gateway do cliente Para criar o recurso de gateway do cliente naAWS, você precisa das seguintes informações:
• O endereço IP roteável na Internet para ainterface externa do dispositivo.
• O tipo de roteamento: estático oudinâmico (p. 11)
• Para roteamento dinâmico, o número de sistemaautônomo (ASN) do Border Gateway Protocol(BGP)
14
AWS Site-to-Site VPN Guia do usuárioCriar um gateway do cliente
Item Informações• (Opcional) Certificado privado do Autoridade de
certificação privada do AWS Certificate Managerpara autenticar sua VPN
Para obter mais informações, consulte Opções degateway do cliente para sua conexão Site-to-SiteVPN (p. 9).
(Opcional) O ASN para o lado da AWS da sessãode BGP.
Isso é especificado ao criar um gateway privadovirtual ou um gateway de trânsito. Se você nãoespecificar um valor, o ASN padrão será aplicado.Para obter mais informações, consulte Gatewayprivado virtual (p. 3).
conexão VPN Para criar uma conexão VPN, você precisa dasseguintes informações:
• Para roteamento estático, os prefixos IP para arede privada.
• (Opcional) Opções de túnel para cada túnel deVPN. Para obter mais informações, consulteOpções de túnel de Site-to-Site VPN para suaconexão Site-to-Site VPN (p. 5).
Criar um gateway do clienteUm gateway do cliente fornece informações para a AWS sobre seu dispositivo de gateway do cliente ouaplicativo do software. Para obter mais informações, consulte Gateway do cliente (p. 4).
Se você planeja usar um certificado privado para autenticar a VPN, crie um certificado privado de umaCA subordinada usando o Autoridade de certificação privada do AWS Certificate Manager. Para obterinformações sobre como criar um certificado privado, consulte Criar e gerenciar uma CA privada no Guiado usuário do Autoridade de certificação privada do AWS Certificate Manager.
Note
É necessário especificar um endereço IP ou o nome de recurso da Amazon do certificado privado.
Para criar um gateway do cliente usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Gateways do cliente e, em seguida, Criar gateways do cliente.3. Preencha as informações a seguir e escolha Criar gateway do cliente:
• (Opcional) Em Name (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criadauma tag com a chave Name e o valor especificado.
• Em Roteamento, selecione o tipo de roteamento.• Para roteamento dinâmico, em BGP ASN, insira o número de sistema autônomo (ASN) do Border
Gateway Protocol (BGP).• (Opcional) EM IP Address (Endereço IP), insira o endereço IP estático roteável pela Internet do
dispositivo de gateway do cliente. Se o gateway do cliente estiver atrás de um dispositivo NAT, queseja habilitado para NAT-T, use o endereço IP público do dispositivo NAT.
15
AWS Site-to-Site VPN Guia do usuárioCriar um gateway de destino
• (Opcional) Se você quiser usar um certificado privado, em Certificate ARN (ARN do certificado),selecione o nome de recurso da Amazon do certificado privado.
Para criar um gateway do cliente usando a linha de comando ou a API
• CreateCustomerGateway (API de consulta do Amazon EC2)• create-customer-gateway (AWS CLI)• New-EC2CustomerGateway (AWS Tools para Windows PowerShell)
Criar um gateway de destinoPara estabelecer uma conexão VPN entre a VPC e a rede no local, é necessário criar um gateway dedestino no lado da AWS da conexão. O gateway de destino pode ser um gateway privado virtual ou umgateway de trânsito.
Criar um gateway privado virtualQuando você cria um gateway privado virtual, também é possível especificar o Número de sistemaautônomo privado (ASN) para o lado da Amazon do gateway. Esse ASN deve ser diferente do BGP ASNespecificado para o gateway do cliente.
Depois que você criar um gateway privado virtual, você deve anexá-lo à sua VPC.
Para criar um gateway privado virtual e anexá-lo à sua VPC.
1. No painel de navegação, escolha Gateways privados virtuais, Criar gateways privados virtuais.2. (Opcional) Insira um nome para o gateway privado virtual. Ao fazer isso, é criada uma tag com a
chave Name e o valor especificado.3. Em ASN, deixe a seleção padrão para usar o ASN padrão da Amazon. Caso contrário, selecione
Custom ASN (Personalizar ASN) e insira um valor. Para um ASN de 16 bits, o valor deve estar nointervalo de 64512 a 65534. Para um ASN de 32 bits, o valor deve estar no intervalo de 4200000000 a4294967294.
4. Escolha Criar gateway privado virtual.5. Selecione o gateway privado virtual e, em seguida, escolha Ações, Anexar à VPC.6. Selecione a VPC na lista e escolha Sim, anexar.
Para criar um gateway privado virtual usando a linha de comando ou a API
• CreateVpnGateway (API de consulta do Amazon EC2)• create-vpn-gateway (AWS CLI)• New-EC2VpnGateway (AWS Tools para Windows PowerShell)
Para anexar um gateway privado virtual a uma VPC usando a linha de comando ou a API
• AttachVpnGateway (API de consulta do Amazon EC2)• attach-vpn-gateway (AWS CLI)• Add-EC2VpnGateway (AWS Tools para Windows PowerShell)
16
AWS Site-to-Site VPN Guia do usuárioCriar um gateway de trânsito
Criar um gateway de trânsitoPara obter mais informações sobre como criar um gateway de trânsito, consulte Gateways de trânsito noGateways de trânsito da Amazon VPC.
Configurar o roteamentoPara permitir que as instâncias na VPC acessem o gateway do cliente, é necessário configurar a tabelade rotas de forma a incluir as rotas usadas pela conexão Site-to-Site VPN e apontá-las para o gatewayprivado virtual ou para o gateway de trânsito.
(Gateway privado virtual) Habilitar a propagação derotas na tabela de rotasÉ possível habilitar a propagação de rotas para a tabela de rotas a fim de propagar rotas Site-to-Site VPNautomaticamente.
Para o roteamento estático, os prefixos IP estáticos especificados para a configuração VPN serãopropagados para a tabela de rotas, sempre que o status da conexão Site-to-Site VPN for UP. Da mesmaforma, para o roteamento dinâmico, as rotas anunciadas no BGP a partir do gateway do cliente tambémserão propagadas para a tabela de rotas sempre que o status da conexão Site-to-Site VPN for UP.
Note
Se a conexão for interrompida, mas a conexão VPN permanecer no estado UP, todas as rotaspropagadas que estão na tabela de rotas não serão removidas automaticamente. Tenha isso emmente se, por exemplo, você quiser que o tráfego faça failover para uma rota estática. Nessecaso, talvez seja necessário desabilitar a propagação de rotas para remover as rotas propagadas.
Para ativar a propagação de rotas usando o console
1. No painel de navegação, escolha Route Tables e selecione a tabela de rotas associada à sub-rede.Por padrão, essa é a tabela de rotas principal para a VPC.
2. Na guia Route Propagation (Propagação de rotas) no painel de detalhes, escolha Edit (Editar),selecione o gateway privado virtual criado no procedimento anterior e, em seguida, escolha Save(Salvar).
Note
Se você não habilitar a propagação das rotas no roteamento estático, será preciso inserirmanualmente as rotas estáticas usadas pela conexão Site-to-Site VPN. Para fazer isso, selecionea tabela de rotas e escolha Routes (Rotas), Edit (Editar). Em Destination (Destino), adicione a rotaestática usada pela conexão Site-to-Site VPN. Em Target (Destino), selecione o ID do gatewayprivado virtual e escolha Save (Salvar).
Para desabilitar a propagação de rotas usando o console
1. No painel de navegação, escolha Route Tables e selecione a tabela de rotas associada à sub-rede.2. Escolha Propagação de rotas, Editar. Limpe a caixa de seleção Propagar do gateway privado virtual e
escolha Salvar.
17
AWS Site-to-Site VPN Guia do usuário(Gateway de trânsito) Adicionar uma rota à tabela de rotas
Para ativar a propagação de rotas usando a linha de comando ou a API
• EnableVgwRoutePropagation (API de consulta do Amazon EC2)• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (AWS Tools para Windows PowerShell)
Para desativar a propagação de rotas usando a linha de comando ou a API
• DisableVgwRoutePropagation (API de consulta do Amazon EC2)• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (AWS Tools para Windows PowerShell)
(Gateway de trânsito) Adicionar uma rota à tabela derotasSe você habilitou a propagação da tabela de rotas para o gateway de trânsito, as rotas para o anexo daVPN são propagadas para a tabela de rotas do gateway de trânsito. Para obter mais informações, consulteRoteamento no Gateways de trânsito da Amazon VPC.
Se você anexar uma VPC ao gateway de trânsito e quiser habilitar recursos na VPC para acessar ogateway do cliente, será necessário adicionar uma rota à tabela de rotas da sub-rede para apontar para ogateway de trânsito.
Para adicionar uma rota a uma tabela de roteamento da VPC
1. No painel de navegação, escolha Route Tables (Tabelas de rotas).2. Selecione uma tabela de rotas associada à VPC.3. Escolha a guia Routes (Rotas) e Edit routes (Editar rotas).4. Escolha Add route (Adicionar rota).5. Na coluna Destination (Destino), informe o intervalo de endereços IP de destino. Em Target (Destino),
selecione o gateway de trânsito.6. Selecione Save routes (Salvar rotas) e Close (Fechar).
Atualizar o security groupPara permitir acesso às instâncias na VPC de sua rede, você deve atualizar as regras de security grouppara permitir o acesso SSH, RDP e ICMP de entrada.
Adicionar regras ao security group para permitir o acesso SSH, RDP e ICMP de entrada
1. No painel de navegação, escolha Security Groups e, então, selecione o security group padrão para aVPC.
2. Na guia Inbound no painel de detalhes, adicione as regras que permitem acesso SSH, RDP e ICMPde entrada da sua rede e, em seguida, escolha Save. Para obter mais informações sobre comoadicionar regras de entrada, consulte Adicionar, remover e atualizar regras no Guia do usuário daAmazon VPC.
Para obter mais informações sobre grupos de segurança usando a AWS CLI, consulte Grupos desegurança para a VPC no Guia do usuário da Amazon VPC.
18
AWS Site-to-Site VPN Guia do usuárioCriar uma conexão Site-to-Site VPN
Criar uma conexão Site-to-Site VPNCrie a conexão Site-to-Site VPN usando o gateway do cliente e o gateway privado virtual ou o gateway detrânsito criado anteriormente.
Como criar uma conexão Site-to-Site VPN
1. No painel de navegação, escolha Conexões Site-to-Site VPN, Criar conexão VPN.2. (Opcional) Em Name tag (Tag de nome), insira um nome para a conexão Site-to-Site VPN. Ao fazer
isso, é criada uma tag com a chave Name e o valor especificado.3. Em Target Gateway Type (Tipo de gateway de destino), selecione Virtual Private Gateway (Gateway
privado virtual) ou Transit Gateway (Gateway de trânsito). Depois, selecione o gateway privado virtualou o gateway de trânsito criado anteriormente.
4. Em Customer Gateway ID (ID do gateway do cliente), selecione o gateway do cliente criadoanteriormente.
5. Escolha uma das opções de roteamento dependendo se o seu dispositivo de gateway do clienteoferece suporte ao Border Gateway Protocol (BGP):
• Se o dispositivo de gateway do cliente oferecer suporte ao BGP, selecione Dynamic (requires BGP)(Dinâmico (requer BGP)).
• Se o dispositivo de gateway do cliente não oferecer suporte ao BGP, selecione Static (Estático).Em Static IP Prefixes (Prefixos do IP estático), especifique cada prefixo IP para a rede privada daconexão Site-to-Site VPN.
6. (Opcional) Em Tunnel Options (Opções de túnel), é possível especificar as seguintes informaçõespara cada túnel:
• Um bloco CIDR de tamanho /30 no intervalo 169.254.0.0/16 para endereços IP internos dotúnel.
• A chave pré-compartilhada IKE (PSK). As seguintes versões têm suporte: IKEv1 ou IKEv2.• Informações avançadas sobre túneis, que incluem o seguinte:
• Algoritmos de criptografia para as fases 1 e 2 das negociações de IKE• Algoritmos de integridade para as fases 1 e 2 das negociações de IKE• Grupos Diffie-Hellman para as fases 1 e 2 das negociações de IKE• Versão de IKE• Vida útil das fases 1 e 2• Tempo de margem de rechaveamento• Fuzz de rechaveamento• Reproduzir tamanho da janela• Intervalo de Dead Peer Detection
Para obter mais informações sobre essas opções, consulte Opções de túnel de Site-to-Site VPN parasua conexão Site-to-Site VPN (p. 5).
7. Escolha Create VPN Connection (Criar conexão VPN). Pode levar alguns minutos para criar aconexão Site-to-Site VPN.
Para criar uma conexão Site-to-Site VPN usando a linha de comando ou a API
• CreateVpnConnection (API de consulta do Amazon EC2)• create-vpn-connection (AWS CLI)• New-EC2VpnConnection (AWS Tools para Windows PowerShell)
19
AWS Site-to-Site VPN Guia do usuárioFazer download do arquivo de configuração
Fazer download do arquivo de configuraçãoDepois de criar a conexão Site-to-Site VPN, faça download das informações de configuração e use-as paraconfigurar o dispositivo de gateway do cliente ou o aplicativo de software.
Important
O arquivo de configuração é apenas um exemplo e pode não corresponder às configurações daconexão VPN pretendidas. Por exemplo, ele especifica os requisitos mínimos de IKE versão 1,AES128, SHA1 e DH Group 2 na maioria das regiões da AWS, e IKE versão 1, AES128, SHA2e DH Group 14 nas regiões AWS GovCloud. Ele também especifica chaves pré-compartilhadaspara autenticação (p. 8). É necessário modificar o arquivo de configuração de exemplo paraaproveitar o IKE versão 2, AES256, SHA256, outros grupos DH, como 2, 14-18, 22, 23 e 24, ecertificados privados.Se você especificou opções de túnel personalizadas ao criar ou modificar a conexão Site-to-Site VPN, modifique o arquivo de configuração de exemplo para corresponder às configuraçõespersonalizadas dos túneis.O arquivo também contém o valor para o endereço IP externo do gateway privado virtual. Esteatributo será estático a menos que você recrie a conexão VPN na AWS.
Para fazer download do arquivo de configuração
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione sua conexão VPN e escolha Download Configuration (Fazer download da configuração).4. Escolha o fornecedor, a plataforma e o software que correspondem ao dispositivo ou software do
gateway do cliente. Se o dispositivo não estiver listado, selecione Generic (Genérico). EscolhaDownload.
Configurar o dispositivo de gateway do clienteUse o arquivo de configuração para configurar os dispositivos de gateway do cliente. O dispositivo degateway do cliente é o dispositivo físico ou software situado no seu lado da conexão do VPN de local paralocal. Para obter mais informações, consulte O dispositivo de gateway do cliente (p. 29).
20
AWS Site-to-Site VPN Guia do usuárioExemplos de conexão única e de várias conexões
Arquiteturas de Site-to-Site VPNAs arquiteturas comuns de Site-to-Site VPN são:
• the section called “Exemplos de conexão única e de várias conexões” (p. 21)• the section called “Usar conexões Site-to-Site VPN redundantes para fornecer failover” (p. 26)• the section called “AWS VPN CloudHub” (p. 24)
Exemplos de conexão única e de várias conexõesSite-to-Site VPN
Os diagramas a seguir exibem tanto uma única como várias conexões Site-to-Site VPN.
Conexão Site-to-Site VPN únicaA VPC tem um gateway privado virtual anexado, e a rede remota inclui um gateway do cliente que precisaser configurado para habilitar a conexão Site-to-Site VPN. Configure o roteamento para que qualquertráfego da VPC vinculado à rede seja roteado para o gateway privado virtual.
Para obter as etapas para configurar esse cenário, consulte Conceitos básicos (p. 14).
Conexão Site-to-Site VPN única com um gateway detrânsitoHá um gateway de trânsito anexado à VPC, e a sua rede remota possui um gateway do cliente que precisaser configurado para habilitar a conexão Site-to-Site VPN. Configure o roteamento para que qualquertráfego da VPC vinculado à sua rede seja roteado para o gateway de trânsito.
21
AWS Site-to-Site VPN Guia do usuárioVárias conexões Site-to-Site VPN
Para obter as etapas para configurar esse cenário, consulte Conceitos básicos (p. 14).
Várias conexões Site-to-Site VPNHá um gateway privado virtual anexado à VPC e a rede remota possui um gateway do cliente que precisaser configurado para habilitar a conexão Site-to-Site VPN. Configure o roteamento para que qualquertráfego da VPC vinculado à rede seja roteado para o gateway privado virtual.
Você também pode usar esse cenário para criar conexões Site-to-Site VPN com várias localizaçõesgeográficas e fornecer comunicação segura entre sites. Para obter mais informações, consulte Garantir asegurança da comunicação entre os sites, usando o VPN CloudHub (p. 24).
22
AWS Site-to-Site VPN Guia do usuárioVárias conexões Site-to-Site
VPN com um gateway de trânsito
Ao estabelecer várias conexões Site-to-Site VPN para uma única VPC, é possível configurar um segundogateway do cliente e, assim, criar uma conexão redundante para o mesmo local externo. Para obter maisinformações, consulte Usar conexões Site-to-Site VPN redundantes para fornecer failover (p. 26).
Várias conexões Site-to-Site VPN com um gateway detrânsitoHá um gateway de trânsito anexado à VPC, e a rede remota inclui um gateway do cliente que precisa serconfigurado para habilitar a conexão Site-to-Site VPN. Configure o roteamento para que qualquer tráfegoda VPC vinculado à sua rede seja roteado para o gateway de trânsito.
Você também pode usar esse cenário para criar conexões Site-to-Site VPN com várias localizaçõesgeográficas e fornecer comunicação segura entre sites.
23
AWS Site-to-Site VPN Guia do usuárioAWS VPN CloudHub
Ao estabelecer várias conexões Site-to-Site VPN para uma única VPC, é possível configurar um segundogateway do cliente e, assim, criar uma conexão redundante para o mesmo local externo.
Garantir a segurança da comunicação entre ossites, usando o VPN CloudHub
Caso haja várias conexões AWS Site-to-Site VPN, garanta a segurança da comunicação entre os sites,usando o AWS VPN CloudHub. Isso permite que os sites remotos comuniquem-se entre si e, não somente,com a VPC. O VPN CloudHub opera em um modelo simples de hub e spoke que pode ser usado comou sem uma VPC. Esse design é adequado quando você tem várias filiais e conexões de internet, egostaria de implementar um modelo hub-and-spoke conveniente e, potencialmente, de baixo custo para aconectividade principal ou de backup entre os escritórios remotos.
Os sites não devem ter intervalos de IP sobrepostos.
Visão geralO diagrama a seguir exibe a arquitetura do VPN CloudHub com linhas tracejadas azuis, indicando otráfego de rede entre os sites remotos, roteados pelas conexões Site-to-Site VPN.
24
AWS Site-to-Site VPN Guia do usuárioVisão geral
Para este cenário, faça o seguinte:
1. Crie um único gateway privado virtual.2. Crie vários gateways do cliente, cada um com o endereço IP público do gateway. Você deve usar um
número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) exclusivo para cada gatewaydo cliente.
3. Crie uma conexão do Site-to-Site VPN encaminhada dinamicamente de cada gateway do cliente comum gateway privado virtual comum.
4. Configure cada dispositivo de gateway do cliente para anunciar um prefixo específico do site (como10.0.0.0/24, 10.0.1.0/24) para o gateway privado virtual. Esses anúncios de roteamento são recebidose novamente anunciados para cada ponto BGP, permitindo o envio e o recebimento de dados entre ossites. Isso é feito por meio das instruções da rede localizadas nos arquivos de configuração da conexãoSite-to-Site VPN. As instruções da rede diferem ligeiramente, dependendo do tipo de roteador usado.
5. Configure as rotas em suas tabelas de rotas de sub-rede para permitir que as instâncias em sua VPC secomuniquem com seus sites. Para obter mais informações, consulte (Gateway privado virtual) Habilitara propagação de rotas na tabela de rotas (p. 17). É possível configurar uma rota agregada na tabelade rotas (por exemplo, 10.0.0.0/16). Use prefixos mais específicos entre os dispositivos de gateway docliente e o gateway privado virtual.
Sites que usam as conexões AWS Direct Connect para o gateway privado virtual também podem fazerparte do AWS VPN CloudHub. Por exemplo, a sede corporativa em Nova York pode ter uma conexão doAWS Direct Connect com a VPC, enquanto as filiais usam as conexões Site-to-Site VPN com a VPC. Asede corporativa e as filiais em Los Angeles e Miami podem enviar e receber dados entre si, todas usandoo AWS VPN CloudHub.
25
AWS Site-to-Site VPN Guia do usuárioDefinição de preços
Definição de preçosAo usar o AWS VPN CloudHub, as taxas usuais de conexão Site-to-Site VPN da Amazon VPC sãocobradas. A quantia devida pela taxa de conexão é calculada pelo total de horas em que cada VPN esteveconectada ao gateway privado virtual. Usando o AWS VPN CloudHub, os dados do seu site são enviadospara o gateway privado virtual, sem nenhum custo, de um site para outro. Pague somente as taxas detransferência de dados AWS padrão em função da retransmissão dos dados do gateway privado virtualpara o endpoint.
Por exemplo, se você tiver um site em Los Angeles e um segundo site em Nova York, e ambos os sitestiverem uma conexão Site-to-Site VPN com o gateway privado virtual, você pagará a taxa por hora paracada conexão Site-to-Site VPN (portanto, se a taxa fosse de 0,05 USD por hora, a cobrança total será de0,10 USD por hora). Você também paga as taxas de transferência de dados padrão da AWS para todosos dados enviados de Los Angeles para Nova York (e vice-versa) que atravessam cada conexão Site-to-Site VPN. O tráfego de rede enviado pela conexão Site-to-Site VPN ao gateway privado virtual é gratuito,mas o tráfego de rede enviado pela conexão Site-to-Site VPN do gateway privado virtual para o endpoint écobrado pela taxa de transferência de dados padrão da AWS.
Para obter mais informações, consulte Definição de preço de conexões Site-to-Site VPN.
Usar conexões Site-to-Site VPN redundantes parafornecer failover
A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para proteger-se, useum segundo gateway do cliente e configure uma segunda conexão Site-to-Site VPN à sua VPC e parao gateway privado virtual. O uso de conexões Site-to-Site VPN e dispositivos de gateway do clienteredundantes permite executar a manutenção de um dos gateways enquanto o tráfego flui por meio daconexão Site-to-Site VPN do segundo gateway do cliente.
O diagrama a seguir mostra os dois túneis pertencentes a cada uma das conexões Site-to-Site VPN, assimcomo os dois gateways do cliente.
26
AWS Site-to-Site VPN Guia do usuárioUsar conexões Site-to-Site VPN
redundantes para fornecer failover
27
AWS Site-to-Site VPN Guia do usuárioUsar conexões Site-to-Site VPN
redundantes para fornecer failover
Para este cenário, faça o seguinte:
• Configure uma segunda conexão Site-to-Site VPN usando o mesmo gateway privado virtual e criandoum gateway do cliente. O endereço IP do gateway do cliente para a segunda conexão Site-to-Site VPNdeve ser acessível ao público.
• Configure um segundo dispositivo de gateway do cliente. Os dois dispositivos devem anunciar osmesmos intervalos de IP para o gateway privado virtual. Usamos o roteamento BGP a fim de determinaro caminho para o tráfego. Se ocorrer uma falha no dispositivo de gateway do cliente, o gateway privadovirtual direcionará todo o tráfego para o dispositivo de gateway do cliente em funcionamento.
As conexões Site-to-Site VPN roteadas dinamicamente usam o BGP (Border Gateway Protocol) paratrocar informações de roteamento entre os gateways do cliente e os gateways privados virtuais. Asconexões Site-to-Site VPN roteadas estaticamente requerem que as rotas estáticas sejam inseridas narede remota situada no seu lado do gateway do cliente. As informações de rotas anunciadas no BGP einseridas estaticamente permitem que os gateways em ambos os lados determinem a disponibilidadedos túneis e redirecionem o tráfego, caso ocorra uma falha. Recomendamos que configure a rede parausar as informações de roteamento fornecidas pelo BGP (se disponível) e, assim, selecionar um caminhodisponível. A configuração exata depende da arquitetura da rede.
Para obter mais informações sobre como criar e configurar um gateway do cliente e uma conexão Site-to-Site VPN, consulte Conceitos básicos (p. 14).
28
AWS Site-to-Site VPN Guia do usuário
O dispositivo de gateway do clienteUm dispositivo de gateway do cliente é um dispositivo físico ou software situado no seu lado da conexãodo VPN de local para local. Você ou o administrador de rede devem configurar o dispositivo para funcionarcom a conexão do VPN de local para local.
O diagrama a seguir mostra a rede, o gateway do cliente, a conexão VPN que vai para um gatewayprivado virtual (que está anexado à VPC). As duas linhas entre o dispositivo de gateway do cliente e ogateway privado virtual representam os túneis para a conexão VPN. Se houver uma falha no dispositivodentro da AWS, sua conexão VPN realizará automaticamente failover no segundo túnel para que seuacesso não seja interrompido. De tempos em tempos, a AWS também executa manutenção de rotina nogateway privado virtual, o que pode desabilitar brevemente um dos dois túneis da conexão VPN. Duranteessa manutenção, a conexão VPN realizará failover automaticamente no segundo túnel. Ao configurar odispositivo de gateway do cliente, é importante configurar ambos os túneis.
29
AWS Site-to-Site VPN Guia do usuário
Para obter as etapas para configurar uma conexão VPN, consulte Conceitos básicos (p. 14). Durante esseprocesso, é criado um recurso de gateway do cliente na AWS, que fornece informações à AWS sobre odispositivo, por exemplo, seu endereço IP voltado para o público.
Depois de criar a conexão VPN, faça download do arquivo de configuração (p. 20) no console da AmazonVPC, que contém informações específicas para a conexão VPN. Use essas informações para configurar odispositivo de gateway do cliente. Em alguns casos, os arquivos de configuração específicos do dispositivoestão disponíveis para dispositivos que testamos. Caso contrário, é possível fazer download do arquivo deconfiguração genérico.
