Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Comience con AWS Site-to-Site VPN

PDF
RSS
Modo de enfoque
Comience con AWS Site-to-Site VPN - AWS Site-to-Site VPN
Requisitos previosCreación de una gateway de clienteCrear una gateway de destinoConfiguración del enrutamientoActualización de su grupo de seguridadPara crear una conexión de VPNPara descargar el archivo de configuraciónConfigurar el dispositivo de gateway de cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilice el siguiente procedimiento para configurar una AWS Site-to-Site VPN conexión. Durante la creación, especificará una puerta de enlace privada virtual, una puerta de enlace de tránsito o “No asociada” como tipo de puerta de enlace de destino. Si especificas «No asociada», puedes elegir el tipo de puerta de enlace de destino más adelante o puedes usarla como un adjunto de VPN para AWS Cloud WAN. Este tutorial le ayuda a crear una conexión de VPN mediante una puerta de enlace privada virtual. Supone que dispone de una VPC existente con una o varias subredes.

Para establecer una conexión de VPN mediante una puerta de enlace privada virtual, siga estos pasos:

Tareas relacionadas

Requisitos previos

Necesita la siguiente información para establecer y configurar los componentes de una conexión de VPN.

Elemento Información
Dispositivo de gateway de cliente El dispositivo físico o de software del lado de la conexión de VPN. Necesita el proveedor (por ejemplo, Cisco Systems), la plataforma (por ejemplo, ISR Series Routers) y la versión de software (por ejemplo, IOS 12.4).
Puerta de enlace de cliente Para crear el recurso de pasarela de clientes en AWS, necesita la siguiente información:

  • La dirección IP direccionable de Internet para la interfaz externa del dispositivo

  • El tipo de direccionamiento: estático o dinámico

  • Para el direccionamiento dinámico: el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP)

  • (Opcional) Certificado privado de AWS Private Certificate Authority para autenticar su VPN

Para obtener más información, consulte Opciones de gateway de cliente.

(Opcional) El ASN del AWS lado de la sesión de BGP

Debe especificarse al crear una gateway privada virtual o una gateway de tránsito. Si no especifica un valor, se aplica el ASN predeterminado. Para obtener más información, consulte Gateway privada virtual.
conexión de VPN Para crear una conexión de VPN, necesita la siguiente información:

Paso 1: Crear una puerta de enlace de cliente

Una pasarela de cliente proporciona información AWS sobre su dispositivo o aplicación de software de pasarela de cliente. Para obtener más información, consulte Puerta de enlace de cliente.

Si planea usar un certificado privado para autenticar su VPN, cree un certificado privado de una CA subordinada utilizando. AWS Private Certificate Authority Para obtener información sobre la creación de un certificado privado, consulte la sección de creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority .

nota

Tiene que especificar una dirección IP o el nombre de recurso de Amazon del certificado privado.

Para crear una gateway de cliente con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puertas de enlace de cliente.

  3. Elija Crear puerta de enlace de cliente.

  4. (Opcional) En Name tag (Etiqueta de nombre), ingrese un nombre para la puerta de enlace de cliente. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  5. En BGP ASN, ingrese un número de sistema autónomo (ASN) para protocolo de puerta de enlace fronteriza (BGP) de la puerta de enlace de cliente.

  6. (Opcional) En IP Address (Dirección IP), ingrese la dirección IP direccionable de Internet estática del dispositivo de puerta de enlace de cliente. Si el dispositivo de la puerta de enlace de cliente se encuentra detrás de un dispositivo NAT habilitado para NAT-T, utilice la dirección IP pública del dispositivo NAT.

  7. (Opcional) Si desea utilizar un certificado privado, para Certificate ARN (ARN de certificado), elija el nombre de recurso de Amazon del certificado privado.

  8. (Opcional) En Dispositivo, introduzca un nombre para el dispositivo de puerta de enlace de cliente asociado a esta puerta de enlace de cliente.

  9. Elija Crear puerta de enlace de cliente.

Para crear una gateway de cliente mediante la línea de comando o API

Paso 2: Crear una puerta de enlace de destino

Para establecer una conexión VPN entre la VPC y la red local, debe crear una puerta de enlace de destino en el AWS lateral de la conexión. La gateway de destino puede ser una gateway privada virtual o una gateway de tránsito.

Creación de una gateway privada virtual

Al crear una puerta de enlace privada virtual, puede especificar un número de sistema autónomo (ASN) privado personalizado en el lado de Amazon de la puerta de enlace o usar el ASN predeterminado de Amazon. Este ASN tiene que ser distinto del ASN especificado para la puerta de enlace de cliente.

Después de crear una puerta de enlace privada virtual, debe asociarla a la VPC.

Para crear una puerta de enlace privada virtual y adjuntarla a la VPC.