30
AWS Site-to-Site VPN Guia do usuárioDispositivos de gateway do cliente que testamos
Dispositivos de gateway do cliente que testamosSeu dispositivo de gateway do cliente pode ser um dispositivo físico ou software. Testamos e fornecemosinformações de configuração para os seguintes dispositivos:
• Check Point Security Gateway executando software R77.10 (ou posterior)• Cisco ASA executando o software Cisco ASA 8.2 (ou posterior)• Cisco IOS executando o software Cisco IOS 12.4 (ou posterior)• SonicWALL executando o software SonicOS 5.9 (ou posterior)• Software Fortinet Fortigate 40+ Series executando FortiOS 4.0 (ou posterior)• Juniper J-Series executando o software JunOS 9.5 (ou posterior)• Juniper SRX executando o software JunOS 11.0 (ou posterior)• Juniper SSG executando o software ScreenOS 6.1 ou 6.2 (ou mais recente)• Juniper ISG executando o software ScreenOS 6.1 ou 6.2 (ou mais recente)• Netgate pfSense executando o software OS 2.2.5 (ou posterior).• Software Palo Alto Networks PANOS 4.1.2 (ou posterior)• Roteadores Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 e SRT100• Software Microsoft Windows Server 2008 R2 (ou posterior)• Software Microsoft Windows Server 2012 R2 (ou posterior)• Zyxel Zywall Series executando software 4.20 (ou posterior) para conexões VPN roteadas estaticamente
ou software 4.30 (ou posterior) para conexões VPN roteadas dinamicamente
Se você tem um desses dispositivos, mas o configura para IPsec de maneira diferente do que foiapresentado no arquivo de configuração, é possível alterar nossa configuração sugerida para atender àssuas necessidades.
Requisitos do seu dispositivo de gateway do clienteSe você tem um dispositivo que não está na lista anterior de dispositivos testados, esta seção descreve osrequisitos que o dispositivo deve atender para que seja usado a fim de estabelecer uma conexão do VPNde local para local.
Há quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Os símbolos aseguir representam cada parte da configuração.
Associação de segurança do Internet Key Exchange (IKE). Isso é necessário para trocaras chaves usadas para estabelecer a associação de segurança IPsec.
Associação de segurança IPsec. Isso lida com a criptografia do túnel, com a autenticaçãoe assim por diante.
Interface do túnel. Isso recebe tráfego de e para o túnel.
(Opcional) Emparelhamento de Border Gateway Protocol (BGP) Para dispositivos queusam BGP, isso troca as rotas entre o dispositivo de gateway do cliente e o gatewayprivado virtual.
31
AWS Site-to-Site VPN Guia do usuárioRequisitos do seu dispositivo de gateway do cliente
A tabela a seguir lista os requisitos para o dispositivo de gateway do cliente, o RFC relacionado (parareferência) e comentários sobre os requisitos.
Cada conexão VPN consiste em dois túneis separados. Cada túnel contém uma associação de segurançaIKE, uma associação de segurança IPsec e um emparelhamento de BGP. Você está limitado a um parexclusivo de associação de segurança (SA) por túnel (um de entrada e um de saída) e, portanto, a doispares de SA exclusivos no total para dois túneis (quatro SAs). Alguns dispositivos usam uma VPN baseadaem política e criam a mesma quantidade de SAs que as entradas da ACL. Assim, talvez seja necessárioconsolidar as regras e, depois, filtrar para não permitir o tráfego indesejado.
O túnel VPN surge quando o tráfego é gerado do seu lado da conexão VPN. O AWS endpoint não é oiniciador; seu dispositivo de gateway do cliente deve iniciar os túneis.
Requisito RFC Comentários
Estabelecer associação desegurança IKE
RFC 2409
RFC 7296
A associação de segurança IKE é estabelecida primeiroentre o gateway privado virtual e o dispositivo de gatewaydo cliente usando a chave pré-compartilhada ou umcertificado privado que usa o Autoridade de certificaçãoprivada do AWS Certificate Manager como autenticador.Quando estabelecido, o IKE negocia uma chave efêmerapara proteger futuras mensagens de IKE. Deve haverum acordo completo entre os parâmetros, incluindoparâmetros de criptografia e de autenticação.
Ao criar uma nova conexão VPN na AWS, você poderáespecificar sua própria chave pré-compartilhada paracada túnel ou permitir que a AWS gere uma chave pré-compartilhada para você. Como alternativa, é possívelespecificar o certificado privado usando o Autoridade decertificação privada do AWS Certificate Manager parausar seu dispositivo de gateway do cliente. Para obtermais informações, sobre como configurar túneis da VPN,consulte Opções de túnel de Site-to-Site VPN para suaconexão Site-to-Site VPN (p. 5).
Há suporte para as seguintes versões: IKEv1 e IKEv2.
Na versão IKEv1, há suporte apenas para o modoPrincipal
O serviço VPN de local para local é uma solução combase em rota. Se você estiver usando uma configuraçãocom base em políticas, limite a configuração a uma únicaassociação de segurança (SA).
Estabelecer associações desegurança IPsec no modode túnel
RFC 4301 Usando a chave efêmera de IKE, as chaves sãoestabelecidas entre o gateway privado virtual e odispositivo de gateway do cliente para formar umaassociação de segurança (SA) IPsec. O tráfego entreos gateways é criptografado e descriptografado. usandoessa SA. Usadas para criptografar o tráfego dentro da SAIPsec, as chaves efêmeras são alteradas automática eregularmente pela IKE para garantir a confidencialidadedas comunicações.
32
AWS Site-to-Site VPN Guia do usuárioRequisitos do seu dispositivo de gateway do cliente
Requisito RFC Comentários
Usar a função decriptografia AES de 128 bitsou AES de 256 bits
RFC 3602 A função de criptografia é usada para garantir aprivacidade das associações de segurança IKE e IPsec.
Usar a função de hashingSHA-1 ou SHA-2 (256)
RFC 2404 Essa função de hashing é usada para autenticar asassociações de segurança IKE e IPsec.
Use o Diffie-Hellman PerfectForward Secrecy.
RFC 2409 O IKE usa Diffie-Hellman para estabelecer chavesefêmeras para proteger toda a comunicação entre osdispositivos de gateway do cliente e os gateways privadosvirtuais.
Os seguintes grupos são compatíveis:
• Grupos da fase 1: 2, 14-18, 22, 23 e 24• Grupos da fase 2: 2, 5, 14-18, 22, 23 e 24
Fragmentar pacotes IPantes da criptografia
RFC 4459 Quando os pacotes são muito grandes para sertransmitidos, é necessário fragmentá-los. Os pacotescriptografados fragmentados não são remontados.Portanto, seu dispositivo VPN deve fragmentar os pacotesantes do encapsulamento com os cabeçalhos VPN. Osfragmentos são transmitidos individualmente para o hostremoto que os remontará.
(Conexões VPN roteadasdinamicamente) Usar DeadPeer Detection do IPsec
RFC 3706 O Dead Peer Detection permite que os dispositivos deVPN identifiquem rapidamente quando uma condição derede impede a entrega de pacotes pela Internet. Quandoisso ocorre, os gateways excluem as associações desegurança e tentam criar outras associações. Duranteesse processo, quando possível, o túnel IPsec alternativoé utilizado.
(Conexões VPN roteadasdinamicamente) Vincular otúnel à interface lógica (VPNbaseada em rota)
Nenhum O dispositivo deve ser capaz de vincular o túnel IPseca uma interface lógica. A interface lógica contémum endereço IP que é usado para estabelecer oemparelhamento de BGP com o gateway privado virtual.Essa interface lógica não deve executar encapsulamentoadicional (por exemplo, GRE ou IP em IP). A interfacedeve ser configurada para uma Maximum TransmissionUnit (MTU) de 1.399 bytes.
(Conexões VPN roteadasdinamicamente) Estabeleceremparelhamentos de BGP
RFC 4271 O BGP é usado para trocar as rotas entre o dispositivode gateway do cliente e o gateway privado virtual paradispositivos que usam o BGP. Todo o tráfego de BGP écriptografado e transmitido por meio da associação desegurança IPsec. O BGP é necessário para que ambos osgateways troquem os prefixos IP que são acessíveis pormeio da SA de IPsec.
A redução da quantidade de dados transmissíveis em um único pacote deve-se ao fato da conexãoencapsular pacotes com cabeçalhos de rede adicionais (incluindo IPsec). Recomendamos o uso dastécnicas listadas na tabela a seguir para ajudar a minimizar os problemas relacionados à quantidade dedados que podem ser transmitidos pelo túnel IPsec.
33
AWS Site-to-Site VPN Guia do usuárioConfigurar um firewall entre a Internete o dispositivo de gateway do cliente
Técnica RFC Comentários
Ajustar o tamanho máximodo segmento de pacotesTCP que podem entrar notúnel VPN
RFC 4459 Os pacotes TCP são frequentemente o tipo de pacote quemais comum nos túneis IPsec. Alguns gateways podemalterar o parâmetro de tamanho máximo do segmentoTCP. Isso faz com que os endpoints TCP (clientes,servidores) reduzam a quantidade de dados enviadoscom cada pacote. Essa é uma abordagem ideal, já que ospacotes que chegam aos dispositivos VPN são pequenoso suficiente para serem encapsulados e transmitidos.
Redefinir o sinalizador "Nãofragmentar" nos pacotes
RFC 791 Alguns pacotes carregam um sinalizador chamado de Nãofragmentar (DF), que indica que o pacote não deve serfragmentado. Quando os pacotes usam o sinalizador, osgateways geram uma mensagem de MTU de caminhoICMP excedido. Em alguns casos, os aplicativos nãopossuem mecanismos adequados para processar essasmensagens ICMP e para reduzir a quantidade de dadostransmitidos em cada pacote. Alguns dispositivos VPNpodem substituir o sinalizador DF e fragmentar os pacotesincondicionalmente, se necessário. Se o dispositivo degateway do cliente tiver essa capacidade, recomendamoso uso, conforme apropriado.
Uma conexão VPN da AWS não oferece suporte a Path MTU Discovery (RFC 1191).
Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte Configurar um firewallentre a Internet e o dispositivo de gateway do cliente (p. 34).
Configurar um firewall entre a Internet e odispositivo de gateway do cliente
É necessário ter um endereço IP roteável na Internet para usar como o endpoint para os túneis IPsecque conectam o dispositivo de gateway do cliente ao gateway privado virtual. Se houver um firewall entrea Internet e o seu gateway, será necessário instalar as regras das tabelas a seguir para estabelecer ostúneis IPsec. Os endereços do gateway privado virtual estão no arquivo de configuração.
Entrada (pela Internet)
Regra de entrada I1
IP de origem Gateway privado virtual 1
Dest IP Gateway cliente
Protocolo UDP
Porta de origem 500
Destino 500
Regra de entrada I2
IP de origem Gateway privado virtual 2
34
AWS Site-to-Site VPN Guia do usuárioConfigurar um firewall entre a Internete o dispositivo de gateway do cliente
Dest IP Gateway cliente
Protocolo UDP
Porta de origem 500
Porta de destino 500
Regra de entrada I3
IP de origem Gateway privado virtual 1
Dest IP Gateway cliente
Protocolo IP 50 (ESP)
Regra de entrada I4
IP de origem Gateway privado virtual 2
Dest IP Gateway cliente
Protocolo IP 50 (ESP)
Saída (para a Internet)
Regra de saída O1
IP de origem Gateway cliente
Dest IP Gateway privado virtual 1
Protocolo UDP
Porta de origem 500
Porta de destino 500
Regra de saída O2
IP de origem Gateway cliente
Dest IP Gateway privado virtual 2
Protocolo UDP
Porta de origem 500
Porta de destino 500
Regra de saída O3
IP de origem Gateway cliente
Dest IP Gateway privado virtual 1
Protocolo IP 50 (ESP)
Regra de saída O4
IP de origem Gateway cliente
35
AWS Site-to-Site VPN Guia do usuárioCenários de várias conexões VPN
Dest IP Gateway privado virtual 2
Protocolo IP 50 (ESP)
As regras I1, I2, O1 e O2 permitem a transmissão de pacotes IKE. As regras I3, I4, O3 e O4 permitem atransmissão de pacotes IPsec que contêm o tráfego de rede criptografado.
Caso esteja usando NAT transversal (NAT-T) no dispositivo, será necessário incluir regras que permitamacesso UDP pela porta 4500. Verifique se o seu dispositivo está anunciando NAT-T.
Cenários de várias conexões VPNVeja a seguir os cenários em que você pode criar várias conexões VPN com um ou mais dispositivos degateway do cliente.
Várias conexões VPN usando o mesmo dispositivo de gateway do cliente
É possível criar conexões VPN adicionais do local para outras VPCs usando o mesmo dispositivo degateway do cliente. É possível reutilizar o mesmo endereço IP de gateway do cliente para cada uma dasconexões VPN.
Conexão VPN redundante usando um segundo dispositivo de gateway do cliente
Para se proteger contra uma perda de conectividade, caso o dispositivo de gateway do cliente fiqueindisponível, é possível configurar uma segunda conexão VPN usando um segundo dispositivo de gatewaydo cliente. Para obter mais informações, consulte Usar conexões Site-to-Site VPN redundantes parafornecer failover (p. 26). Ao estabelecer dispositivos de gateway do cliente redundantes em uma únicalocalização, os dois dispositivos devem anunciar os mesmos intervalos de IP.
Vários dispositivos de gateway do cliente para um único gateway privado virtual (AWS VPN CloudHub)
É possível estabelecer várias conexões VPN com um único gateway privado virtual a partir de váriosgateways do cliente. Isso permite que você tenha vários locais conectados ao AWS VPN CloudHub. Paraobter mais informações, consulte Garantir a segurança da comunicação entre os sites, usando o VPNCloudHub (p. 24). Quando há dispositivos de gateway do cliente em várias localizações geográficas, cadadispositivo deve anunciar um conjunto exclusivo de intervalos de IP específicos da localização.
Roteamento para o dispositivo de gateway docliente
A AWS recomenda anunciar rotas BGP específicas para influenciar decisões de roteamento no gatewayprivado virtual. Verifique as informações sobre comandos específicos do dispositivo na documentação dofornecedor.
Ao criar várias conexões VPN, o gateway privado virtual envia tráfego de rede para a conexão VPNapropriada, usando rotas atribuídas estaticamente ou anúncios de rotas de BGP. Qual rota será usadadependerá de como a conexão VPN foi configurada. Quando há rotas idênticas no gateway privado virtual,deve-se preferir as rotas atribuídas estaticamente, em detrimento das rotas anunciadas pela BGP. Se vocêoptar por usar o anúncio do BGP, não poderá especificar rotas estáticas.
Para obter mais informações sobre prioridade de rotas, consulte Tabelas de rotas e prioridade de rota daVPN (p. 12).
36
AWS Site-to-Site VPN Guia do usuárioExemplo de configurações para roteamento estático
Exemplo de configurações de dispositivos degateway do cliente para roteamento estático
Tópicos• Exemplo de arquivos de configuração (p. 37)• Procedimentos da interface do usuário para roteamento estático (p. 39)• Informações adicionais para dispositivos Cisco (p. 48)• Testes (p. 49)
Exemplo de arquivos de configuraçãoVocê pode fazer download do static-routing-examples.zip para visualizar exemplos de arquivos deconfiguração para os seguintes dispositivos de gateway do cliente:
• Cisco ASA executando o Cisco ASA 8.2+• Cisco ASA executando o Cisco ASA 9.7.1+• Cisco IOS executando o Cisco IOS• Série Cisco Meraki MX executando 9.0+• Citrix Netscaler CloudBridge executando NS 11+• Cyberoam CR15iNG executando V 10.6.5 MR-1• Redes F5 BIG-IP executando v12.0.0+• Fortinet Fortigate 40+ Series executando FortiOS 4.0+• Configuração genérica para roteamento estático• H3C MSR800 executando a versão 5.20• IIJ SEIL/B1 executando SEIL/B1 3.70+• Mikrotik RouterOS executando 6.36• Openswan executando 2.6.38+• pfSense executando o SO 2.2.5 +• SonicWALL executando SonicOS 5.9 ou 6.2• Strongswan Ubuntu 16.04 executando o Strongswan 5.5.1+• WatchGuard XTM, Firebox executando o Fireware OS 11.11.4• Zyxel Zywall executando o Zywall 4.20+
Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
• Valores de exemplo para o ID da conexão VPN e o ID do gateway privado virtual• Espaços reservados para os endpoints da AWS remotos (externos) de endereços IP (AWS_ENDPOINT_1
e AWS_ENDPOINT_2)• Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de
gateway do cliente (your-cgw-ip-address)• Valores de exemplo para o túnel dentro de endereços IP.
Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos do IKEversão 1, AES128, SHA1 e DH Group 2 na maioria das regiões da AWS. Eles também especificamchaves pré-compartilhadas para autenticação (p. 8). Você deve modificar os arquivos de configuração de
37
AWS Site-to-Site VPN Guia do usuárioExemplo de arquivos de configuração
exemplo para aproveitar o IKE versão 2, AES256, SHA256, outros grupos DH, como 2, 14-18, 22, 23 e 24e certificados privados.
O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo degateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.
Para fazer download de um arquivo de configuração com valores específicos para sua configuração deconexão VPN, use o console da Amazon VPC. Para obter mais informações, consulte Fazer download doarquivo de configuração (p. 20).
38
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
Procedimentos da interface do usuário pararoteamento estáticoVeja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do clienteusando sua interface de usuário (se disponível).
Check Point
As etapas a seguir deverão ser executadas para configurar o dispositivo de gateway do cliente, se elefor um dispositivo Check Point Security Gateway que executa o R77.10 ou superior, usando o sistemaoperacional Gaia e o Check Point SmartDashboard. Para obter mais informações, consulteCheckPoint Security Gateway IPsec VPN to Amazon Web Services VPC no Check Point Support Center.
Para configurar a interface do túnel
O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gatewaydo cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informaçõesfornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Para criar o segundo túnel, useos valores fornecidos na seção IPSec Tunnel #2 do arquivo de configuração.
1. Abra o portal Gaia do dispositivo Check Point Security Gateway.2. Escolha Network Interfaces, Add, VPN tunnel.3. Na caixa de diálogo, defina as configurações como a seguir e escolha OK ao concluir:
• Em VPN Tunnel ID, insira qualquer valor único exclusivo, como 1.• Em Peer, insira um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1 orAWS_VPC_Tunnel_2.
• Confirme se Numbered (Numerado) está selecionado e, em Local Address (Endereço local),insira o endereço IP especificado para CGW Tunnel IP no arquivo de configuração; porexemplo, 169.254.44.234.
• Em Remote Address, insira o endereço IP especificado para VGW Tunnel IP no arquivo deconfiguração; por exemplo, 169.254.44.233.
39
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
4. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude paraclish executando o comando a seguir: clish
5. Para o túnel 1, execute o comando a seguir:
set interface vpnt1 mtu 1436
Para o túnel 2, execute o comando a seguir:
set interface vpnt2 mtu 1436
6. Repita essas etapas para criar um segundo túnel, usando as informações na seção IPSecTunnel #2 do arquivo de configuração.
Para configurar rotas estáticas
Nesta etapa, especifique a rota estática para a sub-rede na VPC de cada túnel para poder enviartráfego pelas interfaces de túnel. O segundo túnel permite failover, caso haja um problema com oprimeiro túnel. Se um problema é detectado, a rota estática baseada na política é removida da tabelade roteamento e a segunda rota é ativada. Você deve também ativar o gateway do Check Point paraexecutar ping na outra extremidade do túnel e verificar se o túnel está ativo.
40
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
1. No portal Gaia, escolha IPv4 Static Routes, Add.2. Especifique o CIDR de sua sub-rede; por exemplo, 10.28.13.0/24.3. Escolha Add Gateway, IP Address.4. Insira o endereço IP especificado para VGW Tunnel IP no arquivo de configuração (por
exemplo, 169.254.44.233) e especifique 1 como prioridade.5. Selecione Ping.6. Repita as etapas 3 e 4 para o segundo túnel, usando o valor VGW Tunnel IP na seção IPSec
Tunnel #2 do arquivo de configuração. Especifique 2 como prioridade.
7. Escolha Save (Salvar).
Se estiver usando um cluster, repita as etapas anteriores para os outros membros do cluster.
Para definir um novo objeto de rede
Nesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IPpúblicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de
41
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupovazio para funcionar como espaço reservado para o domínio de VPN.
1. Abra o Check Point SmartDashboard.2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo
grupo para cada objeto de rede.3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New,
Interoperable Device.4. Em Name (Nome), insira o nome que você forneceu para o túnel; por exemplo,
AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de
configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.
6. No SmartDashboard, abra as propriedades do gateway e, no painel de categoria, escolhaTopology.
7. Para recuperar a configuração da interface, escolha Get Topology.8. Na seção VPN Domain (Domínio da VPN), escolha Manually defined (Definido manualmente) e
procure e selecione o grupo vazio simples criado na etapa 2. Escolha OK.
Note
Você pode manter qualquer domínio de VPN existente que configurou. Entretanto,verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPNnão estão declarados nesse domínio de VPN, especialmente se esse domínio de VPNfor originado automaticamente.
9. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seçãoIPSec Tunnel #2 do arquivo de configuração.
Note
Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster.Use os endereços IP especificados no arquivo de configuração.
42
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec
Nesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetosde rede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações doInternet Key Exchange (IKE) e do IPsec.
1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.2. Escolha Communities, New, Star Community.3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center
Gateways no painel de categoria.4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.5. No painel de categoria, escolha Satellite Gateways (Gateways secundários), Add (Adicionar) e
adicione os dispositivos interoperáveis que você criou anteriormente (AWS_VPC_Tunnel_1 eAWS_VPC_Tunnel_2) à lista de gateways participantes.
6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 only. Naseção Encryption Suite, escolha Custom, Custom Encryption.
7. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha OK aoconcluir:
• Propriedades da associação de segurança IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA-1
• Propriedades da associação de segurança IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1
8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On alltunnels in the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gatewaypair.
9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.10. Selecione o nome do par do primeiro túnel, escolha Edit (Editar) e insira a chave pré-
compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #1.11. Selecione o nome do par do segundo túnel, escolha Edit (Editar) e insira a chave pré-
compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #2.
43
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
12. Ainda na categoria Advanced Settings (Configurações avançadas), selecione Advanced VPNProperties (Propriedades avançadas da VPN), configure as propriedades da forma a seguir eescolha OK ao concluir:
• IKE (fase 1):• Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2• Renegotiate IKE security associations every 480 minutes
• IPsec (fase 2):• Escolha Use Perfect Forward Secrecy• Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2• Renegotiate IPsec security associations every 3600 seconds
Para criar regras de firewall
Nesta etapa, você configurará uma politica com regras de firewall e regras de correspondênciadirecional que permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará apolítica em seu gateway.
1. No SmartDashboard, escolha Global Properties para seu gateway. No painel de categoria,expanda VPN e escolha Advanced.
2. Escolha Enable VPN Directional Match in VPN Column e salve suas alterações.3. No SmartDashboard, escolha Firewall e crie uma política com as regras a seguir:
44
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
• Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.• Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.
4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as
regras de correspondência direcional a seguir escolhendo Add para cada uma e escolha OK aoconcluir:
• internal_clear > comunidade VPN (a comunidade estrela da VPN que você criouanteriormente, por exemplo, AWS_VPN_Star)
• VPN community > VPN community• VPN community > internal_clear
6. No SmartDashboard, escolha Policy, Install.7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.
Para modificar a propriedade tunnel_keepalive_method
O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando umaassociação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanenteprecisa ser configurado na comunidade AWS VPN (consulte a Etapa 8).
Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configuradacomo tunnel_test. Você precisa alterar o valor para dpd. Cada gateway de VPN nacomunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedadetunnel_keepalive_method, incluindo qualquer gateway de VPN de terceiros. Você não podeconfigurar diferentes mecanismos de monitoramento para o mesmo gateway.
Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.
1. Abra o Check Point SmartDashboard e escolha Security Management Server, DomainManagement Server.
2. Escolha File, Database Revision Control... e crie um snapshot de revisão.3. Feche todas as janelas do SmartConsole, como SmartDashboard, SmartView Tracker e
SmartView Monitor.4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point
Database Tool no Check Point Support Center.5. Escolha Security Management Server, Domain Management Server.6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.8. Pressione CTRL+F ou use o menu Search para procurar o seguinte:
tunnel_keepalive_method.9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e escolha Edit...
(Editar). Escolha dpd e OK.10. Repita as etapas 7 a 9 para cada gateway que fizer parte da comunidade VPN da AWS.11. Escolha File, Save All.12. Feche a ferramenta GuiDBedit.13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain
Management Server.14. Instale a política no objeto Security Gateway, Cluster pertinente.
Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point SupportCenter.
45
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
Para ativar o ajuste de MSS TCP
O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir afragmentação de pacotes.
1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.
2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.3. Escolha Table, Global Properties, properties.4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e escolha OK.
Como verificar o status do túnel
Você pode verificar o status do túnel executando o comando a seguir na ferramenta da linha decomando, no modo especialista.
vpn tunnelutil
Nas opções exibidas, escolha 1 para verificar as associações de IKE e 2 para verificar as associaçõesde IPsec.
Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexãoestão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foicriptografada.
46
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento estático
SonicWALL
O procedimento a seguir demonstra como configurar os túneis VPN no dispositivo SonicWALL usandoa interface de gerenciamento SonicOS.
Para configurar os túneis
1. Abra a interface de gerenciamento SonicWALL SonicOS.2. No painel esquerdo, escolha VPN, Configurações. Em VPN Policies, escolha Adicionar....3. Na janela de política VPN na guia Geral , conclua com as seguintes informações:
• Policy Type (Tipo de política): escolha Tunnel Interface (Interface do túnel).• Em Método de autenticação: Escolha IKE using Preshared Secret.• Nome: Insira um nome para a política VPN. Recomendamos que você use o nome do ID VPN,
conforme fornecido no arquivo de configuração.• IPsec Primary Gateway Name or Address (Nome ou endereço do gateway IPsec principal):
insira o endereço IP do gateway privado virtual (endpoint da AWS) conforme fornecido noarquivo de configuração (por exemplo, 72.21.209.193).
• Nome ou endereço IPsec Secondary Gateway: Deixe o valor padrão.
47
AWS Site-to-Site VPN Guia do usuárioInformações adicionais para dispositivos Cisco
• Shared Secret: Insira a chave pré-compartilhada conforme fornecida no arquivo deconfiguração, e insira-a novamente em Confirm Shared Secret.
• Local IKE ID: insira o endereço IPv4 do gateway do cliente (o dispositivo SonicWALL).• Peer IKE ID: Insira o endereço IPv4 do gateway privado virtual (endpoint da AWS).
4. Na guia Network, conclua com as seguintes informações:
• Em Local Networks, escolha Any address. Recomendamos esta opção para evitar problemasde conectividade na rede local.
• Em Remote Networks, escolha Choose a destination network from list. Crie um objeto deendereço com o CIDR da VPC na AWS.
5. Na guia Proposals (Propostas) conclua com as seguintes informações.
• Em IKE (Phase 1) Proposal, faça o seguinte:• Exchange: Escolha Main Mode.• DH Group (Grupo DH): insira um valor para o grupo Diffie-Hellman (por exemplo, 2).• Encryption: Escolha AES-128 ou AES-256.• Autenticação: Escolha SHA1 ou SHA256.• Life Time: Insira 28800.
• Em IKE (Phase 2) Proposal, faça o seguinte:• Protocol: Escolha ESP.• Encryption: Escolha AES-128 ou AES-256.• Autenticação: Escolha SHA1 ou SHA256.• Selecione a caixa de seleção Enable Perfect Forward Secrecy e escolha o grupo Diffie-
Hellman.• Life Time: Insira 3600.
Important
Se criou o gateway privado virtual antes de outubro de 2015, você deve especificar Diffie-Hellman grupo 2, AES-128 e SHA1 para ambas as fases.
6. Na guia Advanced conclua com as seguintes informações:
• Selecione Enable Keep Alive.• Selecione Enable Phase2 Dead Peer Detection e insira o seguinte:
• Em Dead Peer Detection Interval, insira 60 (este é o mínimo que o dispositivo SonicWALLaceita).
• Em Failure Trigger Level, insira 3.• Em VPN Policy bound to, selecione Interface X1. Essa é a interface designada normalmente
para endereços IP públicos.7. Escolha OK. Na página Configurações a caixa de seleção Habilitar para o túnel deve ser
selecionada por padrão. Um ponto verde indica que o túnel está ativo.
Informações adicionais para dispositivos CiscoAlguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possível ter somenteum túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essaredundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.
48
AWS Site-to-Site VPN Guia do usuárioTestes
Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deveráter conectividade com sua VPC por meio de um dos túneis.
Para dispositivos Cisco, é necessário fazer o seguinte:
• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garanta que o número Crypto List Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com
qualquer outro túnel IPsec configurado no dispositivo.• Garantir que o número de monitoramento de SLA seja exclusivo.• Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.
TestesPara obter mais informações sobre como testar sua conexão VPN de local para local, consulte Testar aconexão Site-to-Site VPN (p. 116).
Exemplo de configurações de dispositivos degateway do cliente para roteamento dinâmico(BGP)
Tópicos• Exemplo de arquivos de configuração (p. 37)• Procedimentos da interface do usuário para roteamento dinâmico (p. 51)• Informações adicionais para dispositivos Cisco (p. 59)• Informações adicionais para dispositivos Juniper (p. 60)• Testes (p. 60)
Exemplo de arquivos de configuraçãoÉ possível fazer download de dynamic-routing-examples.zip para visualizar exemplos de arquivos deconfiguração para os seguintes dispositivos de gateway do cliente:
• Barracuda NextGen Firewall F-series executando 6.2+• Cisco ASA executando o Cisco ASA 9.7.1+• Cisco IOS executando o software Cisco IOS 12.4+• Redes F5 BIG-IP executando v12.0.0+• Fortinet Fortigate 40+• Configuração genérica para roteamento dinâmico• H3C MSR800 executando a versão 5.20• IIJ SEIL/B1 executando SEIL/B1 3.70+
49
AWS Site-to-Site VPN Guia do usuárioExemplo de arquivos de configuração
• Juniper J-Series executando o software JunOS 9.5+• Juniper SRX executando JunOS 11.0+• Juniper SSG ou Netscreen executando Juniper ScreenOS 6.1+• Mikrotik RouterOS executando 6.36• Palo Alto Networks executando PANOS 4.1.2+• SonicWALL executando SonicOS 5.9 ou 6.2• Sophos ASG executando V8.300+• Vyatta executando o Network OS 6.5+• WatchGuard XTM, Firebox executando o Fireware OS 11.12.2+• Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 ou SRT100• Zyxel ZyWALL executando ZLD 4.3+
Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
• Valores de exemplo para o ID da conexão VPN e o ID do gateway privado virtual• Espaços reservados para os endpoints da AWS remotos (externos) de endereços IP (AWS_ENDPOINT_1
e AWS_ENDPOINT_2)• Espaços reservados para o endereço IP da interface externa roteável pela Internet no dispositivo de
gateway do cliente (your-cgw-ip-address) e o BGP ASN.• Valores de exemplo para o túnel dentro de endereços IP.
Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos do IKEversão 1, AES128, SHA1 e DH Group 2 na maioria das regiões da AWS. Eles também especificamchaves pré-compartilhadas para autenticação (p. 8). Você deve modificar os arquivos de configuração deexemplo para aproveitar o IKE versão 2, AES256, SHA256, outros grupos DH, como 2, 14-18, 22, 23 e 24e certificados privados.
O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo degateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.
50
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
Para fazer download de um arquivo de configuração com valores específicos para sua configuração deconexão VPN, é necessário usar o console da Amazon VPC. Para obter mais informações, consulte Fazerdownload do arquivo de configuração (p. 20).
Procedimentos da interface do usuário pararoteamento dinâmicoVeja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do clienteusando sua interface de usuário (se disponível).
51
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
Check Point
Veja a seguir as etapas para configurar um dispositivo Check Point Security Gateway que executaR77.10 ou posterior, usando o portal web Gaia e o Check Point SmartDashboard. Você também podeconsultar o artigo Amazon Web Services (AWS) VPN BGP no Check Point Support Center.
Para configurar a interface do túnel
O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gatewaydo cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informaçõesfornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Para criar o segundo túnel, useos valores fornecidos na seção IPSec Tunnel #2 do arquivo de configuração.
1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude paraclish executando o comando a seguir: clish
2. Defina o ASN do gateway do cliente (o ASN fornecido quando o gateway do cliente foi criado naAWS) executando o comando a seguir.
set as 65000
3. Crie a interface para o primeiro túnel, usando as informações fornecidas na seção IPSecTunnel #1 do arquivo de configuração. Forneça um nome exclusivo para seu túnel, comoAWS_VPC_Tunnel_1.
add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436
4. Repita esses comandos para criar o segundo túnel, usando as informações fornecidas na seçãoIPSec Tunnel #2 do arquivo de configuração. Forneça um nome exclusivo para seu túnel,como AWS_VPC_Tunnel_2.
add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436
5. Defina o ASN do gateway privado virtual:
set bgp external remote-as 7224 on
6. Configure o BGP para o primeiro túnel, usando as informações fornecidas na seção IPSecTunnel #1 do arquivo de configuração:
set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
7. Configure o BGP para o segundo túnel, usando as informações fornecidas na seção IPSecTunnel #2 do arquivo de configuração:
set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
8. Salve a configuração.
52
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
save config
Para criar uma política de BGP
Depois, crie uma política de BGP que permite a importação das rotas anunciadas pela AWS. Emseguida, configure seu gateway do cliente para anunciar suas rotas locais para a AWS.
1. Na Gaia WebUI, escolha Advanced Routing, Inbound Route Filters. Escolha Add e selecione AddBGP Policy (Based on AS).
2. Em Add BGP Policy (Adicionar política de BGP), selecione um valor entre 512 e 1024 no primeirocampo e insira o ASN do gateway privado virtual no segundo campo (por exemplo, 7224).
3. Escolha Save (Salvar).
Para anunciar rotas locais
As etapas a seguir destinam-se à distribuição de rotas de interface locais. Além disso, você poderedistribuir as rotas de diferentes origens (por exemplo, rotas estáticas ou rotas obtidas por meio deprotocolos de roteamento dinâmico). Para obter mais informações, consulte Gaia Advanced RoutingR77 Versions Administration Guide.
1. Na Gaia WebUI, escolha Advanced Routing, Routing Redistribution. Selecione Add RedistributionFrom (Adicionar redistribuição de) e escolha Interface.
2. Em To Protocol (Para o protocolo), selecione o ASN do gateway privado virtual (por exemplo,7224).
3. Em Interface, selecione uma interface interna. Escolha Salvar.
Para definir um novo objeto de rede
Depois, crie um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos(externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de redecomo gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vaziopara funcionar como espaço reservado para o domínio de VPN.
1. Abra o Check Point SmartDashboard.2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo
grupo para cada objeto de rede.3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New,
Interoperable Device.4. Em Name (Nome), insira o nome que você forneceu para o túnel na etapa 1, por exemplo,
AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de
configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.
53
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
6. No painel de categoria, escolha Topology.7. Na seção VPN Domain (Domínio da VPN), escolha Manually defined (Definido manualmente) e
procure e selecione o grupo vazio simples criado na etapa 2. Escolha OK.8. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção
IPSec Tunnel #2 do arquivo de configuração.9. Acesse o objeto de rede do gateway, abra o gateway ou objeto do cluster e escolha Topology.10. Na seção VPN Domain (Domínio da VPN), escolha Manually defined (Definido manualmente) e
procure e selecione o grupo vazio simples criado na etapa 2. Escolha OK.
Note
Você pode manter qualquer domínio de VPN existente que configurou. Entretanto,verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPNnão estão declarados nesse domínio de VPN, especialmente se esse domínio de VPNfor originado automaticamente.
Note
Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster.Use os endereços IP especificados no arquivo de configuração.
Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec
Depois, crie uma comunidade VPN no gateway do Check Point, à qual você adicionará objetos derede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações doInternet Key Exchange (IKE) e do IPsec.
1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.2. Escolha Communities, New, Star Community.3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center
Gateways no painel de categoria.4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.5. No painel de categoria, selecione Satellite Gateways (Gateways secundários), Add (Adicionar)
e adicione os dispositivos interoperáveis criados anteriormente (AWS_VPC_Tunnel_1 eAWS_VPC_Tunnel_2) à lista de gateways participantes.
54
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 for IPv4and IKEv2 for IPv6. Na seção Encryption Suite, escolha Custom, Custom Encryption.
Note
É necessário selecionar a opção IKEv1 for IPv4 and IKEv2 for IPv6 (IKEv1 para IPv4 eIKEv2 para IPv6) para a funcionalidade IKEv1. Essa é a opção correta, mesmo que oIKEv2 e o IPv6 não sejam compatíveis no momento.
7. Na caixa de diálogo, configure as propriedades de criptografia como indicado a seguir e selecioneOK ao concluir:
• Propriedades da associação de segurança IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA-1
• Propriedades da associação de segurança IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1
8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On alltunnels in the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gatewaypair.
9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.10. Selecione o nome do par do primeiro túnel, escolha Edit (Editar) e insira a chave pré-
compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #1.11. Selecione o nome do par do segundo túnel, escolha Edit (Editar) e insira a chave pré-
compartilhada conforme especificado no arquivo de configuração na seção IPSec Tunnel #2.
55
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
12. Ainda na categoria Advanced Settings (Configurações avançadas), selecione Advanced VPNProperties (Propriedades avançadas da VPN), configure as propriedades da forma a seguir eescolha OK ao concluir:
• IKE (fase 1):• Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes
• IPsec (fase 2):• Escolha Use Perfect Forward Secrecy• Use Diffie-Hellman group (Usar grupo Diffie-Hellman): Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds
Para criar regras de firewall
Depois, configure uma politica com regras de firewall e regras de correspondência direcional quepermitam a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seugateway.
1. No SmartDashboard, escolha Global Properties para seu gateway. No painel de categoria,expanda VPN e escolha Advanced.
2. Escolha Enable VPN Directional Match in VPN Column e clique em OK.3. No SmartDashboard, escolha Firewall e crie uma política com as regras a seguir:
56
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
• Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.• Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.
4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as
regras de correspondência direcional a seguir selecionando Add (Adicionar) para cada uma eselecione OK ao concluir:
• internal_clear > comunidade VPN (a comunidade estrela da VPN que você criouanteriormente, por exemplo, AWS_VPN_Star)
• VPN community > VPN community• VPN community > internal_clear
6. No SmartDashboard, escolha Policy, Install.7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.
Para modificar a propriedade tunnel_keepalive_method
O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando umaassociação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanenteprecisa ser configurado na comunidade VPN da AWS.
Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configuradacomo tunnel_test. Você precisa alterar o valor para dpd. Cada gateway de VPN nacomunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedadetunnel_keepalive_method, incluindo qualquer gateway de VPN de terceiros. Você não podeconfigurar diferentes mecanismos de monitoramento para o mesmo gateway.
Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.
1. Abra o Check Point SmartDashboard e escolha Security Management Server, DomainManagement Server.
2. Escolha File, Database Revision Control... e crie um snapshot de revisão.3. Feche todas as janelas do SmartConsole, como SmartDashboard, SmartView Tracker e
SmartView Monitor.4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point
Database Tool no Check Point Support Center.5. Escolha Security Management Server, Domain Management Server.6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.8. Pressione CTRL+F ou use o menu Search para procurar o seguinte:
tunnel_keepalive_method.9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e selecione
Edit.... Escolha dpd, OK.10. Repita as etapas 7 a 9 para cada gateway que fizer parte da comunidade VPN da AWS.11. Escolha File, Save All.12. Feche a ferramenta GuiDBedit.13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain
Management Server.14. Instale a política no objeto Security Gateway, Cluster pertinente.
Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point SupportCenter.
57
AWS Site-to-Site VPN Guia do usuárioProcedimentos da interface do
usuário para roteamento dinâmico
Para ativar o ajuste de MSS TCP
O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir afragmentação de pacotes.
1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.
2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.3. Escolha Table, Global Properties, properties.4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e selecione OK.
Como verificar o status do túnel
Você pode verificar o status do túnel executando o comando a seguir na ferramenta da linha decomando, no modo especialista.
vpn tunnelutil
Nas opções exibidas, escolha 1 para verificar as associações de IKE e 2 para verificar as associaçõesde IPsec.
Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexãoestão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foicriptografada.
58
AWS Site-to-Site VPN Guia do usuárioInformações adicionais para dispositivos Cisco
SonicWALL
É possível configurar um dispositivo SonicWALL usando a interface de gerenciamento SonicOS.Para obter mais informações sobre a configuração de túneis, consulte Procedimentos da interface dousuário para roteamento estático (p. 39).
Não é possível configurar o BGP para o dispositivo, usando a interface de gerenciamento. Em vezdisso, use as instruções da linha de comando fornecidas no arquivo de configuração de exemplo, naseção chamada BGP.
Informações adicionais para dispositivos CiscoAlguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possível ter somenteum túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essaredundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.
Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deveráter conectividade com sua VPC por meio de um dos túneis.
59
AWS Site-to-Site VPN Guia do usuárioInformações adicionais para dispositivos Juniper
Para dispositivos Cisco, é necessário fazer o seguinte:
• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garanta que o número Crypto List Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com
qualquer outro túnel IPsec configurado no dispositivo.• Garantir que o número de monitoramento de SLA seja exclusivo.• Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.
Informações adicionais para dispositivos JuniperAs informações a seguir se aplicam aos arquivos de configuração de exemplo para dispositivos degateway do cliente Juniper J-Series e SRX.
• A interface externa é chamada de ge-0/0/0.0.• Os IDs da interface do túnel são chamados de st0.1 e st0.2.• Certifique-se de identificar a zona de segurança da interface de uplink (as informações de configuração
usam a zona padrão "untrust").• Certifique-se de identificar a zona de segurança da interface interna (as informações de configuração
usam a zona padrão "trust").
TestesPara obter mais informações sobre como testar sua conexão VPN de local para local, consulte Testar aconexão Site-to-Site VPN (p. 116).
Configurar o Windows Server 2008 R2 como umdispositivo de gateway do cliente
É possível configurar o Windows Server 2008 R2 como um dispositivo de gateway do cliente para a VPC.Use o processo a seguir se estiver executando o Windows Server 2008 R2 em uma instância do EC2, emuma VPC ou em seu próprio servidor.
Tópicos• Configurar o servidor do Windows (p. 61)• Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 61)• Etapa 2: Fazer download do arquivo de configuração para a conexão VPN (p. 62)• Etapa 3: Configurar o servidor do Windows (p. 63)• Etapa 4: Configurar o túnel VPN (p. 65)• Etapa 5: Habilitar a detecção de gateway inativo (p. 71)• Etapa 6: Testar a conexão VPN (p. 71)
60
AWS Site-to-Site VPN Guia do usuárioConfigurar o servidor do Windows
Configurar o servidor do WindowsPara configurar o Windows Server como um dispositivo de gateway do cliente, verifique se o WindowsServer 2008 R2 está instalado na sua própria rede ou em uma instância do EC2 em uma VPC. Se usaruma instância do EC2 executada de uma AMI do Windows, faça o seguinte:
• Desative a verificação de origem/destino da instância:1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione a instância do Windows Server e escolha Actions, Networking, Change Source/Dest.
Check. Escolha Yes, Disable.• Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:
1. Conecte-se à sua instância do Windows. Para obter mais informações, consulte Conectar-se à suainstância do Windows.
2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.3. Expanda o nó Adaptadores de rede.4. Abra o menu de contexto (clique com o botão direito do mouse) para o adaptador de rede Citrix ou
AWS PV e escolha Properties (Propriedades).5. Na guia Advanced, desative as propriedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4)
e UDP Checksum Offload (IPv4) e escolha OK.• Aloque um endereço IP elástico à sua conta e associe-o à instância. Para obter mais informações,
consulte Trabalhar com endereços IP elásticos. Anote este endereço; ele será necessário quando vocêcriar o gateway do cliente na sua VPC.
• Verifique se as regras do grupo de segurança da instância permitem tráfego IPsec de saída. Por padrão,um grupo de segurança permite todo o tráfego de saída. No entanto, se as regras de saída do grupode segurança tiverem sido modificadas em relação ao seu estado original, crie as seguintes regraspersonalizadas de protocolo de saída para o tráfego IPsec: protocolo IP 50, protocolo IP 51 e UDP 500.
Anote o intervalo de CIDRs da rede na qual o servidor Windows está localizado; por exemplo,172.31.0.0/16.
Etapa 1: Criar uma conexão VPN e configurar a VPCPara criar uma conexão VPN na VPC, você deve primeiro criar um gateway privado virtual e associá-lo àVPC. Para obter mais informações, consulte Criar um gateway privado virtual (p. 16).
Depois, crie uma conexão VPN e um novo gateway do cliente. Para o gateway do cliente, especifique oendereço IP público do servidor Windows. Para a conexão VPN, escolha roteamento estático e insira ointervalo CIDR para sua rede na qual o servidor Windows está localizado, por exemplo, 172.31.0.0/16.Para obter mais informações, consulte Criar uma conexão Site-to-Site VPN (p. 19).
Para configurar a VPC
• Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para inicializar instâncias que secomunicarão com o servidor Windows. Para obter mais informações, consulte Adicionar uma sub-rede àVPC.
Note
Uma sub-rede privada é uma sub-rede que não tem uma rota para um gateway da Internet. Oroteamento para esta sub-rede é descrito no próximo item.
• Atualize as tabelas de rotas para a conexão VPN:• Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como
destino e a rede (intervalo CIDR) do servidor Windows como destino.
61
AWS Site-to-Site VPN Guia do usuárioEtapa 2: Fazer download do arquivo
de configuração para a conexão VPN
• Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas (p. 17).
• Crie uma configuração de um security group para suas instâncias que permita a comunicação entre arede e sua VPC:• Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você
se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores emsua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSHe o conjunto de fontes para o intervalo CIDR de sua rede; por exemplo, 172.31.0.0/16. Para obtermais informações, consulte Grupos de segurança da VPC no Guia do usuário da Amazon VPC.
• Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você testesua conexão VPN executando ping em uma instância em sua VPC em seu servidor Windows.
Etapa 2: Fazer download do arquivo de configuraçãopara a conexão VPNVocê pode usar o console da Amazon VPC para fazer download de um arquivo de configuração doservidor Windows para sua conexão VPN.
Para fazer download do arquivo de configuração
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN de local para local Connections (Conexões VPN de local para
local).3. Selecione sua conexão VPN e escolha Download Configuration (Fazer download da configuração).4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2008 R2 como software.
Escolha Download. Você pode abrir ou salvar o arquivo.
O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essasinformações serão apresentadas duas vezes, uma vez para cada túnel. Utilize-as para configurar oservidor Windows Server 2008 R2.
vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint
O endereço IP do dispositivo de gateway do cliente — nesse caso, o servidor Windows — que encerraa conexão VPN em sua rede. Se o dispositivo de gateway do cliente for uma instância do servidorWindows, esse será o endereço IP privado da instância.
Remote Tunnel Endpoint
Um dos dois endereços IP para o gateway privado virtual que encerra a conexão VPN na AWS.Endpoint 1
O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IPem sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.
62
AWS Site-to-Site VPN Guia do usuárioEtapa 3: Configurar o servidor do Windows
Endpoint 2
O intervalo de endereços IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo,10.0.0.0/16).
Preshared key
A chave pré-compartilhada que é usada para estabelecer a conexão VPN de IPsec entre LocalTunnel Endpoint e Remote Tunnel Endpoint.
É aconselhável configurar os dois túneis como parte da conexão VPN. Cada túnel conecta-se com umconcentrador VPN separado em sua conexão VPN na Amazon. Embora somente um túnel por vez fiqueativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garante adisponibilidade contínua em caso de falha em um dispositivo. Pelo fato de somente um túnel por vez estardisponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento éesperado, nenhuma ação é necessária de sua parte.
Com dois túneis configurados, se houver uma falha de dispositivo dentro da AWS, sua conexão VPNexecutará failover automaticamente no segundo túnel do gateway privado virtual da AWS em questão deminutos. Ao configurar o dispositivo de gateway do cliente, é importante configurar ambos os túneis.
Note
De vez em quando, a AWS realiza manutenção de rotina no gateway privado virtual. Essamanutenção pode desabilitar um dos dois túneis da conexão VPN durante um breve espaçode tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquantorealizamos essa manutenção.
Outras informações sobre o IKE (Internet Key Exchange) e associações de segurança (SA) IPsec sãoapresentadas no arquivo de configuração baixado. Como as configurações sugeridas VPN da VPC sãoiguais às definições de configuração padrão de IPsec do Windows Server 2008 R2, um trabalho mínimo énecessário de sua parte.
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2
MainModeSecMethods
Os algoritmos de criptografia e autenticação da SA IKE. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2008 R2.
MainModeKeyLifetime
Vida útil da chave SA IKE. Esta é a configuração sugerida para a conexão VPN e é a configuraçãopadrão para conexões VPN IPsec do Windows Server 2008 R2.
QuickModeSecMethods
Os algoritmos de criptografia e autenticação da SA IPsec. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2008 R2.
QuickModePFS
É aconselhável usar a chave mestra sigilo de encaminhamento perfeito (PFS) para as sessões IPsec.
Etapa 3: Configurar o servidor do WindowsAntes de configurar o túnel VPN, você precisa instalar e configurar os Serviços de Roteamento e AcessoRemoto no servidor Windows. Isso permite que os usuários remotos acessem os recursos na rede.
63
AWS Site-to-Site VPN Guia do usuárioEtapa 3: Configurar o servidor do Windows
Para instalar os Serviços de Roteamento e Acesso Remoto no Windows Server 2008 R2
1. Conecte-se ao servidor Windows Server 2008 R2.2. Escolha Iniciar, Todos os Programas, Ferramentas Administrativas, Gerenciador de Servidores.3. Instale Serviços de Roteamento e Acesso Remoto:
a. No painel de navegação do Gerenciador de Servidores, escolha Funções.b. No painel Funções, escolha Adicionar Funções.c. Na página Antes de começar, verifique se seu servidor atende aos pré-requisitos e escolha
Próximo.d. Na página Selecionar Funções do Servidor, escolha Serviços de Acesso e Diretiva de Rede,
Próximo.e. Na página Network Policy and Access Services, escolha Next.f. Na página Selecionar Serviços de Função, escolha Serviços de Roteamento e Acesso Remoto,
deixe Serviço de Acesso Remoto e Roteamento selecionados e, em seguida, escolha Próximo.
g. Na página Confirmar Seleções de Instalação, escolha Instalar.h. Quando o assistente chegar ao fim, escolha Fechar.
Para configurar e ativar o Servidor de Roteamento e Acesso Remoto
1. No painel de navegação do Gerenciador de Servidores, escolha Funções, Acesso e Diretiva de Rede.2. Abra o menu de contexto (clique com o botão direito do mouse) de Servidor de Roteamento e Acesso
Remoto e escolha Configurar e Habilitar Roteamento e Acesso Remoto.3. Em Assistente para Configuração do Servidor de Roteamento e Acesso Remoto, na página de Boas-
vindas, escolha Próximo.4. Na página Configuração, escolha Configuração Personalizada, Próximo.5. Escolha LAN routing (Roteamento de LAN), Próximo.6. Escolha Finish.7. Quando solicitado pela caixa de diálogo Routing and Remote Access, escolha Start service.
64
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Etapa 4: Configurar o túnel VPNVocê pode configurar o túnel VPN executando os scripts netsh incluídos no arquivo de configuração obtidopor download ou usando o Assistente para Nova Regra de Segurança de Conexão no servidor Windows.
Important
É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito)da chave mestra para as sessões IPsec. No entanto, não é possível habilitar o PFS usandoa interface de usuário do Windows Server 2008 R2. Só é possível ativar essa configuraçãoexecutando o script netsh com qmpfs=dhgroup2. Por isso, você deve considerar seus requisitosprimeiro para escolher uma opção.
Opção 1: Executar o script netshCopie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se umexemplo de script.
netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
Name: Você pode substituir o nome sugerido (VGW-1a2b3c4d Tunnel 1) por um nome de sua escolha.
LocalTunnelEndpoint: digite o endereço IP privado do servidor Windows na sua rede.
Endpoint1: o bloco CIDR da sua rede em que o servidor Windows reside, por exemplo, 172.31.0.0/16.
Endpoint2: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, 10.0.0.0/16.
Execute o script atualizado em uma janela do prompt de comando. (O sinal ^ permite que você corte e coleo texto contornado na linha de comando.) Para configurar o segundo túnel VPN para essa conexão VPN,repita o processo usando o segundo script netsh no arquivo de configuração.
Quando terminar, vá para 2.4: Configurar o firewall do Windows (p. 69).
Para obter mais informações sobre os parâmetros netsh, consulte Netsh AdvFirewall Consec Commandsna Biblioteca Microsoft TechNet.