  1. En el panel de navegación, elija Puertas de enlace privadas virtuales.

  2. Elija Create virtual private gateway (Crear puerta de enlace privada virtual).

  3. (Opcional) En Etiqueta de nombre, introduzca un nombre para su puerta de enlace privada virtual. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  4. En Número de Sistema Autónomo (ASN), mantenga la selección predeterminada, ASN predeterminado de Amazon, para utilizar el ASN predeterminado de Amazon. De lo contrario, elija Custom ASN (ASN personalizado) y escriba un valor. Para un ASN de 16 bits ASN, el valor debe estar dentro del rango de 64 512 a 65 534. Para un ASN de 32 bits ASN, el valor debe estar dentro del rango de 4 200 000 000 a 4 294 967 294.

  5. Elija Create virtual private gateway (Crear puerta de enlace privada virtual).

  6. Seleccione la puerta de enlace privada virtual que ha creado y, a continuación, elija Actions (Acciones), Attach to VPC (Adjuntar a VPC).

  7. VPCsEn Disponible, elija su VPC y, a continuación, elija Adjuntar a la VPC.

Para crear una puerta de enlace privada virtual mediante la línea de comando o API
Para asociar una puerta de enlace privada virtual a una VPC mediante la línea de comando o API

Crear una puerta de enlace de tránsito

Para obtener más información acerca de cómo crear una gateway de tránsito, consulte Gateways de tránsito en Gateways de tránsito de Amazon VPC.

Paso 3: Configuración del enrutamiento

Para permitir que las instancias de su VPC lleguen a la puerta de enlace de cliente, debe configurar la tabla de enrutamiento para incluir las rutas que utiliza la conexión de VPN y dirigirlas a la puerta de enlace privada virtual o a la puerta de enlace de tránsito.

(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento

Puede activar la propagación de rutas en su tabla de rutas para propagar automáticamente las rutas Site-to-Site VPN.

Para el direccionamiento estático, los prefijos de IP estática que especifique en la configuración de su VPN se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP. Del mismo modo, para el direccionamiento dinámico, las rutas anunciadas mediante GBP de su gateway de cliente se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP.

nota

Si la conexión se interrumpe pero la conexión de VPN permanece ACTIVA, las rutas propagadas que se encuentren en la tabla de enrutamiento no se eliminarán automáticamente. Téngalo en cuenta si, por ejemplo, desea que el tráfico se conmute por error a una ruta estática. En dicho caso, es posible que tenga que deshabilitar la propagación de rutas para eliminar las rutas propagadas.

Para habilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Tablas de enrutamiento.

  2. Seleccione la tabla de enrutamiento asociada a la subred.

  3. En la pestaña Propagación de rutas, elija Editar propagación de rutas. Seleccione la puerta de enlace privada virtual que creó en el procedimiento anterior y, a continuación, elija Guardar.

nota

Si no activa la propagación de rutas, deberá introducir manualmente las rutas estáticas que utiliza su conexión de VPN. Para ello, seleccione su tabla de ruteo, elija Routes, Edit. En Destino, agrega la ruta estática que usa tu conexión Site-to-Site VPN. Para Target, seleccione el ID de gateway privada virtual y elija Save.

Para deshabilitar la propagación de rutas utilizando la consola

  1. En el panel de navegación, elija Tablas de enrutamiento.

  2. Seleccione la tabla de enrutamiento asociada a la subred.

  3. En la pestaña Propagación de rutas, elija Editar propagación de rutas. Desactive la casilla Propagar correspondiente a la puerta de enlace privada virtual.

  4. Seleccione Guardar.

Para habilitar la propagación de rutas mediante la línea de comando o un API
Para deshabilitar la propagación de rutas mediante la línea de comando o un API

(Gateway de tránsito) Agregar una ruta a la tabla de enrutamiento

Si ha habilitado la propagación de la tabla de enrutamiento para la gateway de tránsito, las rutas de los datos adjuntos de VPN se propagarán a la tabla de rutas de la gateway de tránsito. Para obtener más información, consulte Direccionamiento en Gateways de tránsito de Amazon VPC.

Si asocia una VPC a la gateway de tránsito y desea habilitar recursos de la VPC para llegar a la gateway de cliente, tiene que agregar una ruta a la tabla de enrutamiento de subred para apuntar a la gateway de tránsito.

Para añadir una ruta a una tabla de ruteo de VPC

  1. En el panel de navegación, elija Tablas de enrutamiento.

  2. Elija la tabla de enrutamiento asociada a su VPC.

  3. En la pestaña Rutas, elija Editar rutas.

  4. Seleccione Añadir ruta.

  5. En Destino, introduzca el intervalo de direcciones IP de destino. En Target (Destino), elija la gateway de tránsito.

  6. Elija Guardar cambios.

Paso 4: Actualizar el grupo de seguridad

Para permitir el acceso a instancias en su VPC desde su red, debe actualizar las reglas del grupo de seguridad para habilitar acceso SSH, RDP e ICMP entrante.

Para agregar reglas a su grupo de seguridad con el fin de permitir el acceso

  1. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  2. Seleccione el grupo de seguridad de las instancias de la VPC al que desea permitir el acceso.

  3. En la pestaña Reglas de entrada, seleccione Editar reglas de entrada.

  4. Agregue reglas que permitan el acceso SSH, RDP e ICMP entrante desde su red y, a continuación, elija Guardar reglas. Para obtener más información, consulte Trabajar con reglas de grupos de seguridad en la Guía del usuario de Amazon VPC.