Opção 2: Usar a interface de usuário do servidor WindowsVocê pode também usar a interface de usuário do servidor Windows para configurar o túnel VPN. Estaseção o conduz ao longo das etapas.
Important
Você não pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra usando a interface de usuário do Windows Server 2008 R2. Por isso, se decidir usaro PFS, deverá usar os scripts netsh descritos na opção 1, e não a interface de usuário descritanesta opção.
• 2.1: Configurar uma regra de segurança para um túnel VPN (p. 66)
65
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
• 2.3: Confirmar a configuração do túnel (p. 69)• 2.4: Configurar o firewall do Windows (p. 69)
2.1: Configurar uma regra de segurança para um túnel VPN
Nesta seção, você configurará uma regra de segurança em seu servidor Windows para criar um túnel VPN.
Para configurar uma regra de segurança para um túnel VPN
1. No painel de navegação do Gerenciador de Servidores, expanda Configuração e depois expandaFirewall do Windows com Segurança Avançada.
2. Abra o menu de contexto (clique com o botão direito do mouse) em Regras de Segurança da Conexãoe escolha Nova Regra.
3. No assistente Nova Regra de Segurança da Conexão, na página Tipo de Regra, escolha Túnel ePróximo.
4. Na página Tunnel Type (Tipo de túnel), em What type of tunnel would you like to create (Qual tipo detúnel gostaria de criar), selecione Custom Configuration (Configuração personalizada). Em Gostariade isentar as conexões protegidas por IPsec deste túnel, deixe o valor padrão marcado selecionado(Não. Envie todo o tráfego de rede correspondente a essa regra de segurança de conexão pelo túnel)e escolha Próximo.
5. Na página Requirements, escolha Require authentication for inbound connections. Do not establishtunnels for outbound connections e Next.
6. Na página Tunnel Endpoints (Endpoints de túnel), em Which computers are in Endpoint 1 (Quaiscomputadores estão no endpoint 1), escolha Add (Adicionar). Digite o intervalo CIDR de rede (atrásdo dispositivo de gateway do cliente do servidor Windows) e selecione OK. O intervalo pode incluir oendereço IP do dispositivo de gateway do cliente.
7. Em What is the local tunnel endpoint (closest to computer in Endpoint 1), escolha Edit. Digite oendereço IP privado de seu servidor Windows e, em seguida, escolha OK.
66
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
8. Em What is the remote tunnel endpoint (closest to computers in Endpoint 2), escolha Edit. Digiteo endereço IP do gateway privado virtual do túnel 1 do arquivo de configuração (consulte RemoteTunnel Endpoint) e escolha OK.
Important
Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar oendpoint para o túnel 2.
9. Em Which computers are in Endpoint 2, escolha Add. Insira o bloco CIDR de sua VPC e escolha OK.
Important
Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are inEndpoint 2. Não escolha Next até ter concluído esta etapa, caso contrário, não poderá seconectar ao servidor.
10. Confirme se todas as configurações especificadas estão corretas e escolha Next (Próximo).11. Na página Método de Autenticação, selecione Avançado, Personalizar.12. Em First authentication methods, escolha Add.13. Selecione Pre-Shared key (Chave pré-compartilhada), insira o valor da chave pré-compartilhada do
arquivo de configuração e escolha OK.
67
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Important
Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar achave pré-compartilhada para o túnel 2.
14. Certifique-se de que First authentication is optional (Primeira autenticação é opcional) não estejaselecionada e escolha OK.
15. Na página Método de Autenticação, escolha Próximo.16. Na página Perfil, marque todas as três caixas de seleção: Domínio, Privado e Público. Escolha Next.17. Na página Nome, digite um nome para sua regra de conexão e escolha Concluir.
68
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Repita o procedimento anterior especificando os dados para o túnel 2 de seu arquivo de configuração.
Assim que concluir, terá dois túneis configurados para sua conexão VPN.
2.3: Confirmar a configuração do túnel
Para confirmar a configuração do túnel
1. No painel de navegação do Gerenciador de Servidores, expanda o nó Configuração, expanda Firewalldo Windows com Segurança Avançada e escolha Regras de Segurança de Conexão.
2. Verifique o seguinte para os dois túneis:
• Enabled (Habilitado) está como Yes.• Authentication mode (Modo de autenticação) é Require inbound and clear outbound.• Authentication method (Método de autenticação) é Custom.• Endpoint 1 port (Porta do endpoint 1) é Any.• Endpoint 2 port (Porta do endpoint 2) é Any.• Protocol (Protocolo) é Any.
3. Clique duas vezes na regra de segurança de seu primeiro túnel.4. Na guia Computadores, verifique o seguinte:
• Em Ponto de extremidade 1, o intervalo do bloco CIDR corresponde ao intervalor do bloco CIDR desua rede.
• Em Ponto de extremidade 2, o intervalo do bloco CIDR corresponde ao intervalor do bloco CIDR desua VPC.
5. Na tabela Autenticação, em Método, escolha Personalizar e verifique se Primeiros métodos deautenticação contém a chave pré-compartilhada correta do arquivo de configuração para o túnel.Escolha OK.
6. Na guia Advanced (Avançado), verifique se Domain (Domínio), Private (Privado) e Public (Público)estão todos selecionados.
7. Em IPsec tunneling, escolha Customize. Verifique as configurações a seguir de encapsulamentoIPsec.
• Use IPsec tunneling (Usar encapsulamento IPsec) está selecionada.• Ponto de extremidade do túnel local (mais próximo ao Ponto de Extremidade 1) contém o endereço
IP seu servidor. Se o dispositivo de gateway do cliente for uma instância do servidor Windows, esseserá o endereço IP privado da instância.
• Remote tunnel endpoint (closest to Endpoint 2) (Ponto de extremidade de túnel remoto [maispróximo ao Ponto de Extremidade 2]) contém o endereço IP do gateway privado virtual para essetúnel.
8. Clique duas vezes na regra de segurança de seu segundo túnel. Repita as etapas 4 a 7 para essetúnel.
2.4: Configurar o firewall do Windows
Assim que configurar suas regras de segurança em seu servidor, defina algumas configurações básicas deIPsec para trabalhar com o gateway privado virtual.
Para configurar o Firewall do Windows
1. No painel de navegação do Gerenciador de Servidores, abra o menu de contexto (clique com o botãodireito do mouse) em Firewall do Windows com Segurança Avançada e escolha Propriedades.
69
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
2. Escolha Configurações de IPsec.3. Em Isenções IPsec, verifique se Isentar ICMP de IPsec está definida como Não (padrão). Verifique se
Autorização de túnel IPsec está definida como Nenhuma.4. Em IPsec defaults, escolha Customize.5. Na caixa de diálogo Personalizar Configurações de IPsec, em Troca de Chaves (Modo Principal),
selecione Avançadas e escolha Personalizar.6. Em Customize Advanced Key Exchange Settings (Personalizar configurações de troca de chaves
avançada), sob Security methods (Métodos de segurança), verifique se os seguintes valores padrãosão usados para a primeira entrada:
• Integridade: SHA-1• Criptografia: AES-CBC 128• Algoritmo de troca de chaves: Grupo Diffie-Hellman 2• Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.
Essas configurações correspondem às seguintes entradas no arquivo de configuração:
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec
7. Em Key exchange options, selecione Use Diffie-Hellman for enhanced security e escolha OK.8. Em Proteção de dados (Modo Rápido), escolha Avançado e Personalizar.9. Escolha Exigir criptografia para todas as regras de segurança de conexão que usam estas
configurações.10. Em Integridade e criptografia de dados, deixe os valores padrão:
• Protocolo: ESP• Integridade: SHA-1• Criptografia: AES-CBC 128• Tempo de vida: 60 minutos
70
AWS Site-to-Site VPN Guia do usuárioEtapa 5: Habilitar a detecção de gateway inativo
Esses valores correspondem às entradas a seguir no arquivo de configuração.
QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb
11. Para retornar à caixa de diálogo Personalizar Configurações de IPsec, escolha OK. Escolha OK.
Etapa 5: Habilitar a detecção de gateway inativoEm seguida, configure o TCP para detectar quando um gateway fica indisponível. Você pode fazerisso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seções precedentes. Assim que alterar achave de registro, deverá reinicializar o servidor.
Para habilitar a detecção de gateway inativo
1. No servidor, escolha Start (Iniciar) e insira regedit para iniciar o Editor de Registro.2. Expanda HKEY_LOCAL_MACHINE, Sistema, CurrentControlSet, Serviços, Tcpip e Parâmetros.3. No outro painel, abra o menu de contexto (clique com o botão direito do mouse) em Novo e selecione
Valor DWORD (32 bits).4. Digite o nome EnableDeadGWDetect.5. Abra o menu de contexto (clique com o botão direito do mouse) em EnableDeadGWDetect e escolha
Modificar.6. Em Dados de valor, digite 1 e escolha OK.7. Feche o Editor de Registro e reinicialize o servidor.
Para obter mais informações, vá para EnableDeadGWDetect em Biblioteca do TechNet da Microsoft.
Etapa 6: Testar a conexão VPNPara testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC egaranta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping norespectivo endereço IP privado em seu servidor Windows. O túnel VPN é ativado quando tráfego é geradono dispositivo de gateway do cliente. Portanto, o comando ping também inicia a conexão VPN.
Para obter as etapas para testar a conexão VPN, consulte Testar a conexão Site-to-Site VPN (p. 116).
Se o comando ping falhar, verifique as seguintes informações:
• Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC.Se seu servidor Windows for uma instância do EC2, confirme se as regras de saída do respectivosecurity group permitem tráfego IPsec. Para obter mais informações, consulte Configurar o servidor doWindows (p. 61).
• Confirme se o sistema operacional da instância em que você está executando ping está configuradapara responder a ICMP. Recomendamos que você use uma das AMIs do Amazon Linux.
• Se a instância em que estiver executando ping for uma instância Windows, conecte-se a ela e habiliteICMPv4 de entrada no Firewall do Windows.
• Verifique se configurou as tabelas de rotas corretamente para sua VPC ou sub-rede. Para obter maisinformações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 61).
71
AWS Site-to-Site VPN Guia do usuárioConfigurar o Windows Server 2012 R2
como um dispositivo de gateway do cliente
• Se o dispositivo de gateway do cliente for uma instância do servidor Windows, verifique se vocêdesativou a verificação de origem/destino da instância. Para obter mais informações, consulte Configuraro servidor do Windows (p. 61).
No console da Amazon VPC, na página VPN Connections, selecione sua conexão VPN. O primeiro túnelencontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas ele só será usado se o primeiroficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.
Configurar o Windows Server 2012 R2 como umdispositivo de gateway do cliente
É possível configurar o Windows Server 2012 R2 como um dispositivo de gateway do cliente para a VPC.Use o processo a seguir se estiver executando o Windows Server 2012 R2 em uma instância do EC2, emuma VPC ou em seu próprio servidor.
Tópicos• Configurar o servidor do Windows (p. 72)• Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 73)• Etapa 2: Fazer download do arquivo de configuração para a conexão VPN (p. 73)• Etapa 3: Configurar o servidor do Windows (p. 75)• Etapa 4: Configurar o túnel VPN (p. 76)• Etapa 5: Habilitar a detecção de gateway inativo (p. 81)• Etapa 6: Testar a conexão VPN (p. 81)
Configurar o servidor do WindowsPara configurar o Windows Server como um dispositivo de gateway do cliente, verifique se o WindowsServer 2012 R2 está instalado na sua própria rede ou em uma instância do EC2 em uma VPC. Se usaruma instância do EC2 executada de uma AMI do Windows, faça o seguinte:
• Desative a verificação de origem/destino da instância:1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione a instância do Windows Server e escolha Actions, Networking, Change Source/Dest.
Check. Escolha Yes, Disable.• Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:
1. Conecte-se à sua instância do Windows. Para obter mais informações, consulte Conectar-se à suainstância do Windows.
2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.3. Expanda o nó Adaptadores de rede.4. Selecione o dispositivo de rede AWS PV, escolha Action e Properties.5. Na guia Advanced, desative as propriedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4)
e UDP Checksum Offload (IPv4) e escolha OK.• Aloque um endereço IP elástico à sua conta e associe-o à instância. Para obter mais informações,
consulte Trabalhar com endereços IP elásticos. Anote este endereço; ele será necessário quando vocêcriar o gateway do cliente na sua VPC.
• Verifique se as regras do grupo de segurança da instância permitem tráfego IPsec de saída. Por padrão,um grupo de segurança permite todo o tráfego de saída. No entanto, se as regras de saída do grupo
72
AWS Site-to-Site VPN Guia do usuárioEtapa 1: Criar uma conexão VPN e configurar a VPC
de segurança tiverem sido modificadas em relação ao seu estado original, crie as seguintes regraspersonalizadas de protocolo de saída para o tráfego IPsec: protocolo IP 50, protocolo IP 51 e UDP 500.
Anote o intervalo de CIDRs da rede na qual o servidor Windows está localizado; por exemplo,172.31.0.0/16.
Etapa 1: Criar uma conexão VPN e configurar a VPCPara criar uma conexão VPN na VPC, você deve primeiro criar um gateway privado virtual e associá-lo àVPC. Para obter mais informações, consulte Criar um gateway privado virtual (p. 16).
Crie uma conexão VPN e um novo gateway do cliente. Para o gateway do cliente, especifique o endereçoIP público do servidor Windows. Para a conexão VPN, escolha roteamento estático e insira o intervaloCIDR para a rede na qual o servidor Windows está localizado, por exemplo, 172.31.0.0/16. Para obtermais informações, consulte Criar uma conexão Site-to-Site VPN (p. 19).
Para configurar a VPC
• Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para executar instâncias que secomunicarão com o servidor Windows. Para obter mais informações, consulte Adicionar uma sub-rede àVPC.
Note
Uma sub-rede privada é uma sub-rede que não tem uma rota para um gateway da Internet. Oroteamento para esta sub-rede é descrito no próximo item.
• Atualize as tabelas de rotas para a conexão VPN:• Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como
destino e a rede (intervalo CIDR) do servidor Windows como destino.• Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte
Tabelas de rotas no Guia do usuário da Amazon VPC.• Crie uma configuração de um security group para suas instâncias que permita a comunicação entre a
rede e sua VPC:• Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você
se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores emsua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSH eo conjunto de fontes para o intervalo CIDR de sua rede (por exemplo, 172.31.0.0/16). Para obtermais informações, consulte Grupos de segurança da VPC no Guia do usuário da Amazon VPC.
• Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você testesua conexão VPN executando ping em uma instância em sua VPC em seu servidor Windows.
Etapa 2: Fazer download do arquivo de configuraçãopara a conexão VPNVocê pode usar o console da Amazon VPC para fazer download de um arquivo de configuração doservidor Windows para sua conexão VPN.
Para fazer download do arquivo de configuração
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN de local para local Connections (Conexões VPN de local para
local).
73
AWS Site-to-Site VPN Guia do usuárioEtapa 2: Fazer download do arquivo
de configuração para a conexão VPN
3. Selecione sua conexão VPN e escolha Download Configuration (Fazer download da configuração).4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2012 R2 como software.
Escolha Download. Você pode abrir ou salvar o arquivo.
O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essasinformações serão apresentadas duas vezes, uma vez para cada túnel. Utilize-as para configurar oservidor Windows Server 2012 R2.
vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint
O endereço IP para o gateway do cliente — nesse caso, o servidor Windows — que encerra aconexão VPN em sua rede. Se seu gateway de cliente for uma instância do servidor Windows, esseserá o endereço IP privado da instância.
Remote Tunnel Endpoint
Um dos dois endereços IP para o gateway privado virtual que encerra a conexão VPN do lado AWSda conexão.
Endpoint 1
O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IPem sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.
Endpoint 2
O intervalo de endereços IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo,10.0.0.0/16).
Preshared key
A chave pré-compartilhada que é usada para estabelecer a conexão VPN de IPsec entre LocalTunnel Endpoint e Remote Tunnel Endpoint.
É aconselhável configurar ambos os túneis como parte da conexão VPN. Cada túnel conecta-se com umconcentrador VPN separado em sua conexão VPN na Amazon. Embora somente um túnel por vez fiqueativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garantedisponibilidade contínua em caso de falha em um dispositivo. Pelo fato de somente um túnel por vez estardisponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento éesperado, nenhuma ação é necessária de sua parte.
Com dois túneis configurados, se houver uma falha de dispositivo dentro da AWS, sua conexão VPNexecutará failover automaticamente no segundo túnel do gateway privado virtual da AWS em questão deminutos. Ao configurar o dispositivo de gateway do cliente, é importante configurar ambos os túneis.
Note
De vez em quando, a AWS realiza manutenção de rotina no gateway privado virtual. Essamanutenção pode desabilitar um dos dois túneis da conexão VPN durante um breve espaçode tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquantorealizamos essa manutenção.
74
AWS Site-to-Site VPN Guia do usuárioEtapa 3: Configurar o servidor do Windows
Outras informações sobre o IKE (Internet Key Exchange) e associações de segurança (SA) IPsec sãoapresentadas no arquivo de configuração baixado. Como as configurações sugeridas VPN da VPC sãoiguais às definições de configuração padrão de IPsec do Windows Server 2012 R2, um trabalho mínimo énecessário de sua parte.
MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2
MainModeSecMethods
Os algoritmos de criptografia e autenticação da SA IKE. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2012 R2.
MainModeKeyLifetime
Vida útil da chave SA IKE. Esta é a configuração sugerida para a conexão VPN e é a configuraçãopadrão para conexões VPN IPsec do Windows Server 2012 R2.
QuickModeSecMethods
Os algoritmos de criptografia e autenticação da SA IPsec. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2012 R2.
QuickModePFS
É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra para as sessões IPsec.
Etapa 3: Configurar o servidor do WindowsAntes de configurar o túnel VPN, você precisa instalar e configurar os Serviços de Roteamento e AcessoRemoto no servidor Windows. Isso permite que os usuários remotos acessem os recursos na rede.
Para instalar serviços de roteamento e acesso remoto no Windows Server 2012 R2
1. Conecte-se ao servidor Windows Server 2012 R2.2. Vá para o menu Start e escolha Server Manager.3. Instale Serviços de Roteamento e Acesso Remoto:
a. No menu Manage, escolha Add Roles and Features.b. Na página Before You Begin, verifique se seu servidor atende aos pré-requisitos e escolha Next.c. Escolha Role-based or feature-based installation e Next.d. Escolha Select a server from the server pool, selecione o servidor Windows 2012 R2 e clique em
Next.e. Selecione Network Policy and Access Services na lista. Na caixa de diálogo exibida, escolha Add
Features para confirmar os recursos necessários para esta função.f. Na mesma lista, escolha Acesso Remoto, Próximo.g. Na página Select features, escolha Next.h. Na página Network Policy and Access Services, escolha Next. Deixe Network Policy Server
(Servidor de política de rede) selecionado e escolha Next (Próximo).i. Na página Remote Access, escolha Next. Na página seguinte, selecione DirectAccess and VPN
(RAS). Na caixa de diálogo exibida, escolha Add Features para confirmar os recursos necessáriospara este serviço de função. Na mesma lista, selecione Routing e escolha Next.
j. Na página Web Server Role (IIS), escolha Next. Deixe a seleção padrão e escolha Next.
75
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
k. Escolha Install. Quando a instalação terminar, escolha Close.
Para configurar e ativar o Servidor de Roteamento e Acesso Remoto
1. No painel, selecione Notifications (Notificações). Deve haver uma tarefa a ser concluída naconfiguração depois da implantação. Escolha o link Open the Getting Started Wizard.
2. Escolha Deploy VPN only.3. Na caixa de diálogo Routing and Remote Access (Roteamento e acesso remoto), escolha o nome do
servidor, escolha Action (Ação) e Configure and Enable Routing and Remote Access (Configurar ehabilitar o roteamento e o acesso remoto).
4. Em Routing and Remote Access Server Setup Wizard, na primeira página, escolha Next.5. Na página Configuração, escolha Configuração Personalizada, Próximo.6. Escolha Roteamento de LAN, Próximo, Concluir.7. Quando solicitado pela caixa de diálogo Routing and Remote Access, escolha Start service.
Etapa 4: Configurar o túnel VPNVocê pode configurar o túnel de VPN, executando os scripts netsh incluídos no arquivo de configuraçãobaixado ou usando o Assistente para Nova Regra de Segurança de Conexão no servidor Windows.
Important
É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra para as sessões IPsec. Se executar o script netsh, ele incluirá um parâmetro parahabilitar o PFS (qmpfs=dhgroup2). Você não pode habilitar o PFS usando a interface de usuáriodo Windows Server 2012 R2 — é preciso habilitá-la usando a linha de comando.
Opção 1: Executar o script netshCopie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se umexemplo de script.
netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^Enable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
Name: Você pode substituir o nome sugerido (vgw-1a2b3c4d Tunnel 1) por um nome de sua escolha.
LocalTunnelEndpoint: digite o endereço IP privado do servidor Windows na sua rede.
Endpoint1: o bloco CIDR da sua rede em que o servidor Windows reside, por exemplo, 172.31.0.0/16.
Endpoint2: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, 10.0.0.0/16.
Execute o script atualizado em uma janela do prompt de comando no servidor Windows. (O sinal ^ permiteque você corte e cole o texto contornado na linha de comando.) Para configurar o segundo túnel VPN paraessa conexão VPN, repita o processo usando o segundo script netsh no arquivo de configuração.
Quando terminar, vá para 2.4: Configurar o firewall do Windows (p. 80).
76
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Para obter mais informações sobre os parâmetros netsh, consulte Netsh AdvFirewall Consec Commandsna Biblioteca Microsoft TechNet.
Opção 2: Usar a interface de usuário do servidor WindowsVocê pode também usar a interface de usuário do servidor Windows para configurar o túnel VPN. Estaseção o conduz ao longo das etapas.
Important
Você não pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra usando a interface de usuário do Windows Server 2012 R2. Você precisa habilitaro PFS usando a linha de comando, conforme descrito em Habilitar segredo de encaminhamentoperfeito da chave mestra (p. 80).
Tópicos• 2.1: Configurar uma regra de segurança para um túnel VPN (p. 77)• 2.3: Confirmar a configuração do túnel (p. 79)• Habilitar segredo de encaminhamento perfeito da chave mestra (p. 80)
2.1: Configurar uma regra de segurança para um túnel VPN
Nesta seção, você configurará uma regra de segurança em seu servidor Windows para criar um túnel VPN.
Para configurar uma regra de segurança para um túnel VPN
1. Open Server Manager, escolha Tools (Ferramentas) e selecione Windows Firewall with AdvancedSecurity (Firewall do Windows com segurança avançada).
2. Selecione Connection Security Rules, escolha Action e New Rule.3. No assistente New Connection Security Rule (Nova Regra de Segurança de Conexão) da página Rule
Type (Tipo de regra), selecione Tunnel (Túnel) e Next (Próximo).4. Na página Tunnel Type (Tipo de túnel), em What type of tunnel would you like to create (Qual tipo de
túnel gostaria de criar), selecione Custom configuration (Configuração personalizada). Em Gostariade isentar as conexões protegidas por IPsec deste túnel, deixe o valor padrão marcado selecionado(Não. Envie todo o tráfego de rede correspondente a essa regra de segurança de conexão pelo túnel)e escolha Próximo.
5. Na página Requirements, escolha Require authentication for inbound connections. Do not establishtunnels for outbound connections e Next.
6. Na página Tunnel Endpoints (Endpoints de túnel), em Which computers are in Endpoint 1 (Quaiscomputadores estão no endpoint 1), escolha Add (Adicionar). Insira o intervalo CIDR da rede (atrás dodispositivo de gateway do cliente do servidor Windows; por exemplo, 172.31.0.0/16) e selecioneOK. O intervalo pode incluir o endereço IP do dispositivo de gateway do cliente.
7. Em What is the local tunnel endpoint (closest to computer in Endpoint 1), escolha Edit. No campo IPv4address, digite o endereço IP privado do servidor Windows e escolha OK.
8. Em What is the remote tunnel endpoint (closest to computers in Endpoint 2), escolha Edit. Nocampo IPv4 address, digite o endereço IP do gateway privado virtual para o túnel 1 do arquivo deconfiguração (consulte Remote Tunnel Endpoint) e escolha OK.
Important
Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar oendpoint para o túnel 2.
9. Em Which computers are in Endpoint 2, escolha Add. Em This IP address or subnet field, digite obloco CIDR da VPC e escolha OK.
77
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Important
Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are inEndpoint 2. Não escolha Next até ter concluído esta etapa, caso contrário, não poderá seconectar ao servidor.
10. Confirme se todas as configurações especificadas estão corretas e escolha Next (Próximo).11. Na página Método de Autenticação, selecione Avançado e escolha Personalizar.12. Em First authentication methods, escolha Add.13. Selecione Preshared key (Chave pré-compartilhada), insira o valor da chave pré-compartilhada do
arquivo de configuração e escolha OK.
78
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Important
Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar achave pré-compartilhada para o túnel 2.
14. Certifique-se de que First authentication is optional não esteja selecionada e escolha OK.15. Escolha Next.16. Na página Perfil, marque todas as três caixas de seleção: Domínio, Privado e Público. Escolha Next.17. Na página Name, digite um nome para a regra de conexão, por exemplo, VPN to AWS Tunnel 1 e
escolha Finish.
Repita o procedimento anterior especificando os dados para o túnel 2 de seu arquivo de configuração.
Assim que concluir, terá dois túneis configurados para sua conexão VPN.
2.3: Confirmar a configuração do túnel
Para confirmar a configuração do túnel
1. Abra o Server Manager, escolha Tools, selecione Windows Firewall with Advanced Security eConnection Security Rules.
2. Verifique o seguinte para os dois túneis:
• Enabled (Habilitado) está como Yes• Endpoint 1 é o bloco CIDR para a rede• Endpoint 2 é o bloco CIDR da VPC• Authentication mode (Modo de autenticação) é Require inbound and clear outbound• Authentication method (Método de autenticação) é Custom• Endpoint 1 port (Porta do endpoint 1) é Any• Endpoint 2 port (Porta do endpoint 2) é Any• Protocol (Protocolo) é Any
3. Selecione a primeira regra e escolha Properties.4. Na guia Authentication (Autenticação) em Method (Método), escolha Customize (Personalizar).
Verifique se a opção First authentication methods (Primeiros métodos de autenticação) contém achave pré-compartilhada correta do arquivo de configuração para o túnel e escolha OK.