Paso 5: Crear una conexión de VPN

Cree la conexión de VPN mediante la puerta de enlace de cliente en combinación con la puerta de enlace privada virtual o la puerta de enlace de tránsito que creó anteriormente.

Para crear una conexión de VPN

  1. En el panel de navegación, selecciona conexiones Site-to-Site VPN.

  2. Elija Create VPN Connection (Crear conex‎ión VPN).

  3. (Opcional) En Etiqueta de nombre, escriba el nombre de la conexión de VPN. Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

  4. En Target gateway type (Tipo de puerta de enlace de destino), elija Virtual private gateway (Puerta de enlace privada virtual) o Transit Gateway (Puerta de enlace de tránsito). A continuación, elija la gateway privada virtual o la gateway de tránsito que ha creado anteriormente.

  5. En Puerta de enlace de cliente, seleccione Existente y, a continuación, elija la puerta de enlace de cliente que creó anteriormente en ID de puerta de enlace de cliente.

  6. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):

    • Si el dispositivo de gateway de cliente da soporte a BGP, elija Dynamic (requires BGP) (Dinámico [requiere BGP]).

    • Si el dispositivo de gateway de cliente no da soporte a BGP, elija Static (Estático). En Static IP Prefixes (Prefijos de IP estática), especifique cada prefijo de IP para la red privada de su conexión de VPN.

  7. Si el tipo de puerta de enlace de destino es una puerta de enlace de tránsito, en la versión Túnel interno IP, especifique si los túneles VPN admiten IPv6 tráfico IPv4 o tráfico. IPv6 el tráfico solo es compatible con las conexiones VPN en una puerta de enlace de tránsito.

  8. Si especificó IPv4la versión Túnel dentro de IP, si lo desea, puede especificar los rangos de IPv4 CIDR para la puerta de enlace del cliente y AWS los lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado es 0.0.0.0/0.

    Si ha especificado IPv6la versión Túnel dentro de IP, también puede especificar los rangos de IPv6 CIDR para la puerta de enlace del cliente y AWS los lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado para ambos rangos es ::/0.

  9. Para el tipo de dirección IP externa, mantenga la opción predeterminada, PublicIpv4.

  10. (Opcional) En Opciones de túnel, puede especificar la siguiente información para cada túnel:

    • Un bloque IPv4 CIDR de tamaño /30 del 169.254.0.0/16 rango de las direcciones del túnel IPv4 interior.

    • Si especificó IPv6para la versión Tunnel inside IP, un bloque IPv6 CIDR /126 del fd00::/8 rango para las direcciones del túnel interno. IPv6

    • La clave previamente compartida de IKE (PSK). Se admiten las siguientes versiones: IKEv1 o. IKEv2

    • Para editar las opciones avanzadas del túnel, seleccione Editar opciones de túnel. Para obtener más información, consulte Opciones de túnel de VPN.

  11. Elija Create VPN Connection (Crear conex‎ión VPN). Es posible que la conexión de VPN tarde unos minutos en crearse.

Para crear una conexión de VPN mediante la línea de comandos o la API

Paso 6: Descargar el archivo de configuración

Después de crear la conexión de VPN, podrá descargar un archivo de configuración de muestra que podrá utilizar para configurar el dispositivo de puerta de enlace de cliente.

importante

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuración de conexión de VPN prevista en su totalidad. Especifica los requisitos mínimos para una conexión VPN del grupo 2 de AES128 Diffie-Hellman en la mayoría de AWS las regiones y AES128 del grupo 14 de Diffie-Hellman en las regiones. SHA1 SHA2 AWS GovCloud También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovechar los algoritmos de seguridad adicionales, los grupos de Diffie-Hellman, los certificados privados y el tráfico. IPv6

Hemos introducido la IKEv2 compatibilidad en los archivos de configuración para muchos de los dispositivos de pasarela de clientes más populares y seguiremos añadiendo archivos adicionales con el tiempo. Para obtener una lista de los archivos de configuración IKEv2 compatibles, consulteAWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.

Permisos

Para cargar correctamente la pantalla de configuración de descargas desde AWS Management Console, debe asegurarse de que su rol o usuario de IAM tenga permiso para los siguientes Amazon EC2 APIs: GetVpnConnectionDeviceTypes yGetVpnConnectionDeviceSampleConfiguration.

Para descargar el archivo de configuración mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, selecciona conexiones Site-to-Site VPN.

  3. Seleccione su conexión de VPN y elija Descargar configuración.

  4. Seleccione el Proveedor, la Plataforma , el Software y la Versión de IKE que corresponda al dispositivo de puerta de enlace de cliente. Si su dispositivo no aparece en la lista, seleccione Generic (Genérico).

  5. Elija Download (Descargar).

Para descargar un archivo de configuración de ejemplo mediante la línea de comandos o API

Paso 7: Configurar el dispositivo de puerta de enlace de cliente

Utilice el archivo de configuración de ejemplo para configurar su dispositivo de gateway de cliente. El dispositivo de puerta de enlace de cliente es un dispositivo físico o de software en su lado de la conexión de VPN. Para obtener más información, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.