5. Na guia Advanced (Avançado), verifique se Domain (Domínio), Private (Privado) e Public (Público)estão todos selecionados.
6. Em IPsec tunneling, escolha Customize. Verifique as seguintes configurações de túnel IPsec, escolhaOK e OK novamente para fechar a caixa de diálogo.
• Use IPsec tunneling (Usar encapsulamento IPsec) está selecionada.• Local tunnel endpoint (closest to Endpoint 1) contém o endereço IP do servidor Windows. Se o
dispositivo de gateway do cliente for uma instância do EC2, esse será o endereço IP privado dainstância.
• Remote tunnel endpoint (closest to Endpoint 2) (Ponto de extremidade de túnel remoto [maispróximo ao Ponto de Extremidade 2]) contém o endereço IP do gateway privado virtual para essetúnel.
7. Abra as propriedades para o segundo túnel. Repita as etapas 4 a 7 para esse túnel.
79
AWS Site-to-Site VPN Guia do usuárioEtapa 4: Configurar o túnel VPN
Habilitar segredo de encaminhamento perfeito da chave mestra
Você pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestrausando a linha de comando. Você não pode habilitar esse recurso usando a interface do usuário.
Para habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra
1. No servidor Windows, abra uma nova janela do prompt de comando.2. Insira o comando a seguir, substituindo rule_name pelo nome que você deu à primeira regra de
conexão.
netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb
3. Repita a etapa 2 para o segundo túnel, desta vez substituindo rule_name pelo nome que você deu àsegunda regra de conexão.
2.4: Configurar o firewall do WindowsAssim que configurar suas regras de segurança em seu servidor, defina algumas configurações básicas deIPsec para trabalhar com o gateway privado virtual.
Para configurar o Firewall do Windows
1. Abra o Server Manager, escolha Tools, selecione Windows Firewall with Advanced Security eProperties.
2. Na guia IPsec Settings, em IPsec exemptions, verifique se Exempt ICMP from IPsec está como No(default). Verifique se IPsec tunnel authorization está como None.
3. Em IPsec defaults, escolha Customize.4. Em Key exchange (Main Mode), selecione Advanced e Customize.5. Em Customize Advanced Key Exchange Settings (Personalizar configurações de troca de chaves
avançada), sob Security methods (Métodos de segurança), verifique se os seguintes valores padrãosão usados para a primeira entrada:
• Integridade: SHA-1• Criptografia: AES-CBC 128• Algoritmo de troca de chaves: Grupo Diffie-Hellman 2• Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.
Essas configurações correspondem às seguintes entradas no arquivo de configuração:
MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec
6. Em Key exchange options, selecione Use Diffie-Hellman for enhanced security e escolha OK.7. Em Data protection (Quick Mode), selecione Advanced e Customize.8. Selecione Require encryption for all connection security rules that use these settings.9. Em Data integrity and encryption, deixe os valores padrão:
• Protocolo: ESP• Integridade: SHA-1• Criptografia: AES-CBC 128
80
AWS Site-to-Site VPN Guia do usuárioEtapa 5: Habilitar a detecção de gateway inativo
• Tempo de vida: 60 minutos
Esses valores correspondem à seguinte entrada no arquivo de configuração.
QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb
10. Escolha OK para retornar à caixa de diálogo Personalizar Configurações de IPsec, e escolha OKnovamente para salvar a configuração.
Etapa 5: Habilitar a detecção de gateway inativoEm seguida, configure o TCP para detectar quando um gateway fica indisponível. Você pode fazerisso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seções precedentes. Assim que alterar achave de registro, deverá reinicializar o servidor.
Para habilitar a detecção de gateway inativo
1. No servidor Windows, inicie o prompt de comando ou uma sessão do PowerShell e insira regedit parainiciar o Editor do Registro.
2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip e Parameters.3. No menu Edit, selecione New e DWORD (32-bit) Value.4. Digite o nome EnableDeadGWDetect.5. Selecione EnableDeadGWDetect e escolha Editar, Modificar.6. Em Value data, digite 1 e escolha OK.7. Feche o Registry Editor e reinicie o servidor.
Para obter mais informações, consulte EnableDeadGWDetect na Biblioteca Microsoft TechNet.
Etapa 6: Testar a conexão VPNPara testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC egaranta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping norespectivo endereço IP privado em seu servidor Windows. O túnel VPN é ativado quando tráfego é geradono dispositivo de gateway do cliente. Portanto, o comando ping também inicia a conexão VPN.
Para obter as etapas para testar a conexão VPN, consulte Testar a conexão Site-to-Site VPN (p. 116).
Se o comando ping falhar, verifique as seguintes informações:
• Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC.Se seu servidor Windows for uma instância do EC2, confirme se as regras de saída do respectivosecurity group permitem tráfego IPsec. Para obter mais informações, consulte Configurar o servidor doWindows (p. 72).
• Confirme se o sistema operacional da instância em que você está executando ping está configuradapara responder a ICMP. Recomendamos que você use uma das AMIs do Amazon Linux.
• Se a instância em que estiver executando ping for uma instância do Windows, conecte-se a ela e habiliteICMPv4 de entrada no firewall do Windows.
• Verifique se configurou as tabelas de rota corretamente para a sua VPC ou sub-rede. Para obter maisinformações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 73).
81
AWS Site-to-Site VPN Guia do usuárioSolução de problemas
• Se o dispositivo de gateway do cliente for uma instância do servidor Windows, verifique se vocêdesativou a verificação de origem/destino da instância. Para obter mais informações, consulte Configuraro servidor do Windows (p. 72).
No console da Amazon VPC, na página VPN Connections (Conexões VPN), selecione sua conexão VPN.O primeiro túnel encontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas ele só seráusado se o primeiro ficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.
Solução de problemas do dispositivo de gateway docliente
As etapas a seguir podem ajudar a solucionar problemas de conectividade em dispositivos de gateway docliente.
Para obter instruções gerais de teste, consulte Testar a conexão Site-to-Site VPN (p. 116).
Tópicos• Solução de problemas de conectividade ao usar o Border Gateway Protocol (p. 82)• Solução de problemas de conectividade sem Border Gateway Protocol (p. 85)• Solução de problemas de conectividade do dispositivo de gateway do cliente Cisco ASA (p. 88)• Solução de problemas de conectividade do dispositivo de gateway do cliente do Cisco IOS (p. 91)• Solução de problemas do dispositivo de gateway do cliente do Cisco IOS sem conectividade de Border
Gateway Protocol (p. 95)• Solução de problemas de conectividade do dispositivo de gateway do cliente do Juniper
JunOS (p. 99)• Solução de problemas de conectividade de gateway do cliente do Juniper ScreenOS (p. 102)• Solução de problemas de conectividade do dispositivo de gateway do cliente da Yamaha (p. 105)
Recursos adicionais
• Fórum da Amazon VPC• Como soluciono problemas de conectividade de um túnel de VPN com a minha Amazon VPC?
Solução de problemas de conectividade ao usar oBorder Gateway ProtocolO diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas de um dispositivode gateway do cliente que usa o Border Gateway Protocol (BGP). Também recomendamos que vocêhabilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway paraobter informações detalhadas.
82
AWS Site-to-Site VPN Guia do usuárioDispositivo com BGP
83
AWS Site-to-Site VPN Guia do usuárioDispositivo com BGP
IKE Determine se existe uma associação de segurança IKE.
A associação de segurança IKE é necessária para trocar chaves usadas para estabelecera associação de segurança IPsec.
Se não houver nenhuma associação de segurança IKE, revise as definições deconfiguração de IKE. É necessário configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração.
Se houver uma associação de segurança IKE, passe para "IPsec".
IPsec Determine se existe uma associação de segurança (SA) IPsec.
Uma SA IPsec é o próprio túnel. Consulte o dispositivo de gateway do cliente paradeterminar se uma SA IPsec está ativa. Configure os parâmetros de criptografia,autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo deconfiguração.
Se não existir nenhuma SA IPsec, revise a configuração de IPsec.
Se existir uma SA IPsec, avance para "Túnel".
Túnel Confirme se as regras necessárias de firewall estão configuradas (para obter uma listade regras, consulte Configurar um firewall entre a Internet e o dispositivo de gateway docliente (p. 34)). Se não, prossiga.
Determine se existe conectividade IP por meio do túnel.
Cada lado do túnel tem um endereço IP conforme especificado no arquivo deconfiguração. O endereço do gateway privado virtual é endereço usado como endereçode vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereçopara determinar se o tráfego de IP está sendo criptografado e descriptografadoadequadamente.
Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se oendereço IP apropriado está configurado.
Se o ping for bem-sucedido, prossiga para "BGP".
BGP Determine se a sessão de emparelhamento de BGP está ativa.
Para cada túnel, faça o seguinte:
• No dispositivo de gateway do cliente, determine se o status do BGP é Active ouEstablished. Pode levar aproximadamente 30 segundos para uma sessão de BGPentre pares ficar ativa.
• Confirme se o dispositivo de gateway do cliente está anunciando a rota padrão(0.0.0.0/0) para o gateway privado virtual.
Se os túneis não estiverem nesse estado, revise a configuração do BGP.
Se a sessão de BGP entre pares for estabelecida e você estiver recebendo um prefixoe anunciando um prefixo, isso quer dizer que o túnel está configurado corretamente.Certifique-se de que os dois túneis estão nesse estado.
84
AWS Site-to-Site VPN Guia do usuárioDispositivo sem BGP
Solução de problemas de conectividade sem BorderGateway ProtocolO diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas para umdispositivo de gateway do cliente que não usa o Border Gateway Protocol (BGP). Também recomendamosque você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo dogateway para obter informações detalhadas.
85
AWS Site-to-Site VPN Guia do usuárioDispositivo sem BGP
86
AWS Site-to-Site VPN Guia do usuárioDispositivo sem BGP
IKE Determine se existe uma associação de segurança IKE.
A associação de segurança IKE é necessária para trocar chaves usadas para estabelecera associação de segurança IPsec.
Se não houver nenhuma associação de segurança IKE, revise as definições deconfiguração de IKE. É necessário configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração.
Se houver uma associação de segurança IKE, passe para "IPsec".
IPsec Determine se existe uma associação de segurança (SA) IPsec.
Uma SA IPsec é o próprio túnel. Consulte o dispositivo de gateway do cliente paradeterminar se uma SA IPsec está ativa. Configure os parâmetros de criptografia,autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo deconfiguração.
Se não existir nenhuma SA IPsec, revise a configuração de IPsec.
Se existir uma SA IPsec, avance para "Túnel".
Túnel Confirme se as regras necessárias de firewall estão configuradas (para obter uma listade regras, consulte Configurar um firewall entre a Internet e o dispositivo de gateway docliente (p. 34)). Se não, prossiga.
Determine se existe conectividade IP por meio do túnel.
Cada lado do túnel tem um endereço IP conforme especificado no arquivo deconfiguração. O endereço do gateway privado virtual é endereço usado como endereçode vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereçopara determinar se o tráfego de IP está sendo criptografado e descriptografadoadequadamente.
Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se oendereço IP apropriado está configurado.
Se o ping for bem-sucedido, avance para "Rotas estáticas".
Rotasestáticas
Para cada túnel, faça o seguinte:
• Verifique se você adicionou uma rota estática ao CIDR da VPC com os túneis como osalto seguinte.
• Verifique se você adicionou uma rota estática ao console da Amazon VPC a fim deinformar o gateway privado virtual para rotear o tráfego de volta para as redes internas.
Se os túneis não estiverem nesse estado, revise a configuração de seu dispositivo.
Verifique se ambos os túneis estão nesse estado. Se sim, você terá terminado.
87
AWS Site-to-Site VPN Guia do usuárioCisco ASA
Solução de problemas de conectividade do dispositivode gateway do cliente Cisco ASAAo solucionar um problema de conectividade em um dispositivo de gateway do cliente da Cisco, considereIKE, IPsec e roteamento. É possível solucionar problemas nessas áreas em qualquer sequência, mas érecomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
Important
Alguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possívelter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeirotúnel ficar indisponível. O túnel em espera pode gerar o seguinte erro nos arquivos de log, oqual pode ser ignorado: Rejecting IPSec tunnel: no matching crypto map entryfor remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 oninterface outside.
IKEUse o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configuradocorretamente.
ciscoasa# show crypto isakmp sa
Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2
1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE
Você deve ver uma ou mais linhas contendo um valor de src do gateway remoto especificado nos túneis.O valor de state deve ser MM_ACTIVE e o status deve ser ACTIVE. A ausência de uma entrada, ou dequalquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log quefornecem informações de diagnóstico.
router# term monrouter# debug crypto isakmp
Para desativar a depuração, use o comando a seguir.
router# no debug crypto isakmp
IPsecUse o seguinte comando. A resposta mostra um gateway do cliente com o IPsec configuradocorretamente.
ciscoasa# show crypto ipsec sa
88
AWS Site-to-Site VPN Guia do usuárioCisco ASA
interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101
access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0
local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1
path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6
inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001
Para a interface de cada túnel, você deve ver inbound esp sas e outbound esp sas. Nessecaso, pressupõe-se que uma SA esteja listada (por exemplo, spi: 0x48B456A6) e que o IPsec estejaconfigurado corretamente.
No Cisco ASA, o IPsec aparece somente após o envio de tráfego interessante (tráfego que deve sercriptografado). Para sempre manter o IPsec ativo, recomendamos configurar um monitor de SLA. Omonitor de SLA continua a enviar tráfego interessante, mantendo o IPsec ativo.
Além disso, é possível usar o comando ping a seguir para forçar o IPsec a iniciar a negociação eprosseguir.
ping ec2_instance_ip_address
Pinging ec2_instance_ip_address with 32 bytes of data:
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
89
AWS Site-to-Site VPN Guia do usuárioCisco ASA
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
router# debug crypto ipsec
Para desativar a depuração, use o comando a seguir.
router# no debug crypto ipsec
RoteamentoExecute ping na outra extremidade do túnel. Se estiver funcionando, é provável que seu IPsec estejaestabelecido, Se não estiver, verifique as listas de acesso e consulte a seção de IPsec anterior.
Se não conseguir acessar as instâncias, verifique as seguintes informações:
1. Verifique se a lista de acesso está configurada para permitir tráfego associado ao mapa decriptografia.
É possível fazer isso usando o comando a seguir.
ciscoasa# show run crypto
crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
2. Verifique a lista de acesso usando o comando a seguir.
ciscoasa# show run access-list access-list-name
access-list access-list-name extended permit ip any vpc_subnet subnet_mask
3. Verifique se a lista de acesso está correta. A lista de acesso de exemplo a seguir permite todo otráfego interno para a sub-rede 10.0.0.0/16 da VPC.
access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
4. Execute o comando traceroute no dispositivo Cisco ASA para ver se é possível alcançar os routers daAmazon (por exemplo, AWS_ENDPOINT_1/AWS_ENDPOINT_2).
Se conseguir acessar o roteador da Amazon, verifique as rotas estáticas adicionadas no console daAmazon VPC e os grupos de segurança para instâncias específicas.
5. Para solucionar outros problemas, revise a configuração.
90
AWS Site-to-Site VPN Guia do usuárioCisco IOS
Solução de problemas de conectividade do dispositivode gateway do cliente do Cisco IOSAo solucionar um problema de conectividade em um dispositivo de gateway do cliente da Cisco, considerequatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquersequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
IKEUse o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configuradocorretamente.
router# show crypto isakmp sa
IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE
Você deve ver uma ou mais linhas contendo um valor de src do gateway remoto especificado nos túneis.O state deve ser QM_IDLE e o status deve ser ACTIVE. A ausência de uma entrada, ou de qualquerentrada em outro estado, indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log quefornecem informações de diagnóstico.
router# term monrouter# debug crypto isakmp
Para desativar a depuração, use o comando a seguir.
router# no debug crypto isakmp
IPsecUse o seguinte comando. A resposta mostra um gateway do cliente com o IPsec configuradocorretamente.
router# show crypto ipsec sa
interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0
91
AWS Site-to-Site VPN Guia do usuárioCisco IOS
#send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)
inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2 Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
92
AWS Site-to-Site VPN Guia do usuárioCisco IOS
outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Para a interface de cada túnel, você deve ver inbound esp sas e outbound esp sas. Supondoque uma SA esteja listada (spi: 0xF95D2F3C, por exemplo) e o Status seja ACTIVE, o IPsec estaráconfigurado corretamente.
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
router# debug crypto ipsec
Use o comando a seguir para desativar a depuração.
router# no debug crypto ipsec
TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações,consulte Configurar um firewall entre a Internet e o dispositivo de gateway do cliente (p. 34).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir.
router# show interfaces tun1
Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer
93
AWS Site-to-Site VPN Guia do usuárioCisco IOS
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
Verifique se o line protocol está em execução. Verifique se o endereço IP de origem, a interface deorigem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externodo dispositivo de gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual.Verifique se o Tunnel protection via IPSec está presente. Execute o comando em ambas asinterfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicascom o dispositivo de gateway do cliente.
Além disso, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual.
router# ping 169.254.255.1 df-bit size 1410
Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!
Você deve ver cinco pontos de exclamação.
Para solucionar outros problemas, revise a configuração.
BGPUse o seguinte comando.
router# show ip bgp summary
BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1
Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor State/PfxRcd de 1.
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente estáanunciando a rota padrão (0.0.0.0/0) para a VPC.
router# show bgp all neighbors 169.254.255.1 advertised-routes
For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale
94
AWS Site-to-Site VPN Guia do usuárioCisco IOS sem BGP
Origin codes: i - IGP, e - EGP, ? - incomplete
Originating default network 0.0.0.0
Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i
Total number of prefixes 1
Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual.
router# show ip route bgp
10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
Para solucionar outros problemas, revise a configuração.
Solução de problemas do dispositivo de gateway docliente do Cisco IOS sem conectividade de BorderGateway ProtocolAo solucionar um problema de conectividade em um dispositivo de gateway do cliente da Cisco, consideretrês fatores: IKE, IPsec e túnel. É possível solucionar problemas nessas áreas em qualquer sequência,mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
IKEUse o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configuradocorretamente.
router# show crypto isakmp sa
IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE
Você deve ver uma ou mais linhas contendo um valor de src do gateway remoto especificado nos túneis.O state deve ser QM_IDLE e o status deve ser ACTIVE. A ausência de uma entrada, ou de qualquerentrada em outro estado, indica que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log quefornecem informações de diagnóstico.
router# term monrouter# debug crypto isakmp
Para desativar a depuração, use o comando a seguir.
router# no debug crypto isakmp
95
AWS Site-to-Site VPN Guia do usuárioCisco IOS sem BGP
IPsecUse o seguinte comando. A resposta mostra um gateway do cliente com o IPsec configuradocorretamente.
router# show crypto ipsec sa
interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)
inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel2 Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122
protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
96
AWS Site-to-Site VPN Guia do usuárioCisco IOS sem BGP
#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)
inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE
outbound ah sas:
outbound pcp sas:
Para a interface de cada túnel, você deve ver esp sas de entrada e esp sas de saída. Nesse caso,pressupõe-se que uma SA esteja listada (por exemplo, spi: 0x48B456A6), que o status seja ACTIVE eque o IPsec esteja configurado corretamente.
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
router# debug crypto ipsec
Para desativar a depuração, use o comando a seguir.
router# no debug crypto ipsec
TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações,consulte Configurar um firewall entre a Internet e o dispositivo de gateway do cliente (p. 34).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir.
router# show interfaces tun1
97
AWS Site-to-Site VPN Guia do usuárioCisco IOS sem BGP
Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
Verifique se o protocolo de linha está em execução. Verifique se o endereço IP de origem, a interface deorigem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externodo dispositivo de gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual.Verifique se o Tunnel protection through IPSec está presente. Execute o comando em ambas asinterfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicascom o dispositivo de gateway do cliente.
Você pode também usar o comando a seguir e substituir 169.254.249.18 pelo endereço IP interno deseu gateway privado virtual.
router# ping 169.254.249.18 df-bit size 1410
Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!
Você deve ver cinco pontos de exclamação.
Roteamento
Para ver sua tabela de rotas estáticas, use o comando a seguir.
router# sh ip route static
1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2
Você verá que existe uma rota estática para o CIDR da VPC por meio de ambos os túneis. Se não houver,adicione as rotas estáticas conforme indicado a seguir.
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100
98
AWS Site-to-Site VPN Guia do usuárioJuniper JunOS
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
Verificação do monitor de SLA
router# show ip sla statistics 100
IPSLAs Latest Operation Statistics
IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever
router# show ip sla statistics 200
IPSLAs Latest Operation Statistics
IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever
O valor para Number of successes indica se o monitor de SLA foi configurado com êxito.
Para solucionar outros problemas, revise a configuração.
Solução de problemas de conectividade do dispositivode gateway do cliente do Juniper JunOSAo solucionar um problema de conectividade em um dispositivo gateway do cliente da Juniper, considerequatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquersequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.
IKEUse o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configuradocorretamente.
user@router> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main
Você deve ver uma ou mais linhas contendo um endereço remoto do gateway remoto especificado nostúneis. O State deve ser UP. A ausência de uma entrada, ou de qualquer entrada em outro estado (comoDOWN), indica que o IKE não está configurado apropriadamente.
99
AWS Site-to-Site VPN Guia do usuárioJuniper JunOS
Para solucionar outros problemas, habilite as opções de rastreamento de IKE, conforme recomendado noarquivo de configuração de exemplo. Em seguida, execute o comando a seguir para imprimir na tela umavariedade de mensagens de depuração.
user@router> monitor start kmd
Em um host externo, é possível recuperar o arquivo de log completo com o comando a seguir.
scp [email protected]:/var/log/kmd
IPsecUse o seguinte comando. A resposta mostra um gateway do cliente com o IPsec configuradocorretamente.
user@router> show security ipsec security-associations
Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0
Mais especificamente, você deve ver pelo menos duas linhas por endereço de gateway (correspondentesao gateway remoto). Os operadores maior e menor no início de cada linha (< >) indicam a direção dotráfego para a entrada específica. A saída tem linhas distintas para tráfego de entrada ("<", tráfego dogateway privado virtual para esse dispositivo de gateway do cliente) e tráfego de saída (">").
Para solucionar outros problemas, habilite as opções de rastreamento de IKE (para obter maisinformações, consulte a seção precedente sobre IKE).
TúnelPrimeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma listade regras, consulte Configurar um firewall entre a Internet e o dispositivo de gateway do cliente (p. 34).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir.
user@router> show interfaces st0.1
Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2
Verifique se Security: Zone está correto e se o endereço Local corresponde ao túnel do dispositivo degateway do cliente dentro do endereço.
100
AWS Site-to-Site VPN Guia do usuárioJuniper JunOS
Em seguida, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.
user@router> ping 169.254.255.1 size 1382 do-not-fragment
PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
Para solucionar outros problemas, revise a configuração.
BGPExecute o seguinte comando.
user@router> show bgp summary
Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0
Para solucionar outros problemas, use o comando a seguir e substitua 169.254.255.1 pelo endereço IPinterno de seu gateway privado virtual.
user@router> show bgp neighbor 169.254.255.1
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000
101
AWS Site-to-Site VPN Guia do usuárioJuniper ScreenOS
RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0
Aqui você deve visualizar Received prefixes e Advertised prefixes listados com 1. Isso deverestar dentro da seção Table inet.0.
Se o State não for Established, verifique o Last State e o Last Error para obter detalhes sobre oque é necessário para corrigir o problema.
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente estáanunciando a rota padrão (0.0.0.0/0) para a VPC.
user@router> show route advertising-protocol bgp 169.254.255.1
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I
Além disso, verifique se você está recebendo o prefixo que corresponde à VPC do gateway privado virtual.
user@router> show route receive-protocol bgp 169.254.255.1
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I
Solução de problemas de conectividade de gatewaydo cliente do Juniper ScreenOSAo solucionar um problema de conectividade em um dispositivo de gateway do cliente do JuniperScreenOS, considere quatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessasáreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) eseguir em frente.
IKE e IPsecUse o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configuradocorretamente.
ssg5-serial-> get sa
total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 0
102
AWS Site-to-Site VPN Guia do usuárioJuniper ScreenOS
00000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0
Você deve ver uma ou mais linhas contendo um endereço remoto do gateway remoto especificado nostúneis. O valor Sta deve ser A/- e o SPI deve ser um número hexadecimal diferente de 00000000. Asentradas em outros estados indicam que o IKE não está configurado apropriadamente.
Para solucionar outros problemas, habilite as opções de rastreamento de IKE (conforme recomendado noarquivo de configuração de exemplo).
TúnelPrimeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma listade regras, consulte Configurar um firewall entre a Internet e o dispositivo de gateway do cliente (p. 34).
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir.
ssg5-serial-> get interface tunnel.1
Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1
Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN
pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled
OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps
Verifique se link:ready está presente e se o endereço IP corresponde ao endereço interno do túnel dodispositivo de gateway do cliente.
Em seguida, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.
ssg5-serial-> ping 169.254.255.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
103
AWS Site-to-Site VPN Guia do usuárioJuniper ScreenOS
!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
Para solucionar outros problemas, revise a configuração.
BGPExecute o seguinte comando.
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59
O estado de ambos os peers de BGP deve ser ESTABLISH, o que significa que a conexão de BGP com ogateway privado virtual está ativa.
Para solucionar outros problemas, use o comando a seguir e substitua 169.254.255.1 pelo endereço IPinterno de seu gateway privado virtual.
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente estáanunciando a rota padrão (0.0.0.0/0) para a VPC. Esse comando aplica-se ao ScreenOS versão 6.2.0 esuperior.
104
AWS Site-to-Site VPN Guia do usuárioYamaha
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised
i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1
Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual.Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.
ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received
i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1
Solução de problemas de conectividade do dispositivode gateway do cliente da YamahaAo solucionar um problema de conectividade em um dispositivo de gateway do cliente da Yamaha,considere quatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas emqualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir emfrente.
IKEExecute o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKEconfigurado corretamente.
# show ipsec sa gateway 1
sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1
Você deve ver uma linha contendo um valor remote-id do gateway remoto especificado nos túneis. Épossível listar todas as associações de segurança (SAs) omitindo o número de túneis.
Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log de nívelde DEPURAÇÃO que fornecem informações de diagnóstico.
# syslog debug on# ipsec ike log message-info payload-info key-info
Para cancelar os itens registrados, execute o comando a seguir.
# no ipsec ike log# no syslog debug on
105
AWS Site-to-Site VPN Guia do usuárioYamaha
IPsecExecute o seguinte comando. A resposta mostra um gateway do cliente com o IPsec configuradocorretamente.
# show ipsec sa gateway 1 detail
SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------
Para a interface de cada túnel, você deve ver receive sas e send sas.
Para solucionar outros problemas, use o comando a seguir para ativar a depuração.
# syslog debug on# ipsec ike log message-info payload-info key-info
Execute o comando a seguir para desabilitar a depuração.
# no ipsec ike log# no syslog debug on
TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter uma lista de regras,consulte Configurar um firewall entre a Internet e o dispositivo de gateway do cliente (p. 34).
106
AWS Site-to-Site VPN Guia do usuárioYamaha
Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir.
# show status tunnel 1
TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]
Verifique se o valor de current status é online e se Interface type é IPsec. Lembre-se deexecutar o comando em ambas as interfaces do túnel. Para solucionar qualquer problema aqui, revise aconfiguração.
BGPExecute o seguinte comando.
# show status bgp neighbor
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0
BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:
Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor BGP state de Active.
Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente estáanunciando a rota padrão (0.0.0.0/0) para a VPC.
# show status bgp neighbor 169.254.255.1 advertised-routes
Total routes: 1*: valid route Network Next Hop Metric LocPrf Path
107
AWS Site-to-Site VPN Guia do usuárioYamaha
* default 0.0.0.0 0 IGP
Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual.
# show ip route
Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124
108
AWS Site-to-Site VPN Guia do usuárioIdentificar uma conexão Site-to-Site VPN
Trabalhar com Site-to-Site VPNVocê pode trabalhar com recursos da Site-to-Site VPN usando o console da Amazon VPC ou a AWS CLI.
Tópicos• Identificar uma conexão Site-to-Site VPN (p. 109)• Migrar da VPN AWS Classic para a VPN AWS (p. 110)• Criar um anexo de VPN de gateway de trânsito (p. 115)• Testar a conexão Site-to-Site VPN (p. 116)• Excluir uma conexão Site-to-Site VPN (p. 117)• Modificar o gateway de destino de uma conexão Site-to-Site VPN (p. 118)• Modificar opções de túnel Site-to-Site VPN (p. 121)• Editar rotas estáticas para uma conexão Site-to-Site VPN (p. 122)• Alterar o gateway do cliente para uma conexão Site-to-Site VPN (p. 123)• Substituir credenciais comprometidas (p. 123)• Alternar certificados de endpoint do túnel da Site-to-Site VPN (p. 124)
Identificar uma conexão Site-to-Site VPNVocê pode encontrar a categoria da sua conexão Site-to-Site VPN usando o console da Amazon VPC ouuma ferramenta de linha de comando.
Para identificar a categoria da Site-to-Site VPN usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione a conexão Site-to-Site VPNe verifique o valor da Category (Categoria) no painel de
detalhes. Um valor de VPN indica uma conexão VPN AWS. Um valor de VPN-Classic indica umaconexão VPN AWS Classic.
Para identificar a categoria da Site-to-Site VPN usando uma ferramenta de linha de comando
• Você pode usar o comando describe-vpn-connections da AWS CLI. Na saída retornada, anote o valorde Category. Um valor de VPN indica uma conexão VPN AWS. Um valor de VPN-Classic indicauma conexão VPN AWS Classic.
No exemplo a seguir, a conexão Site-to-Site VPN é uma conexão VPN AWS.
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
{ "VpnConnections": [
109
AWS Site-to-Site VPN Guia do usuárioMigrar da VPN AWS Classic para a VPN AWS
{ "VpnConnectionId": "vpn-1a2b3c4d",
...
"State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34", "Type": "ipsec.1", "Category": "VPN" } ]}
Como alternativa, use um dos seguintes comandos:
• DescribeVpnConnections (API de consulta do Amazon EC2)• Get-EC2VpnConnection (Tools para Windows PowerShell)
Migrar da VPN AWS Classic para a VPN AWSSe a conexão Site-to-Site VPN existente for uma conexão VPN AWS Classic, você poderá migrar parauma conexão VPN AWS. É possível migrar diretamente para um novo gateway privado virtual (opção 1) oumigrar usando um gateway de trânsito (opção 2). Durante o procedimento para a opção 1, a conexão Site-to-Site VPN é interrompida temporariamente quando você desanexa o gateway privado virtual antigo daVPC. Durante o procedimento para a opção 2, a conexão Site-to-Site VPN não é interrompida, no entanto,você incorrerá em custos de gateway de trânsito adicionais.
Se usar uma conexão VPN AWS Classic como backup para a conexão AWS Direct Connect, você poderáexcluir e recriar a conexão Site-to-Site VPN (opção 3). Durante o procedimento para a opção 3, não hátempo de inatividade na interface privada virtual do AWS Direct Connect.
Se o gateway privado virtual existente estiver associado a várias conexões Site-to-Site VPN, você deverárecriar cada conexão Site-to-Site VPN para o novo gateway privado virtual. Se houver várias interfacesvirtuais privadas do AWS Direct Connect anexadas ao gateway privado virtual, você deverá recriar cadainterface virtual privada para o novo gateway privado virtual. Para obter mais informações, consulte Comocriar uma interface virtual no Guia do usuário do AWS Direct Connect.
Se a sua conexão Site-to-Site VPN existente for uma conexão VPN AWS, você não poderá migrar parauma conexão VPN AWS Classic.
Tópicos• Opção 1: migrar diretamente para um novo gateway privado virtual (p. 110)• Opção 2: migrar usando um gateway de trânsito (p. 112)• Opção 3: (Conexões VPN de backup para o AWS Direct Connect) Excluir e recriar a conexão
VPN (p. 114)
Opção 1: migrar diretamente para um novo gatewayprivado virtualNessa opção, você cria um gateway privado virtual e uma conexão Site-to-Site VPN, desanexa o gatewayprivado virtual antigo da VPC e anexa o novo gateway privado virtual à VPC.
110
AWS Site-to-Site VPN Guia do usuárioOpção 1: migrar diretamente paraum novo gateway privado virtual
Note
Durante esse procedimento, a conectividade na conexão Site-to-Site VPN atual será interrompidaquando você desabilitar a propagação de rotas e desanexar o gateway privado virtual antigo daVPC. A conectividade será restaurada quando o novo gateway privado virtual for anexado à VPCe a nova conexão Site-to-Site VPN estiver ativa. Planeje tempo de inatividade esperado.
Para migrar para uma conexão VPN AWS
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Virtual Private Gateways (Gateways privados virtuais), Create Virtual
Private Gateway (Criar gateway privado virtual) e crie um gateway privado virtual.3. No painel de navegação, escolha Conexões Site-to-Site VPN, Criar conexão VPN. Especifique as
seguintes informações e escolha Yes, Create (Sim, criar).
• Virtual Private Gateway (Gateway privado virtual): selecione o gateway privado virtual que vocêcriou na etapa anterior.
• Customer Gateway (Gateway do cliente): escolha Existing (Existente) e selecione o gateway docliente existente para a sua conexão VPN AWS Classic.
• Especifique as opções de roteamento conforme necessário.4. Selecione sua nova conexão Site-to-Site VPN e escolha Download Configuration (Fazer download
da configuração). Faça o download do arquivo de configuração apropriado para seu dispositivo degateway do cliente.
5. Use o arquivo de configuração para configurar os túneis de VPN em seu dispositivo de gateway docliente. Para obter mais informações, consulte O dispositivo de gateway do cliente (p. 29). Não habiliteos túneis ainda. Entre em contato com seu fornecedor se precisa de orientação sobre como manter ostúneis recém-configurados desativados.
6. (Opcional) Crie o VPC de teste e anexe o gateway privado virtual ao VPC de teste. Altere osendereços de domínio da criptografia/destino fonte conforme necessário e teste a conectividade dohost em sua rede local para uma instância de teste na VPC de teste.
7. Se você estiver usando a propagação de rotas para sua tabela de rotas, escolha Tabelas de rotas nopainel de navegação. Selecione a tabela de rotas para o VPC e escolha Propagação de rotas, Editar.Limpe a caixa de seleção para o gateway privado virtual antigo e escolha Save (Salvar).
Note
A partir dessa etapa, a conectividade será interrompida até que o novo gateway privadovirtual seja anexado e a nova conexão Site-to-Site VPN esteja ativa.
8. No painel de navegação, escolha Virtual Private Gateways (Gateways privados virtuais). Selecione ogateway privado virtual antigo e escolha Actions (Ações), Detach from VPC (Desanexar da VPC), Yes,Detach (Sim, desanexar). Selecione o novo gateway privado virtual e escolha Actions (Ações), Attachto VPC (Anexar à VPC). Especifique a VPC para sua conexão Site-to-Site VPN e escolha Yes, Attach(Sim, anexar).
9. No painel de navegação, escolha Route Tables. Selecione a tabela de rotas para a VPC e faça oseguinte:
• Se você estiver usando a propagação de rotas e escolha Propagação de rotas, Editar. Selecione onovo gateway privado virtual anexado à VPC e escolha Salvar.
• Se você estiver rotas estáticas, escolha Rotas, Editar. Modificar a rota a fim de apontar para o novogateway privado virtual e escolha Salvar.
10. Habilite os túneis novos em seu dispositivo de gateway do cliente e desabilite os túneis antigos. Paraacessar o túnel, você deve iniciar a conexão em sua rede local.
Se aplicável, verifique a tabela de rotas para garantir que as rotas sejam propagadas. As rotas sepropagam para a tabela de rotas quando o status do túnel VPN for UP.
111
AWS Site-to-Site VPN Guia do usuárioOpção 2: migrar usando um gateway de trânsito
Note
Se você precisar reverter para a configuração anterior, desanexe o novo gateway privadovirtual e siga as etapas 8 e 9 para reanexar o antigo gateway privado virtual e atualizar suasrotas.
11. Se você não precisa mais da conexão VPN AWS Classic e não deseja continuar a receber a cobrançade taxas para tal, remova as configurações anteriores de túnel de seu dispositivo de gateway docliente e exclua a conexão Site-to-Site VPN. Para fazer isso, vá para Site-to-Site VPN Connections(Conexões Site-to-Site VPN), selecione a conexão Site-to-Site VPN e escolha Delete (Excluir).
Important
Depois que você excluir a conexão VPN AWS Classic, não será possível reverter ou migrarsua nova conexão VPN AWS de volta para uma conexão VPN AWS Classic.
Opção 2: migrar usando um gateway de trânsitoNessa opção, crie um gateway de trânsito, anexe-o à VPC na qual a conexão Site-to-Site VPN residee crie uma conexão Site-to-Site VPN temporária no gateway de trânsito usando o gateway do clienteexistente. Depois, roteie o tráfego pela conexão VPN do gateway de trânsito enquanto configura uma novaconexão Site-to-Site VPN em um novo gateway privado virtual.
Como alternativa, é possível usar essa opção para migrar a conexão Site-to-Site VPN diretamente para umgateway de trânsito. Nesse caso, crie a nova conexão VPN no gateway de trânsito em vez de criá-la emum novo gateway privado virtual.
Etapa 1: criar um gateway de trânsito e uma conexão VPNComo criar um gateway de trânsito e uma conexão VPN
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Transit Gateways (Gateways de trânsito), Create Transit Gateway
(Criar gateway de trânsito) e crie um gateway de trânsito usando as opções padrão.3. No painel de navegação, escolha Transit Gateway Attachments (Anexos do gateway de trânsito),
Create Transit Gateway Attachment (Criar anexo do gateway de trânsito). Especifique as informaçõesa seguir e escolha Create attachment (Criar anexo).
• Em Transit Gateway ID (ID do gateway de trânsito), escolha o gateway de trânsito que você criou.• Em VPC ID (ID da VPC), escolha a VPC a ser anexada ao gateway de trânsito.
4. Selecione Create Transit Gateway Attachment (Criar anexo do gateway de trânsito) novamente,especifique as informações a seguir e escolha Create attachment (Criar anexo).
• Em Transit Gateway ID (ID do gateway de trânsito), escolha o gateway de trânsito que você criou.• Em Attachment type (Tipo de anexo), escolha VPN.• Em Customer Gateway ID (ID do gateway do cliente), escolha o gateway do cliente da conexão
Site-to-Site VPN existente e selecione a opção de roteamento necessária.
Etapa 2: criar um gateway privado virtualCrie um gateway privado virtual e uma conexão Site-to-Site VPN. Essa etapa só é necessária se vocêquiser migrar para um novo gateway privado virtual. Se deseja migrar a conexão VPN para um gateway detrânsito, você pode ignorar essas etapas e ir diretamente para a Etapa 3 (p. 113).
112
AWS Site-to-Site VPN Guia do usuárioOpção 2: migrar usando um gateway de trânsito
Como criar uma nova conexão Site-to-Site VPN
1. No painel de navegação, selecione Virtual Private Gateways (Gateways privados virtuais), CreateVirtual Private Gateway (Criar gateway privado virtual) e crie um gateway privado virtual.
2. No painel de navegação, escolha Conexões Site-to-Site VPN, Criar conexão VPN.3. Em Virtual Private Gateway (Gateway privado virtual), selecione o gateway privado virtual criado.4. Em Customer Gateway ID (ID do gateway do cliente), selecione o gateway do cliente existente
para a conexão Site-to-Site VPN existente e especifique o tipo de roteamento. Escolha Create VPNConnection (Criar conexão VPN).
5. Selecione a nova conexão Site-to-Site VPN e selecione Download Configuration (Fazer download daconfiguração) para fazer download do arquivo de configuração de exemplo. Configure a conexão VPNno dispositivo de gateway do cliente, mas não roteie nenhum tráfego ainda (não crie rotas estáticasnem filtre anúncios BGP).
Etapa 3: alternar para a nova conexão VPNDurante este procedimento, você habilitará temporariamente o roteamento assimétrico para o tráfego daVPN quando alternar o tráfego para o gateway de trânsito e, depois, para a nova conexão Site-to-SiteVPN.
Como alternar para a nova conexão Site-to-Site VPN
1. Configure o dispositivo de gateway do cliente para usar a conexão VPN no gateway de trânsito(especifique uma rota estática ou permita anúncios BGP, conforme necessário). Isso inicia oroteamento de tráfego assimétrico.
2. No painel de navegação, selecione Route Tables (Tabelas de rotas), escolha a tabela de rotas da suaVPC e selecione Actions (Ações), Edit routes (Editar rotas).
3. Adicione rotas que apontam para sua rede no local e selecione o gateway de trânsito como odestino. Para as rotas de destino, insira rotas mais específicas, por exemplo, se a rede no localfor 10.0.0.0/16, crie uma rota que aponte para 10.0.0.0/17 e outra rota que aponte para10.0.128.0/17. O roteamento de tráfego assimétrico é interrompido e todo o tráfego é roteado pelogateway de trânsito.
Note
Se estiver migrando a conexão VPN para um gateway de trânsito em vez de um novogateway privado virtual, você poderá parar aqui.
4. No painel de navegação, escolha Gateways privados virtuais.5. Escolha o gateway privado virtual antigo que está anexado à VPC e selecione Actions (Ações), Detach
from VPC (Desanexar da VPC). Escolha Yes, Detach.6. Escolha o novo gateway privado virtual criado anteriormente e selecione Actions (Ações), Attach to
VPC (Anexar à VPC). Selecione a VPC e Yes, Attach (Sim, anexar).7. No painel de navegação, escolha Route Tables. Escolha a tabela de rotas para a VPC e selecione
Route Propagation (Propagação de rotas), Edit route propagation (Editar propagação de rotas).Marque a caixa de seleção do novo gateway privado virtual e selecione Save (Salvar). Verifique se arota é propagada para a tabela de rotas da VPC.
8. Configure o dispositivo de gateway do cliente para usar o novo gateway privado virtual e rotearo tráfego da rede no local para a VPC, usando rotas estáticas ou BGP. Isso inicia o roteamentoassimétrico.
9. No painel de navegação, escolha Route Tables. Escolha a tabela de rotas da VPC e selecione Actions(Ações), Edit routes (Editar rotas). Exclua as rotas mais específicas para o gateway de trânsito. Issointerrompe o fluxo de tráfego assimétrico e todo o tráfego é roteado pela nova conexão Site-to-SiteVPN.
113
AWS Site-to-Site VPN Guia do usuárioOpção 3: (Conexões VPN de backup para o AWSDirect Connect) Excluir e recriar a conexão VPN
Etapa 4: LimpezaSe não precisar mais da conexão VPN AWS Classic, você poderá excluí-la. Se tiver migrado para um novogateway privado virtual, você também poderá excluir a conexão VPN do gateway de trânsito e o gatewayde trânsito criado para a migração.
Para liberar recursos
1. No dispositivo de gateway do cliente, remova a configuração da conexão VPN temporária no gatewayde trânsito e a configuração da conexão VPN antiga.
2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN),selecione a conexão Site-to-Site VPN antiga e Actions (Ações), Delete (Excluir).
3. No painel de navegação, escolha Virtual Private Gateways (Gateways privados virtuais), selecioneseu gateway privado virtual antigo e selecione Actions (Ações), Delete Virtual Private Gateway (Excluirgateway privado virtual). Se você migrou a conexão VPN para um gateway de trânsito, pode pararaqui.
4. No painel de navegação, selecione Site-to-Site VPN Connections (Conexões Site-to-Site VPN) eescolha a conexão VPN do gateway de trânsito. Escolha Actions, Delete.
5. No painel de navegação, selecione Transit Gateway Attachments (Anexos do gateway de trânsito) eescolha o anexo da VPC. Escolha Actions, Delete.
6. No painel de navegação, selecione Transit Gateways (Gateways de trânsito) e escolha o gateway detrânsito. Escolha Actions, Delete.
Opção 3: (Conexões VPN de backup para o AWSDirect Connect) Excluir e recriar a conexão VPNUse essa opção se tiver uma conexão ao AWS Direct Connect e uma conexão VPN AWS Classic nomesmo gateway privado virtual e usar a conexão VPN como backup para a conexão ao AWS DirectConnect. Nessa opção, você exclui as conexões VPN AWS Classic existentes em seu gateway privadovirtual. Quando as conexões VPN AWS Classic estão no estado deleted, você pode migrar para umaconexão VPN AWS criando uma conexão VPN no mesmo gateway privado virtual. Você não precisa fazernenhuma alteração na interface virtual privada do AWS Direct Connect existente.
Important
Durante este procedimento, a conectividade por meio da sua interface virtual privada do AWSDirect Connect não é interrompida, mas você não terá nenhuma conectividade por meio daconexão Site-to-Site VPN (zero tempo de inatividade com perda de redundância). A conectividadepor meio da conexão VPN é restaurada quando as conexões VPN são recriadas no gatewayprivado virtual. Certifique-se de planejar em relação a essa perda de redundância.Depois que você excluir a conexão VPN AWS Classic, não será possível reverter ou migrar suanova conexão VPN AWS de volta para uma conexão AWS Classic.
Migração de uma conexão VPN AWS
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN) e
escolha a conexão VPN AWS Classic. Escolha Actions, Delete.3. Remova as configurações anteriores do túnel do dispositivo de gateway do cliente.4. Repita as duas etapas anteriores até ter eliminado todas as conexões VPN AWS Classic para o
gateway privado virtual. Aguarde até que as conexões VPN entrem no estado deleted.5. Escolha Create VPN Connection (Criar conexão VPN). Especifique as seguintes informações e
escolha Create VPN Connection (Criar conexão VPN).
114
AWS Site-to-Site VPN Guia do usuárioCriar um anexo de VPN de gateway de trânsito
• Virtual Private Gateway (Gateway privado virtual): escolha o gateway privado virtual que você usoupara a conexão VPN AWS Classic.
• Gateway do cliente: Escolha Existing (Existente), e selecione o gateway do cliente existente para asua conexão VPN AWS Classic.
• Especifique as opções de roteamento conforme necessário.6. Selecione sua nova conexão Site-to-Site VPN e escolha Download Configuration (Fazer download
da configuração). Faça o download do arquivo de configuração apropriado para seu dispositivo degateway do cliente.
7. Use o arquivo de configuração para configurar os túneis de VPN em seu dispositivo de gateway docliente. Para obter mais informações, consulte O dispositivo de gateway do cliente (p. 29).
8. Ative os novos túneis no dispositivo de gateway do cliente. Para ativar os túneis, você deve iniciar aconexão em sua rede local.
Se aplicável, verifique a tabela de rotas para garantir que as rotas estão sendo propagadas. As rotas sepropagam para a tabela de rotas quando o status do túnel VPN for UP.
Criar um anexo de VPN de gateway de trânsitoPara criar um anexo de VPN em um gateway de trânsito, especifique o gateway do cliente. Para obter maisinformações sobre como criar um gateway de trânsito, consulte Gateways de trânsito no Gateways detrânsito da Amazon VPC.
Para criar um anexo da VPN usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN de local para local Connections (Conexões VPN de local para
local).3. Escolha Create VPN Connection (Criar conexão VPN).4. Para Target Gateway Type (Tipo de gateway de destino), selecione Transit Gateway (Gateway de
trânsito) e escolha o gateway de trânsito no qual criar o anexo.5. Em Customer Gateway (Gateway do cliente, siga uma das opções a seguir:
• Para usar um gateway do cliente existente, escolha Existing (Existente) e selecione o gatewayque você quer usar.
Se o gateway do cliente estiver atrás de um dispositivo de tradução de endereço de rede (NAT),que esteja habilitado para NAT traversal (NAT-T), use o endereço IP público do dispositivo NAT eajuste as regras de firewall para desbloquear a porta UDP 4500.
• Para criar um gateway do cliente, escolha New (Novo).
Para IP Address (Endereço IP), insira um endereço IP público estático. Para BGP ASN, informe oNúmero de sistema autônomo (ASN) do Border Gateway Protocol (BGP) do gateway do cliente.Para Certificate ARN (ARN do certificado), escolha o ARN do certificado privado (se estiverusando autenticação baseada em certificado).
Em Routing options (Opções de roteamento), escolha entre Dynamic (Dinâmico) ou Static(Estático).
6. (Opcional) Para Enable Acceleration (Habilitar aceleração), marque a caixa de seleção parahabilitar a aceleração. Para obter mais informações, consulte Conexões VPN de local para localaceleradas (p. 10).
Se você habilitar a aceleração, criaremos dois aceleradores que são usados pela sua conexão VPN.Aplicam-se cobranças adicionais.
115
AWS Site-to-Site VPN Guia do usuárioTestar a conexão Site-to-Site VPN
7. Para obter as Tunnel Options (Opções de túnel), consulte Opções de túnel de Site-to-Site VPN parasua conexão Site-to-Site VPN (p. 5).
8. Escolha Create VPN Connection (Criar conexão VPN).
Para criar um anexo da VPN usando a AWS CLI
Use o comando create-vpn-connection e especifique o ID do gateway de trânsito para a opção --transit-gateway-id.
Testar a conexão Site-to-Site VPNApós criar a conexão AWS Site-to-Site VPN e configurar o gateway do cliente, você pode executar umainstância e testar a conexão executando um ping na instância.
Antes de começar, certifique-se do seguinte:
• Use uma AMI que responda a solicitações de ping. Recomendamos que você use uma das AMIs doAmazon Linux.
• Configure qualquer grupo de segurança ou network ACL na VPC que filtre o tráfego para a instânciapara permitir o tráfego ICMP de entrada e de saída.
• Caso as instâncias executem o Windows Server, conecte-se à instância e permita o ICMPv4 de entradano firewall do Windows para que o ping seja executado na instância.
• (Roteamento estático) Certifique-se de que o dispositivo de gateway do cliente tenha uma rota estáticapara sua VPC e que sua conexão VPN tenha uma rota estática para que o tráfego possa retornar aodispositivo de gateway do cliente.
• (Roteamento dinâmico) Certifique-se de que o status BGP no dispositivo de gateway do clienteesteja estabelecido. Leva cerca de 30 segundos para que a sessão de emparelhamento de BGP sejaestabelecida. Verifique se as rotas estão anunciadas com BGP corretamente e à mostra na tabela derotas da sub-rede de modo que o tráfego possa voltar ao gateway do cliente. Verifique se os dois túneisestão configurados com roteamento BGP.
• Verifique se você configurou o roteamento nas tabelas de rotas da sub-rede para a conexão VPN.
Testar a conectividade de ponta a ponta
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel, escolha Launch Instance.3. Na página Escolha uma Imagem de máquina da Amazon (AMI), escolha uma AMI e selecione
Selecionar.4. Selecione um tipo de instância e, então, escolha Next: Configure Instance Details.5. Na página Configurar detalhes da instância, em Rede, selecione sua VPC. Em Sub-rede, selecione
sua sub-rede. Escolha Próximo até alcançar a página Configure Security Group .6. Escolha a opção Select an existing security group (Selecionar um grupo de segurança existente) e
selecione o grupo configurado anteriormente. Escolha Review and Launch.7. Revise as configurações que você escolheu. Faça as alterações necessárias e, então, escolha Launch
para selecionar um par de chaves e executar a instância.8. Depois que a instância estiver em execução, obtenha o endereço IP privado (por exemplo,
10.0.0.4). O console Amazon EC2 exibe o endereço como parte dos detalhes da instância.9. Em um computador na rede que esteja por trás do gateway do cliente, use o comando ping com o
endereço IP privado da instância. Uma resposta correta assemelha-se ao seguinte:
ping 10.0.0.4
116
AWS Site-to-Site VPN Guia do usuárioExcluir uma conexão Site-to-Site VPN
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Para testar o failover de túneis, você pode desabilitar temporariamente um dos túneis no dispositivo degateway do cliente e repetir a etapa acima. Não é possível desativar um túnel no lado da AWS da conexãoVPN.
Você pode usar SSH ou RDP para se conectar à sua instância na VPC. Para obter mais informações sobrecomo conectar-se a uma instância do Linux, consulte Conectar-se à sua instância do Linux no Guia dousuário do Amazon EC2 para instâncias do Linux. Para obter mais informações sobre como conectar-sea uma instância do Windows, consulte Conectar-se à sua instância do Windows no Guia do usuário doAmazon EC2 para instâncias do Windows.
Excluir uma conexão Site-to-Site VPNVocê pode excluir uma conexão AWS Site-to-Site VPN caso não precise mais dela.
Important
Se você eliminar a conexão Site-to-Site VPN e criar uma nova, você precisará fazer download deum novo arquivo de configuração e reconfigurar o dispositivo de gateway do cliente.
Para excluir uma conexão Site-to-Site VPN usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione a conexão Site-to-Site VPN e escolha Actions (Ações), Delete (Excluir).4. Escolha Delete (Excluir).
Caso não precise mais de um gateway do cliente, exclua-o. Não é possível excluir um gateway do clienteque está sendo usado em uma conexão Site-to-Site VPN.
Para excluir um gateway do cliente usando o console
1. No painel de navegação, escolha Gateways do cliente.2. Selecione o gateway do cliente a ser excluído e escolha Actions, Delete Customer Gateway.3. Selecione Sim, excluir.
Caso não precise mais de um gateway privado virtual para a VPC, desanexe-o.
Para desanexar um gateway privado virtual usando o console
1. No painel de navegação, escolha Gateways privados virtuais.2. Selecione o gateway privado virtual e escolha Actions, Detach from VPC.
117
AWS Site-to-Site VPN Guia do usuárioModificar o gateway de destino
de uma conexão Site-to-Site VPN
3. Escolha Yes, Detach.
Caso não precise mais de um gateway privado virtual desanexado, exclua-o. Não é possível excluir umgateway privado virtual que ainda esteja anexado à VPC.
Para excluir um gateway privado virtual usando o console
1. No painel de navegação, escolha Gateways privados virtuais.2. Selecione o gateway privado virtual a ser excluído e escolha Actions, Delete Virtual Private Gateway.3. Selecione Sim, excluir.
Para excluir uma conexão Site-to-Site VPN usando a linha de comando ou a API
• DeleteVpnConnection (API de consulta do Amazon EC2)• delete-vpn-connection (AWS CLI)• Remove-EC2VpnConnection (AWS Tools para Windows PowerShell)
Para excluir um gateway do cliente usando a linha de comando ou a API
• DeleteCustomerGateway (API de consulta do Amazon EC2)• delete-customer-gateway (AWS CLI)• Remove-EC2CustomerGateway (AWS Tools para Windows PowerShell)
Para desanexar um gateway privado virtual usando a linha de comando ou a API
• DetachVpnGateway (API de consulta do Amazon EC2)• detach-vpn-gateway (AWS CLI)• Dismount-EC2VpnGateway (AWS Tools para Windows PowerShell)
Para excluir um gateway privado virtual usando a linha de comando ou a API
• DeleteVpnGateway (API de consulta do Amazon EC2)• delete-vpn-gateway (AWS CLI)• Remove-EC2VpnGateway (AWS Tools para Windows PowerShell)
Modificar o gateway de destino de uma conexãoSite-to-Site VPN
Você pode modificar o gateway de destino da conexão AWS Site-to-Site VPN. As seguintes opções demigração estão disponíveis:
• Um gateway privado virtual existente para um gateway de trânsito• Um gateway privado virtual existente para outro gateway privado virtual• Um gateway de trânsito existente para outro gateway de trânsito• Um gateway de trânsito existente para um gateway privado virtual
Depois de modificar o gateway de destino, a conexão do Site-to-Site VPN ficará indisponível durante umbreve período enquanto provisionamos os novos endpoints.
118
AWS Site-to-Site VPN Guia do usuárioEtapa 1: Criar o gateway de trânsito
As tarefas a seguir ajudam você a concluir a migração para um novo gateway.
Tarefas• Etapa 1: Criar o gateway de trânsito (p. 119)• Etapa 2: Excluir suas rotas estáticas (necessário para a migração de uma conexão VPN estática para
um gateway de trânsito) (p. 119)• Etapa 3: Migrar para um novo gateway (p. 120)• Etapa 4: Atualizar tabelas de rotas da VPC (p. 120)• Etapa 5: Atualizar o roteamento do gateway de trânsito (necessário quando o novo gateway é um
gateway de trânsito) (p. 121)• Etapa 6: Atualizar o ASN do gateway do cliente (necessário quando o novo gateway tiver um ASN
diferente do gateway antigo) (p. 121)
Etapa 1: Criar o gateway de trânsitoAntes de realizar a migração para o novo gateway, é necessário configurar o novo gateway. Para obterinformações sobre como adicionar um gateway privado virtual, consulte the section called “Criar umgateway privado virtual” (p. 16). Para obter mais informações sobre como adicionar um gateway detrânsito, consulte Criar um gateway de trânsito no Gateways de trânsito da Amazon VPC.
Se o novo gateway de destino for um gateway de trânsito, anexe as VPCs ao gateway de trânsito.Para obter informações sobre anexos de VPC, consulte Anexos do gateway de trânsito a uma VPC noGateways de trânsito da Amazon VPC.
Ao modificar o destino de um gateway privado virtual para um gateway de trânsito, você pode,opcionalmente, definir o ASN do gateway de trânsito para ter o mesmo valor que o ASN do gatewayprivado virtual. Se você optar por ter um ASN diferente, deverá definir o ASN no dispositivo gateway docliente como o ASN do gateway de trânsito. Para obter mais informações, consulte the section called“Etapa 6: Atualizar o ASN do gateway do cliente (necessário quando o novo gateway tiver um ASNdiferente do gateway antigo)” (p. 121).
Etapa 2: Excluir suas rotas estáticas (necessário paraa migração de uma conexão VPN estática para umgateway de trânsito)Esta etapa é necessária quando você migra de um gateway privado virtual com rotas estáticas para umgateway de trânsito.
É necessário excluir as rotas estáticas antes de migrar para o novo gateway.
Tip
Mantenha uma cópia da rota estática antes de excluí-la. Você precisará adicionar novamenteessas rotas ao gateway de trânsito depois que a migração da conexão VPN for concluída.
Para excluir uma rota de uma tabela de rotas
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Route Tables e selecione a tabela de rotas.3. Na guia Routes, escolha Editar e, depois, Remover para a rota estática para o gateway privado virtual.4. Escolha Save (Salvar) quando terminar.
119
AWS Site-to-Site VPN Guia do usuárioEtapa 3: Migrar para um novo gateway
Etapa 3: Migrar para um novo gateway1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione a conexão Site-to-Site VPN e escolha Actions (Ações), Modify VPN Connection (Modificar
conexão VPN).4. Em Change Target (Alterar destino), faça o seguinte:
a. Em Target Type (Tipo de destino), escolha o tipo de gateway.b. Configure a conexão de destino:
[Gateway privado virtual] Em Target VPN gateway ID (ID do gateway da VPN de destino), escolha oID do gateway privado virtual.
[Gateway de trânsito] Em Target gateway de trânsito ID (ID do gateway de trânsito de destino),escolha o ID do gateway de trânsito.
5. Escolha Save (Salvar).
Para modificar uma conexão Site-to-Site VPN usando a linha de comando ou a API
• ModifyVpnConnection (API de consulta do Amazon EC2)• modify-vpn-connection (AWS CLI)
Etapa 4: Atualizar tabelas de rotas da VPCDepois de migrar para o novo gateway, talvez seja necessário modificar a tabela de rotas da VPC. A tabelaa seguir fornece informações sobre as ações que você precisa tomar. Para obter informações sobre comoatualizar tabelas de rotas da VPC, consulte Tabelas de rotas no Guia do usuário da Amazon VPC.
Atualizações da tabela de rotas da VPC necessárias para modificar o destino do gateway VPN
Gateway existente Novo gateway Alteração de tabela de rotas daVPC
Gateway privado virtual comrotas propagadas
Gateway de trânsito Adicione uma rota que apontepara o ID do gateway de trânsito.
Gateway privado virtual comrotas propagadas
Gateway privado virtual comrotas propagadas
Nenhuma ação é necessária.
Gateway virtual com rotaspropagadas
Gateway privado virtual com rotaestática
Adicione uma entrada quecontenha o novo ID do gatewayprivado virtual.
Gateway virtual com rotasestáticas
Gateway de trânsito Atualize a tabela de rotas daVPC e altere a entrada quecontém o ID do gateway privadovirtual para o ID do gateway detrânsito.
Gateway virtual com rotasestáticas
Gateway privado virtual comrotas estáticas
Atualize a entrada que apontapara o ID de gateway privadovirtual para ser o novo ID degateway privado virtual.
120
AWS Site-to-Site VPN Guia do usuárioEtapa 5: Atualizar o roteamento do
gateway de trânsito (necessário quando onovo gateway é um gateway de trânsito)
Gateway existente Novo gateway Alteração de tabela de rotas daVPC
Gateway virtual com rotasestáticas
Gateway privado virtual comrotas propagadas
Exclua a entrada que contém oID de gateway privado virtual.
Gateway de trânsito Gateway privado virtual comrotas estáticas
Atualize a entrada que contém ogateway de trânsito para o ID dogateway privado virtual.
Gateway de trânsito Gateway privado virtual comrotas propagadas
Exclua a entrada que contém oID do gateway de trânsito.
Gateway de trânsito Gateway de trânsito Atualize a entrada que contém oID do gateway de trânsito para onovo ID do gateway de trânsito.
Etapa 5: Atualizar o roteamento do gateway detrânsito (necessário quando o novo gateway é umgateway de trânsito)Quando o novo gateway for um gateway de trânsito gateway de trânsito, modifique a tabela de rotaspara permitir o tráfego entre a VPC e o Site-to-Site VPN. Para obter informações sobre o roteamento dogateway de trânsito, consulte Tabelas de rotas do gateway de trânsito no Gateways de trânsito da AmazonVPC.
Important
Se você tiver excluído rotas estáticas de VPN, deverá adicionar essas rotas estáticas à tabela derotas do gateway de trânsito.
Etapa 6: Atualizar o ASN do gateway do cliente(necessário quando o novo gateway tiver um ASNdiferente do gateway antigo)Quando o novo gateway tiver um ASN diferente do gateway antigo, atualize o ASN no dispositivo degateway do cliente para apontar para o novo ASN.
Modificar opções de túnel Site-to-Site VPNVocê pode modificar as opções dos túneis VPN em sua conexão Site-to-Site VPN. É possível modificar umtúnel VPN de cada vez.
Important
Quando você modifica um túnel VPN, a conectividade pelo túnel é interrompida por até váriosminutos. Planeje tempo de inatividade esperado.
Como modificar as opções de túnel VPN usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.
121
AWS Site-to-Site VPN Guia do usuárioEditar rotas estáticas para uma conexão Site-to-Site VPN
2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione a conexão Site-to-Site VPN e escolha Actions (Ações), Modify VPN Tunnel Options
(Modificar opções de túnel VPN).4. Para o VPN Tunnel Outside IP Address (Endereço IP externo do túnel VPN), escolha o IP do endpoint
do túnel VPN do qual você está modificando as opções.5. Escolha ou insira novos valores para as opções de túnel. Para obter mais informações, consulte
Opções de túnel de Site-to-Site VPN para sua conexão Site-to-Site VPN (p. 5).6. Escolha Salvar.
Como modificar as opções de túnel VPN usando a linha de comando ou a API
• modify-vpn-tunnel-options (AWS CLI)• ModifyVpnTunnelOptions (API de consulta do Amazon EC2)
Editar rotas estáticas para uma conexão Site-to-SiteVPN
Para uma conexão do VPN de local para local em um gateway privado virtual configurada para roteamentoestático, você pode adicionar, modificar ou remover as rotas estáticas para sua configuração de VPN.
Para adicionar, modificar ou remover uma rota estática
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Escolha Static Routes (Rotas estáticas), Edit (Editar).4. Modifique os prefixos IP estáticos existentes ou escolha Remover para exclui-los. Escolha Add
Another Rule para adicionar um novo prefixo IP à configuração. Quando concluir, selecione Save(Salvar).
Note
Se a propagação da rota não estiver habilitada para a tabela de rotas, será preciso atualizar asrotas manualmente na tabela de rotas para, assim, refletir os prefixos IP estáticos atualizadosna conexão Site-to-Site VPN. Para obter mais informações, consulte (Gateway privado virtual)Habilitar a propagação de rotas na tabela de rotas (p. 17).
Para uma conexão do VPN de local para local em um gateway de trânsito, você adiciona, modifica ouremove as rotas estáticas na tabela de rotas do gateway de trânsito. Para obter mais informações, consulteTabelas de rotas do gateway de trânsito.
Para adicionar uma rota estática usando a linha de comando ou a API
• CreateVpnConnectionRoute (API de consulta do Amazon EC2)• create-vpn-connection-route (AWS CLI)• New-EC2VpnConnectionRoute (AWS Tools para Windows PowerShell)
Para excluir uma rota estática usando a linha de comando ou a API
• DeleteVpnConnectionRoute (API de consulta do Amazon EC2)• delete-vpn-connection-route (AWS CLI)
122
AWS Site-to-Site VPN Guia do usuárioAlterar o gateway do cliente parauma conexão Site-to-Site VPN
• Remove-EC2VpnConnectionRoute (AWS Tools para Windows PowerShell)
Alterar o gateway do cliente para uma conexãoSite-to-Site VPN
Você pode alterar o gateway do cliente da sua conexão Site-to-Site VPN usando o console da AmazonVPC ou uma ferramenta de linha de comando.
Depois de alterar o gateway do cliente, a conexão do Site-to-Site VPN ficará indisponível durante um breveperíodo enquanto provisionamos os novos endpoints.
Como alterar o gateway do cliente usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione a conexão Site-to-Site VPN e escolha Actions (Ações), Modify VPN Connection (Modificar
conexão VPN).4. Para Target Type (Tipo de destino), escolha Customer Gateway (Gateway do cliente).5. Para Target Customer Gateway ID (ID do gateway do cliente de destino), escolha o ID do gateway do
cliente que deseja usar para a conexão.
Como excluir um gateway do cliente usando a linha de comando ou a API
• ModifyVpnTunnelC (API de consulta do Amazon EC2)• modify-vpn-tunnel (AWS CLI)
Substituir credenciais comprometidasCaso suspeite que as credenciais do túnel para sua conexão Site-to-Site VPN tenham sidocomprometidas, altere a chave pré-compartilhada IKE. Para fazer isso, exclua a conexão Site-to-SiteVPN, crie uma nova usando o mesmo gateway privado virtual e configure as novas chaves no gatewaydo cliente. Você pode especificar suas próprias chaves pré-compartilhadas ao criar a conexão Site-to-Site VPN. Confirme também se os endereços interno e externo do túnel coincidem, pois esses podemter sido mudados ao recriar a conexão Site-to-Site VPN. Durante a execução do procedimento, acomunicação com as instâncias na VPC são interrompidas, mas elas continuam sendo executadas. Com aimplementação das novas informações de configuração pelo administrador da rede, as novas credenciaisficarão disponíveis para a conexão Site-to-Site VPN, sendo retomada a conexão da rede com as instânciasna VPC.
Important
Esse procedimento requer a assistência do grupo de administrador da rede.
Para alterar a chave pré-compartilhada IKE
1. Exclua a conexão Site-to-Site VPN. Para obter mais informações, consulte Excluir uma conexão Site-to-Site VPN (p. 117). Não é preciso excluir a VPC nem o gateway privado virtual.
2. Crie uma nova conexão Site-to-Site VPN e especifique suas próprias chaves pré-compartilhadas paraos túneis ou deixe que a AWS gere novas chaves para você. Para obter mais informações, consulteCriar uma conexão Site-to-Site VPN (p. 19).
3. Faça download do novo arquivo de configuração.
123
AWS Site-to-Site VPN Guia do usuárioAlternar certificados de endpoint
do túnel da Site-to-Site VPN
Como alterar o certificado para o lado da AWS do endpoint do túnel
• Alterne o certificado. Para obter mais informações, consulte the section called “Alternar certificados deendpoint do túnel da Site-to-Site VPN” (p. 124).
Como alterar o certificado no dispositivo de gateway do cliente
1. Criar um certificado. Para obter informações sobre como criar um certificado do ACM, consulteConceitos básicos no Guia do usuário do AWS Certificate Manager.
2. Adicione o certificado ao dispositivo de gateway do cliente.
Alternar certificados de endpoint do túnel da Site-to-Site VPN
Você pode alternar os certificados nos endpoints do túnel no lado da AWS usando o console daAmazon VPC. Quando o certificado de um endpoint de túnel está próximo da expiração, a AWS alternaautomaticamente o certificado usando a função vinculada ao serviço. Para obter mais informações,consulte the section called “Permissões concedidas pela função vinculada ao serviço” (p. 130).
Como alternar o certificado de endpoint do túnel de Site-to-Site VPN usando o console
1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões Site-to-Site VPN).3. Selecione a conexão Site-to-Site VPN e escolha Actions, Rotate Tunnel Certificates (Ações, alternar
certificados de túnel).4. Selecione o endpoint do túnel cujo certificado você deseja alternar.5. Escolha Salvar.
Como alternar o certificado de endpoint do túnel de Site-to-Site VPN usando a AWS CLI
Use o comando modify-vpn-tunnel-certificate.
124
AWS Site-to-Site VPN Guia do usuárioProteção de dados
Segurança na AWS Site-to-Site VPNA segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com asmaiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve isso como segurança da nuvem e segurança na nuvem:
• Segurança da nuvem – A AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança.Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como partedos Programas de conformidade da AWS. Para saber mais sobre os programas de conformidadeque se aplicam à VPN de local para local, consulte Serviços da AWS em escopo por programa deconformidade.
• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos dasua empresa e as leis e regulamentos aplicáveis.
A VPN de local para local faz parte do serviço Amazon VPC. Para obter mais informações sobre asegurança da Amazon VPC, consulte Segurança no Guia do usuário da Amazon VPC .
Os tópicos a seguir mostram como configurar componentes específicos da VPN de local para local paraatender aos seus objetivos de segurança e de conformidade.
Tópicos• Proteção de dados na AWS Site-to-Site VPN (p. 125)• Identity and Access Management for AWS Site-to-Site VPN (p. 127)• Registro em log e monitoramento (p. 131)• Validação de conformidade da AWS Site-to-Site VPN (p. 131)• Resiliência na AWS Site-to-Site VPN (p. 132)• Segurança da infraestrutura na AWS Site-to-Site VPN (p. 133)
Proteção de dados na AWS Site-to-Site VPNA AWS Site-to-Site VPN está em conformidade com o modelo de responsabilidade compartilhada daAWS, que inclui regulamentos e diretrizes de proteção de dados. A AWS é responsável por protegera infraestrutura global que executa todos os serviços da AWS. A AWS mantém o controle dos dadoshospedados nessa infraestrutura, incluindo os controles de configuração de segurança para lidar com oconteúdo e com os dados pessoais do cliente. Os clientes da AWS e os parceiros do APN, atuando comocontroladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam naNuvem AWS.
Para fins de proteção de dados, recomendamos que você proteja as credenciais da sua conta da AWSe configure contas de usuário individuais com o AWS Identity and Access Management (IAM), de modoque cada usuário receba somente as permissões necessárias para cumprir suas funções. Recomendamostambém que você proteja seus dados das seguintes formas:
• Use uma autenticação multifator (MFA) com cada conta.• Use SSL/TLS para se comunicar com os recursos da AWS.• Configure a API e o registro em log das atividades do usuário com o AWS CloudTrail.
125
AWS Site-to-Site VPN Guia do usuárioPrivacidade do tráfego entre redes
• Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nosserviços da AWS.
• Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar eproteger dados pessoais que são armazenados no Amazon S3.
É altamente recomendável que você nunca coloque informações de identificação confidenciais, comonúmeros de conta dos seus clientes, em campos de formato livre, como um campo Name (Nome). Issoinclui o trabalho com a VPN de local para local ou outros serviços da AWS com o console, a API, a AWSCLI ou os AWS SDKs. Todos os dados que você insere na VPN de local para local ou em outros serviçospodem ser selecionados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidorexterno, não inclua informações de credenciais no URL para validar a solicitação a esse servidor.
Para obter mais informações sobre proteção de dados, consulte a publicação AWS Shared ResponsibilityModel and GDPR (Modelo de responsabilidade compartilhada da AWS e GDPR) no Blog de segurança daAWS.
Informações de configuração da VPN de local para local
Quando você cria uma conexão VPN de local para local, geramos informações de configuração quevocê usa para configurar seu dispositivo de gateway do cliente, incluindo as chaves pré-compartilhadas(se aplicável). Para impedir o acesso não autorizado às informações de configuração, certifique-se deconceder aos usuários do IAM apenas as permissões necessárias. Se você fizer download do arquivo deconfiguração no console da Amazon VPC, distribua-o somente aos usuários que configurarão o dispositivode gateway do cliente. Para obter mais informações, consulte os tópicos a seguir:
• Opções de autenticação de túnel Site-to-Site VPN (p. 8)• Identity and Access Management for AWS Site-to-Site VPN (p. 127)
Privacidade do tráfego entre redesUma conexão VPN de local para local conecta sua VPC à rede no local de forma privada. Os dados quesão transferidos entre a VPC e suas rotas de rede por meio de uma conexão VPN criptografada paraajudar a manter a confidencialidade e a integridade dos dados em trânsito. A Amazon é compatível comconexões VPN IPsec (Internet Protocol Security). O IPsec é um conjunto de protocolos para proteger ascomunicações IP por meio da autenticação e da criptografia de cada pacote IP de um fluxo de dados.
Cada conexão VPN de local para local consiste em dois túneis VPN IPsec criptografados que vinculama AWS e sua rede. O tráfego em cada túnel pode ser criptografado com AES128 ou AES256 e usar osgrupos Diffie-Hellman para troca de chaves, fornecendo Perfect Forward Secrecy. A AWS autentica comfunções de hash SHA1 ou SHA2.
As instâncias em sua VPC não exigem um endereço IP público para conectar-se a recursos do outrolado da conexão VPN de local para local. As instâncias podem rotear seu tráfego de internet por meio daconexão VPN de local para local com sua rede no local. Elas podem acessar a Internet por meio de seuspontos de tráfego de saída existentes e seus dispositivos de segurança e monitoramento de rede.
Consulte os tópicos a seguir para obter mais informações:
• Opções de túnel de Site-to-Site VPN para sua conexão Site-to-Site VPN (p. 5): fornece informaçõessobre as opções IPsec e IKE (Internet Key Exchange - Troca de chaves da Internet) que estãodisponíveis para cada túnel.
• Opções de autenticação de túnel Site-to-Site VPN (p. 8): fornece informações sobre as opções deautenticação para os endpoints de túneis VPN.
• Requisitos do seu dispositivo de gateway do cliente (p. 31): fornece informações sobre os requisitos parao dispositivo de gateway do cliente no seu lado da conexão VPN.
126
AWS Site-to-Site VPN Guia do usuárioIdentity and Access Management
• Garantir a segurança da comunicação entre os sites, usando o VPN CloudHub (p. 24): se houver váriasconexões VPN de local para local, você poderá fornecer comunicação segura entre seus sites no localusando o AWS VPN CloudHub.
Identity and Access Management for AWS Site-to-Site VPN
A AWS usa credenciais de segurança para identificar você e conceder acesso aos recursos da AWS. Vocêpode usar recursos do AWS Identity and Access Management (IAM) para permitir que outros usuários,serviços e aplicativos usem seus recursos da AWS totalmente ou de maneira limitada, sem compartilharsuas credenciais de segurança.
Por padrão, os usuários do IAM não têm permissão para criar, visualizar ou modificar recursos da AWS.Para permitir que um usuário do IAM acesse recursos, como conexões Site-to-Site VPN, gatewaysprivados virtuais e gateways do cliente e executar tarefas, você deve:
• Criar uma política do IAM que concede permissão ao usuário do IAM para usar os recursos específicos eações de API de que ele precisa.
• Anexe a política ao usuário do IAM ou ao grupo ao qual o usuário do IAM pertence.
Quando você anexa uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuáriospermissão para realizar as tarefas especificadas nos recursos especificados.
A Site-to-Site VPN faz parte da Amazon VPC que compartilha seu namespace de API com o Amazon EC2.Ao trabalhar com conexões Site-to-Site VPN, gateways privados virtuais e gateways do cliente, uma dasseguintes políticas gerenciadas da AWS pode atender às suas necessidades:
• PowerUserAccess• ReadOnlyAccess• AmazonEC2FullAccess• AmazonEC2ReadOnlyAccess
Tenha cuidado ao conceder aos usuários permissões para usar a açãoec2:DescribeVpnConnections. Essa ação permite que os usuários visualizem informações daconfiguração do gateway do cliente de conexões Site-to-Site VPN em sua conta.
Para obter mais exemplos, consulte Identity and Access Management for Amazon VPC no Guia do usuárioda Amazon VPC e Políticas do IAM para o Amazon EC2 no Guia do usuário do Amazon EC2.
Políticas do IAM para sua conexão VPN de local paralocalVocê pode usar permissões em nível de recurso para restringir quais recursos os usuários podemusar quando invocam APIs. Você pode especificar o nome de recurso da Amazon (ARN) para aconexão VPN no elemento Resource das instruções da política de permissões do IAM (por exemplo,arn:aws:ec2:us-west-2:123456789012:vpn-connection/vpn-0d4e855ab7d3536fb).
As ações a seguir são compatíveis com as permissões em nível de recurso para o recurso da conexãoVPN:
• ec2:CreateVpnConnection
• ec2:ModifyVpnConnection
127
AWS Site-to-Site VPN Guia do usuárioPolíticas do IAM para sua conexão VPN de local para local
• ec2:ModifyVpnTunnelOptions
Veja a seguir as chaves de condição compatíveis:
Chave de condição Descrição Valores válidos Type
ec2:AuthenticationType O tipo de autenticaçãopara os endpoints túnelVPN.
Chaves pré-compartilhadas,certificados
String
ec2:DPDTimeoutSeconds A duração após a qualocorre o tempo limite doDPD.
Um número inteiro entre0 e 30
Numeric
ec2:GatewayType O tipo de gateway parao endpoint de VPNno lado da AWS daconexão VPN.
VGW, TGW String
ec2:IKEVersions As versões de InternetKey Exchange (IKE)permitidas para o túnelVPN.
ikev1, ikev2 String
ec2:InsideTunnelCidr O intervalo deendereços IP internospara o túnel VPN.
Consulte Opções detúnel de Site-to-SiteVPN para sua conexãoSite-to-Site VPN (p. 5)
String
ec2:Phase1DHGroupNumbersOs grupos Diffie-Hellman permitidospara o túnel VPN comrelação às negociaçõesIKE fase 1.
2, 14, 15, 16, 17, 18, 22,23, 24
Numeric
ec2:Phase2DHGroupNumbersOs grupos Diffie-Hellman permitidospara o túnel VPN comrelação às negociaçõesIKE fase 2.
2, 5, 14, 15, 16, 17, 18,22, 23, 24
Numeric
ec2:Phase1EncryptionAlgorithmsOs algoritmos decriptografia permitidospara o túnel VPN comrelação às negociaçõesIKE fase 1.
AES128, AES256 String
ec2:Phase2EncryptionAlgorithmsOs algoritmos decriptografia permitidospara o túnel VPN comrelação às negociaçõesIKE fase 2.
AES128, AES256 String
ec2:Phase1IntegrityAlgorithmsOs algoritmos deintegridade permitidospara o túnel VPN comrelação às negociaçõesIKE fase 1.
SHA1, SHA2-256 String
128
AWS Site-to-Site VPN Guia do usuárioPolíticas do IAM para sua conexão VPN de local para local
Chave de condição Descrição Valores válidos Type
ec2:Phase2IntegrityAlgorithmsOs algoritmos deintegridade permitidospara o túnel VPN comrelação às negociaçõesIKE fase 2.
SHA1, SHA2-256 String
ec2:Phase1LifetimeSecondsO tempo de vida emsegundos da fase 1 danegociação IKE.
Um número inteiro entre900 e 28.800.
Numeric
ec2:Phase2LifetimeSecondsO tempo de vida emsegundos da fase 2 danegociação IKE.
Um número inteiro entre900 e 3.600.
Numeric
ec2:PresharedKeys Chave pré-compartilhada (PSK)para estabelecera associação desegurança IKE inicialentre o gateway privadovirtual e o gateway docliente.
Consulte Opções detúnel de Site-to-SiteVPN para sua conexãoSite-to-Site VPN (p. 5)
String
ec2:RekeyFuzzPercentageA porcentagemda janela derechaveamento(determinada pelotempo de margemde rechaveamento)dentro da qual o tempode rechaveamentoé selecionadoaleatoriamente.
Um número inteiro entre0 e 100
Numeric
ec2:RekeyMarginTimeSecondsO tempo de margemantes de a fase 2expirar, durante o quala AWS executa umrechaveamento IKE.
Um número inteirocomeçando em 60 eacima
Numeric
ec2:RoutingType O tipo de roteamentopara a conexão VPN.
Static, BGP String
Você pode permitir ou negar valores específicos para cada chave de condição compatível usandooperadores de condição do IAM. Para obter mais informações, consulte Elementos de política JSON doIAM: condição no Guia do usuário do IAM.
A política de exemplo a seguir permite que os usuários criem conexões VPN, mas somente conexões VPNcom tipos de roteamento estático.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "statement1", "Effect": "Allow",
129
AWS Site-to-Site VPN Guia do usuárioFunção vinculada ao serviço
"Action": [ "ec2:CreateVpnConnection" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:RoutingType": [ "static" ] } } } ]}
Função vinculada ao serviço da AWS Site-to-Site VPNA AWS Site-to-Site VPN usa uma função vinculada ao serviço para as permissões de que ele precisapara chamar todos os outros serviços da AWS em seu nome. Para obter mais informações, consulte Usarfunções vinculadas ao serviço no Guia do usuário do IAM.
Permissões concedidas pela função vinculada ao serviçoQuando você trabalha com uma conexão Site-to-Site VPN que usa autenticação baseada em certificado,a Site-to-Site VPN usa a função vinculada ao serviço chamada AWSServiceRoleForVPCS2SVPN parachamar as seguintes ações do AWS Certificate Manager (ACM) em seu nome:
• acm:ExportCertificate
• acm:DescribeCertificatee
• acm:ListCertificates
• acm-pca:DescribeCertificateAuthority
Criar a função vinculada ao serviçoVocê não precisa criar manualmente a função AWSServiceRoleForVPCS2SVPN. A Site-to-Site VPN criaessa função para você quando você cria um gateway do cliente com um certificado privado do ACM.
Para que um usuário da Site-to-Site VPN crie uma função vinculada ao serviço em seu nome, você deveter as permissões necessárias. Para obter mais informações sobre funções vinculadas ao serviço, consultePermissões de função vinculada ao serviço no Guia do usuário do IAM.
Editar a função vinculada ao serviçoVocê pode editar a descrição de AWSServiceRoleForVPCS2SVPN usando o IAM. Para obter informaçõessobre como editar funções vinculadas ao serviço, consulte Editar uma função vinculada ao serviço no Guiado usuário do IAM.
Excluir a função vinculada ao serviçoSe você não precisar mais usar as conexões Site-to-Site VPN com autenticação baseada em certificado, érecomendável excluir a AWSServiceRoleForVPCS2SVPN.
Você pode excluir essa função vinculada ao serviço somente depois de excluir todos os gateways docliente que tenham um certificado privado do ACM associado. Isso garante que você não possa remover
130
AWS Site-to-Site VPN Guia do usuárioRegistro em log e monitoramento
inadvertidamente a permissão para acessar seus certificados do ACM em uso por conexões Site-to-SiteVPN.
Você pode usar o console do IAM, a CLI do IAM ou a API do IAM para excluir funções vinculadas aoserviço. Para obter informações sobre como excluir funções vinculadas ao serviço, consulte Excluir umafunção vinculada ao serviço no Guia do usuário do IAM.
Depois de excluir a AWSServiceRoleForVPCS2SVPN, a Amazon VPC cria a função novamente para umgateway do cliente com um certificado privado do ACM associado.
Registro em log e monitoramentoO monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenhoda sua conexão AWS Site-to-Site VPN. Você deve coletar dados de monitoramento de todas as partes desua solução da AWS para ser mais fácil realizar a depuração de uma falha de vários pontos (caso ocorra).A AWS fornece várias ferramentas para monitorar seus recursos e responder a incidentes potenciais.
Amazon CloudWatch
O Amazon CloudWatch monitora os recursos da AWS e os aplicativos executados na AWS em tempo real.Você pode coletar e rastrear métricas para seus túneis do VPN de local para local e definir alarmes que onotificam ou que executam ações quando uma métrica especificada atinge um limite definido. Para obtermais informações, consulte Monitorar a conexão Site-to-Site VPN (p. 134).
AWS CloudTrail
O AWS CloudTrail captura chamadas de API do Amazon EC2 e eventos relacionados realizados por suaconta da AWS ou em nome dela. Desse modo, ele fornece os arquivos de log para um bucket do AmazonS3 especificado por você. Para obter mais informações, consulte Registrar em log chamadas de API doAmazon EC2, do Amazon EBS e da Amazon VPC com o AWS CloudTrail no Amazon EC2 API Reference.
AWS Trusted Advisor
O AWS Trusted Advisor conta com as melhores práticas aprendidas com o atendimento a centenas demilhões de clientes da AWS. O Trusted Advisor inspeciona seu ambiente da AWS e faz recomendaçõesquando há oportunidades para economizar dinheiro, melhorar o desempenho e a disponibilidade dosistema ou ajuda a corrigir falhas de segurança.
O Trusted Advisor tem uma verificação de redundância de túnel VPN que verifica o número de túneis queestão ativos para cada uma de suas conexões VPN.
Para obter mais informações, consulte AWS Trusted Advisor no AWS Support User Guide.
Validação de conformidade da AWS Site-to-SiteVPN
Os auditores de terceiros avaliam a segurança e a conformidade da AWS Site-to-Site VPN como parte devários programas de conformidade da AWS. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulteServiços da AWS no escopo pelo programa de conformidade. Para obter informações gerais, consulteProgramas de conformidade da AWS.
131
AWS Site-to-Site VPN Guia do usuárioResiliência
Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter maisinformações, consulte Fazer download de relatórios no AWS Artifact.
Sua responsabilidade com relação à conformidade ao usar a VPN de local para local é determinada pelaconfidencialidade dos dados, pelos objetivos de conformidade da empresa e pelos regulamentos e leisaplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:
• Guias Quick Start de segurança e conformidade – esses guias de implantação abordam asconsiderações de arquitetura e fornecem etapas para implantação de ambientes de linha de basefocados em conformidade e segurança na AWS.
• Whitepaper Arquitetura para segurança e conformidade com HIPAA – esse whitepaper descreve comoas empresas podem usar a AWS para criar aplicativos em conformidade com a HIPAA.
• Recursos de conformidade da AWS – esta coleção de manuais e guias pode ser aplicada ao seu setor elocal.
• Avaliar recursos com regras no Guia do desenvolvedor do AWS Config – o serviço do AWS Config avaliacomo suas configurações de recursos estão em conformidade com práticas internas, diretrizes do setore regulamentos.
• AWS Security Hub – esse serviço da AWS fornece uma visão abrangente do estado da segurançana AWS que ajuda a verificar sua conformidade com padrões abertos e com as melhores práticas desegurança.
Resiliência na AWS Site-to-Site VPNA infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. Asregiões da AWS fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que sãoconectadas com baixa latência, altas taxas de transferência e redes altamente redundantes. Com aszonas de disponibilidade, você pode projetar e operar aplicativos e bancos de dados que automaticamenteexecutam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamentedisponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.
Além da infraestrutura global da AWS, a VPN de local para local oferece recursos para ajudar a oferecersuporte às suas necessidades de resiliência e backup de dados.
Dois túneis por conexão VPNUma conexão VPN de local para local tem dois túneis para fornecer maior disponibilidade para sua VPC.Se houver uma falha no dispositivo dentro da AWS, sua conexão VPN realizará automaticamente failoverno segundo túnel para que seu acesso não seja interrompido. De tempos em tempos, a AWS tambémexecuta uma manutenção de rotina em seu gateway privado virtual, que pode desativar brevementeum dos dois túneis de sua conexão VPN. Durante essa manutenção, a conexão VPN realizará failoverautomaticamente no segundo túnel. Ao configurar o gateway do cliente, é importante configurar ambos ostúneis.
RedundânciaCaso o gateway do cliente fique indisponível, proteja-se contra a perda de conectividade, configurandouma segunda conexão VPN de local para local. Para obter mais informações, consulte os tópicos a seguir:
• Usar conexões Site-to-Site VPN redundantes para fornecer failover (p. 26)• Conectividade de rede de alta disponibilidade de um único datacenter
132
AWS Site-to-Site VPN Guia do usuárioSegurança da infraestrutura
• Conectividade de rede de alta disponibilidade de vários datacenters
Segurança da infraestrutura na AWS Site-to-SiteVPN
Como um serviço gerenciado, a AWS Site-to-Site VPN está protegida pelos procedimentos de segurançada rede global da AWS que são descritos no whitepaper Amazon Web Services: visão geral dos processosde segurança.
Use chamadas de API publicadas pela AWS para acessar a VPN de local para local por meio da rede.Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. RecomendamosTLS 1.2 ou posterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo deencaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte aesses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
133
AWS Site-to-Site VPN Guia do usuárioFerramentas de monitoramento
Monitorar a conexão Site-to-Site VPNO monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenhoda sua conexão AWS Site-to-Site VPN. Você deve coletar dados de monitoramento de todas as partes desua solução da AWS para ser mais fácil realizar a depuração de uma falha de vários pontos (caso ocorra).Porém, antes de começar a monitorar sua conexão Site-to-Site VPN, crie um plano de monitoramento queinclua as respostas para as seguintes perguntas:
• Quais são seus objetivos de monitoramento?• Quais recursos você vai monitorar?• Com que frequência você vai monitorar esses recursos?• Quais ferramentas de monitoramento você usará?• Quem realizará o monitoramento das tarefas?• Quem deve ser notificado quando algo der errado?
A próxima etapa é estabelecer um parâmetro de desempenho normal da VPN no ambiente medindo odesempenho em vários momentos e em diferentes condições de carga. À medida que você monitorara VPN, armazene dados históricos de monitoramento para que possa compará-los com os dados dedesempenho atuais, identificar padrões de desempenho normais e anomalias de desempenho e idealizarmétodos para solucionar problemas.
Para estabelecer um parâmetro, é preciso monitorar os seguintes itens:
• O estado dos túneis da VPN• Os dados no túnel• Os dados fora do túnel
Tópicos• Ferramentas de monitoramento (p. 134)• Monitorar túneis VPN usando o Amazon CloudWatch (p. 135)
Ferramentas de monitoramentoA AWS fornece várias ferramentas que você pode usar para monitorar uma conexão Site-to-Site VPN.É possível configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e, aomesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefas demonitoramento sejam automatizadas ao máximo possível.
Ferramentas de monitoramento automatizadasVocê pode usar as seguintes ferramentas de monitoramento automatizadas para observar uma conexãoSite-to-Site VPN e relatar quando algo estiver errado:
• Alarmes do Amazon CloudWatch – observe uma única métrica ao longo de um período que vocêespecificar e realize uma ou mais ações com base no valor da métrica em relação a um determinadolimite ao longo de vários períodos. A ação é uma notificação enviada a um tópico do Amazon SNS.Os alarmes do CloudWatch não invocam ações simplesmente porque estão em um estado específico.
134
AWS Site-to-Site VPN Guia do usuárioFerramentas de monitoramento manual
O estado deve ter sido alterado e mantido por um número específico de períodos. Para obter maisinformações, consulte Monitorar túneis VPN usando o Amazon CloudWatch (p. 135).
• AWS CloudTrail Monitoramento do log – Compartilhe arquivos de log entre contas, monitore osarquivos de log do CloudTrail em tempo real enviando-os para o CloudWatch Logs, grave aplicativosde processamento de logs em Java e confirme se os arquivos de log não foram alterados após adistribuição pelo CloudTrail. Para obter mais informações, consulte Registrar chamadas da API emlog usando o AWS CloudTrail no Amazon EC2 API Reference e Trabalhar com arquivos de log doCloudTrail no AWS CloudTrail User Guide
Ferramentas de monitoramento manualOutra parte importante do monitoramento de uma conexão Site-to-Site VPN envolve o monitoramentomanual dos itens que não são cobertos por alarmes do CloudWatch. Os painéis do console da AmazonVPC e do CloudWatch fornecem uma visão rápida do estado do ambiente da AWS.
• O painel da Amazon VPC mostra:• Integridade do serviço por região• Conexões Site-to-Site VPN• Status do túnel de VPN (no painel de navegação, escolha Site-to-Site VPN Connections (Conexões
Site-to-Site VPN), selecione uma conexão Site-to-Site VPN e escolha Tunnel Details (Detalhes dotúnel))
• A página inicial do CloudWatch mostra o seguinte:• Alertas e status atual• Gráficos de alertas e recursos• Estado de integridade do serviço
Além disso, você pode usar o CloudWatch para fazer o seguinte:• Criar painéis personalizados para monitorar os serviços com os quais você se preocupa.• Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências• Pesquisar e procurar todas as métricas de recursos da AWS• Criar e editar alertas para ser notificado sobre problemas
Monitorar túneis VPN usando o AmazonCloudWatch
Você pode monitorar os túneis de VPN usando o CloudWatch, que coleta e processa dados brutos doserviço VPN em métricas legíveis e quase em tempo real. Essas estatísticas são registradas para umperíodo de 15 meses, de forma que você possa acessar informações históricas e ganhar uma perspectivamelhor sobre como seu serviço ou aplicativo web está se saindo. Os dados de métrica da VPN sãoenviados automaticamente para o CloudWatch assim que se tornam disponíveis.
Important
As métricas do CloudWatch não são compatíveis com as conexões VPN da AWS Classic. Paraobter mais informações, consulte Categorias de Site-to-Site VPN (p. 4).
Para obter mais informações, consulte o Guia do usuário do Amazon CloudWatch.
Métricas e dimensões de túneis VPNAs métricas a seguir estão disponíveis para os túneis VPN.
135
AWS Site-to-Site VPN Guia do usuárioVisualiza métricas do CloudWatch de túneis VPN
Métrica Descrição
TunnelState O estado do túnel. Para VPNs estáticos, 0 indica DOWN(INATIVO) e 1 indica UP (ATIVO). Para VPNs BGP, 1indica ESTABLISHED (ESTABELECIDO) e 0 é usadopara todos os outros estados.
Unidade: booleano
TunnelDataIn Os bytes recebidos por meio do túnel VPN. Cadaponto de dados da métrica representa o número debytes recebidos após o ponto de dados anterior. Use aestatística de soma para mostrar o número total de bytesrecebidos durante o período.
Essa métrica conta os dados após a descriptografia.
Unidade: bytes
TunnelDataOut Os bytes enviados por meio do túnel VPN. Cadaponto de dados da métrica representa o número debytes enviados após o ponto de dados anterior. Use aestatística de soma para mostrar o número total de bytesenviados durante o período.
Essa métrica conta os dados antes da criptografia.
Unidade: bytes
Para filtrar os dados das métricas, use as dimensões a seguir.
Dimensão Descrição
VpnId Filtra os dados de métrica pelo ID de conexão Site-to-Site VPN.
TunnelIpAddress Filtra os dados da métrica pelo endereço IP do túnel para o gatewayprivado virtual.
Visualiza métricas do CloudWatch de túneis VPNQuando você cria uma nova conexão Site-to-Site VPN, assim que as métricas a seguir sobre os túneis deVPN se tornam disponíveis, o serviço VPN as envia ao CloudWatch. Você pode visualizar as métricas dostúneis VPN da maneira a seguir.
Para visualizar as métricas usando o console do CloudWatch
As métricas são agrupadas primeiro pelo namespace do serviço e, em seguida, por várias combinações dedimensão dentro de cada namespace.
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Métricas.3. Em All metrics (Todas as métricas), escolha o namespace de métrica VPN.4. Selecione a dimensão para visualizar as métricas (por exemplo, para a conexão Site-to-Site VPN).
136
AWS Site-to-Site VPN Guia do usuárioCriar alarmes do CloudWatch para monitorar túneis VPN
Para visualizar métricas usando o AWS CLI
Em um prompt de comando, use o seguinte comando:
aws cloudwatch list-metrics --namespace "AWS/VPN"
Criar alarmes do CloudWatch para monitorar túneisVPNVocê pode criar um alarme do CloudWatch que envia uma mensagem de Amazon SNS quando o alarmemudar de estado. Um alarme observa uma única métrica por um período especificado por você e enviauma notificação para um tópico do Amazon SNS com base no valor da métrica em relação a determinadolimite ao longo de vários períodos.
Por exemplo, você pode criar um alarme que monitora o estado de um túnel VPN e envia uma notificaçãoquando o estado do túnel fica INATIVO durante 3 períodos consecutivos de 5 minutos.
Para criar um alarme para o estado do túnel
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Alarms, Create Alarm.3. Escolha Métricas do Túnel VPN.4. Escolha o endereço IP do túnel VPN e a métrica TunnelState. Escolha Next.5. Configure o alarme como a seguir e escolha Create Alarm ao concluir:
• Em Alarm Threshold, insira um nome e uma descrição para o alarme. Em Whenever (Sempre),escolha <= e insira 0. Insira 3 em períodos consecutivos.
• Em Actions, selecione uma lista de notificações existente ou escolha New list para criar uma nova.• Em Alarm Preview, selecione um período de 5 minutos e especifique a estatística Maximum.
Você pode criar um alarme que monitore o estado da conexão Site-to-Site VPN. Por exemplo, você podecriar um alarme que envie uma notificação quando o status de um ou de ambos os túneis estiver DOWNpor 1 período consecutivo de 5 minutos.
Para criar um alarme para o estado da conexão Site-to-Site VPN
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Alarms, Create Alarm.3. Escolha Métricas da conexão VPN.4. Selecione sua conexão Site-to-Site VPN e escolha a métrica TunnelState. Escolha Next.5. Configure o alarme como a seguir e escolha Create Alarm ao concluir:
• Em Alarm Threshold, insira um nome e uma descrição para o alarme. Para Whenever (Quandonecessário), escolha <= e insira 0 (ou 0.5 para quando pelo menos um túnel estiver desativado).Insira 1 em períodos consecutivos.
• Em Actions, selecione uma lista de notificações existente ou escolha New list para criar uma nova.• Em Alarm Preview, selecione um período de 5 minutos e especifique a estatística Maximum.
Como alternativa, se você configurou sua conexão Site-to-Site VPN para que ambos os túneissejam ativados, você pode especificar uma estatística Minimum (Mínimo) para enviar umanotificação quando pelo menos um túnel estiver desativado.
137
AWS Site-to-Site VPN Guia do usuárioCriar alarmes do CloudWatch para monitorar túneis VPN
Além disso, você pode criar alarmes que monitoram a quantidade de tráfego que está entrando ou saindode um túnel VPN. Por exemplo, o alarme a seguir monitora a quantidade de tráfego de sua rede que estáentrando no túnel VPN e envia uma notificação quando o número de bytes atingir o limite de 5.000.000durante o período de 15 minutos.
Para criar um alarme para tráfego de rede de entrada
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Alarms, Create Alarm.3. Escolha Métricas do Túnel VPN.4. Selecione o endereço IP do túnel VPN e a métrica TunnelDataIn. Escolha Next.5. Configure o alarme como a seguir e escolha Create Alarm ao concluir:
• Em Alarm Threshold, insira um nome e uma descrição para o alarme. Em Whenever, escolha >= einsira 5000000. Insira 1 em períodos consecutivos.
• Em Actions, selecione uma lista de notificações existente ou escolha New list para criar uma nova.• Em Alarm Preview, selecione um período de 15 minutos e especifique a estatística Sum.
O alarme a seguir monitora a quantidade de tráfego de sua rede que está saindo do túnel VPN e enviauma notificação quando o número de bytes for inferior a 1.000.000 durante o período de 15 minutos.
Para criar um alarme para tráfego de rede de saída
1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, escolha Alarms, Create Alarm.3. Escolha Métricas do Túnel VPN.4. Selecione o endereço IP do túnel VPN e a métrica TunnelDataOut. Escolha Next.5. Configure o alarme como a seguir e escolha Create Alarm ao concluir:
• Em Alarm Threshold, insira um nome e uma descrição para o alarme. Em Whenever (Sempre),escolha <= e insira 1000000. Insira 1 em períodos consecutivos.
• Em Actions, selecione uma lista de notificações existente ou escolha New list para criar uma nova.• Em Alarm Preview, selecione um período de 15 minutos e especifique a estatística Sum.
Para obter mais exemplos sobre como criar alarmes, consulte Criar alarmes do Amazon CloudWatch noGuia do usuário do Amazon CloudWatch.
138
AWS Site-to-Site VPN Guia do usuário
Cotas de VPN de local para localSua conta da AWS tem as seguintes cotas padrão, anteriormente chamadas de limites, relacionadas àVPN de local para local. Para solicitar um aumento, use o formulário de limites.
• Gateways do cliente por região: 50• Gateways privados virtuais por região: 5
Apenas um gateway privado virtual pode ser associado a uma VPC de cada vez.• Rotas dinâmicas anunciadas de um dispositivo de gateway do cliente para uma conexão VPN de local
para local (em um gateway de trânsito ou gateway privado virtual): 100
Essa cota não pode ser aumentada.• Rotas anunciadas de uma conexão VPN de local para local a um dispositivo de gateway do cliente: 1000
Essa cota não pode ser aumentada.• Conexões Site-to-Site VPN por região: 50• Conexões Site-to-Site VPN por gateway privado virtual: 10
Para cotas relacionadas a gateways de trânsito, incluindo o número de anexos em um gateway de trânsito,consulte Cotas para seus gateways de trânsito no Guia Gateways de trânsito da Amazon VPC.
Para obter cotas adicionais de VPC, consulte Cotas da Amazon VPC no Guia do usuário da Amazon VPC.
139
AWS Site-to-Site VPN Guia do usuário
Histórico do documentoA tabela a seguir descreve as atualizações do Guia do usuário do AWS Site-to-Site VPN.
update-history-change update-history-description update-history-date
Mesclar guias de AWS Site-to-Site VPN
Esta versão mescla o conteúdodo Guia do administrador deredes AWS Site-to-Site VPNneste guia.
March 31, 2020
Conexões AWS Site-to-Site VPNaceleradas
Você pode habilitar a aceleraçãopara a sua conexão AWS Site-to-Site VPN.
December 3, 2019
Modificar opções de túnel deAWS Site-to-Site VPN
É possível modificar as opçõesde um túnel VPN em umaconexão AWS Site-to-Site VPN.Também é possível configuraropções de túnel adicionais.
August 29, 2019
Suporte a certificados privadosdo Autoridade de certificaçãoprivada do AWS CertificateManager
É possível usar um certificadoprivado do Autoridade decertificação privada do AWSCertificate Manager paraautenticar sua VPN
August 15, 2019
Novo guia do usuário de VPN delocal para local (p. 140)
Esta versão separa o conteúdodo AWS Site-to-Site VPN(anteriormente conhecido comoAWS Managed VPN) do Guia dousuário da Amazon VPC.
December 18, 2018
Modificar o gateway de destino Você pode modificar o gatewayde destino da conexão AWS Site-to-Site VPN.
December 18, 2018
ASN personalizado Quando você cria um gatewayprivado virtual, é possívelespecificar o Número de sistemaautônomo privado (ASN) para olado da Amazon do gateway.
October 10, 2017
Opções de túnel VPN Você pode especificar blocosCIDR de túnel e personalizar aschaves pré-compartilhadas paraseus túneis VPN.
October 3, 2017
Categorias de VPN Você pode visualizar a categoriade sua conexão VPN.
October 3, 2017
Métricas da VPN Você pode visualizar métricas doCloudWatch para suas conexõesVPN.
May 15, 2017
140
AWS Site-to-Site VPN Guia do usuário
Melhorias do VPN (p. 140) Uma conexão VPN agora oferecesuporte à função de criptografiaAES de 256 bits, função hashingSHA-256, NAT transversal eoutros grupos Diffie-Hellmandurante a Fase 1 e a Fase 2de uma conexão. Além disso,agora você pode usar o mesmoendereço IP do gateway docliente para cada conexão VPNque usa o mesmo dispositivo degateway do cliente.
October 28, 2015
Propagação automática derotas (p. 140)
Agora você pode configurar apropagação automática de rotasda sua VPN e links do AWSDirect Connect para tabelas deroteamento da sua VPC.
September 13, 2012
Conexões VPN usandoconfiguração de roteamentoestático (p. 140)
Você pode criar conexõesVPN IPsec com a AmazonVPC usando configuraçõesde roteamento estático.Anteriormente, as conexõesVPN exigiam o uso do protocolode gateway de borda (BGP).Agora damos suporte a ambosos tipos de conexões e vocêpode estabelecer conectividadede dispositivos que não oferecesuporte ao BGP, incluindo CiscoASA e Microsoft Windows Server2008 R2.
September 13, 2012
AWS VPN CloudHub e conexõesVPN redundantes (p. 140)
Você pode se comunicarseguramente de um local paraoutro com ou sem uma VPC.É possível usar conexões VPNredundantes para oferecer à suaVPC uma conexão tolerante afalhas.
September 29, 2011
141