Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Configurar Windows Server como dispositivo de puerta de enlace para AWS Site-to-Site VPN clientes

PDF
RSS
Modo de enfoque
Configurar Windows Server como dispositivo de puerta de enlace para AWS Site-to-Site VPN clientes - AWS Site-to-Site VPN
Configuración de instancias de Windows Paso 1: Crear una conexión de VPN y configurar la VPCPaso 2: Descargar el archivo de configuración de la conexión de VPN Paso 3: Configuración de Windows ServerPaso 4: Configurar el túnel de VPNPaso 5: Habilitar la detección de gateways inactivasPaso 6: Comprobar la conexión de VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puede configurar el servidor que ejecute Windows Server como dispositivo de gateway de cliente para la VPC. Utilice el siguiente proceso tanto si ejecuta Windows Server en una EC2 instancia de una VPC como en su propio servidor. Los siguientes procedimientos se aplican a Windows Server 2012 R2 y versiones posteriores.

Configuración de instancias de Windows

Si está configurando Windows Server en una EC2 instancia que lanzó desde una AMI de Windows, haga lo siguiente:

  • Deshabilite la comprobación de origen/destino para la instancia:

    1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

    2. Seleccione la instancia de Windows y elija Actions (Acciones), Networking (Redes), Change source/destination check (Cambiar comprobación de origen o destino). Elija Stop (Detener)y, a continuación, seleccione Save (Guardar).

  • Actualice la configuración del adaptador para poder direccionar el tráfico procedente de otras instancias:

    1. Conéctese a la instancia de Windows. Para obtener más información, consulte Conexión con la instancia de Windows.

    2. Abra el Panel de control e inicie el Administrador de dispositivos.

    3. Expanda el nodo Adaptadores de red.

    4. Seleccione el adaptador de red (según el tipo de instancia, puede ser Amazon Elastic Network Adapter o Intel 82599 Virtual Function) y elija Action (Acción), Properties (Propiedades).

    5. En la pestaña Avanzadas, desactive las propiedades IPv4Checksum Offload, TCP Checksum Offload (IPv4) y UDP Checksum Offload () y, a continuación, pulse Aceptar. IPv4

  • Asigne una dirección IP elástica a su cuenta y asóciela a la instancia. Para obtener más información, consulte Direcciones IP elásticas en la Guía del EC2 usuario de Amazon. Tome nota de esta dirección: la necesitará al crear la pasarela de clientes.

  • Asegúrese de que las reglas del grupo de seguridad de la instancia permitan el IPsec tráfico saliente. De forma predeterminada, un grupo de seguridad permite todo el tráfico saliente. Sin embargo, si las reglas de salida del grupo de seguridad se han modificado con respecto a su estado original, debe crear las siguientes reglas de protocolo de salida personalizadas para el IPsec tráfico: protocolo IP 50, protocolo IP 51 y UDP 500.

Tome nota del intervalo CIDR de la red en la que se encuentra la instancia de Windows, por ejemplo, 172.31.0.0/16.

Paso 1: Crear una conexión de VPN y configurar la VPC

Para crear una conexión VPN desde la VPC, haga lo siguiente:

  1. Cree una gateway privada virtual y conéctela a su VPC. Para obtener más información, consulte Creación de una gateway privada virtual.

  2. A continuación, cree una conexión de VPN y una nueva gateway para cliente. Para la gateway de cliente, especifique la dirección IP pública del servidor de Windows. Para la conexión de VPN, elija el direccionamiento estático y, a continuación, escriba el intervalo de CIDR de la red en la que se encuentra el servidor de Windows, por ejemplo, 172.31.0.0/16. Para obtener más información, consulte Paso 5: Crear una conexión de VPN.

Después de crear la conexión VPN, configure la VPC para habilitar la comunicación a través de la conexión VPN.

Para configurar la VPC

  • Cree una subred privada en la VPC (en caso de que no disponga de ninguna) para lanzar instancias que se comunicarán con el servidor de Windows. Para obtener más información, consulte Creación de una subred en la VPC.

    nota

    La subred privada es una subred que no dispone de una ruta a ninguna gateway de Internet. El direccionamiento de esta subred se describe en la sección siguiente.

  • Actualice las tablas de ruteo de la conexión de VPN:

  • Cree un grupo de seguridad para las instancias que permita la comunicación entre la VPC y la red:

    • Añada reglas que permitan el acceso a SSH o RDP entrante desde su red. Esto le permitirá conectarse a instancias de su VPC desde la red. Por ejemplo, para permitir a los equipos de la red obtener acceso a instancias de Linux de su VPC, cree una regla entrante del tipo SSH y establezca el origine en el rango de CIDR de su red (por ejemplo, 172.31.0.0/16). Para obtener más información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

    • Añada una regla que permita el acceso a ICMP entrante desde su red. Esto permite probar la conexión VPN al hacer ping a una instancia de la VPC desde el servidor de Windows.

Paso 2: Descargar el archivo de configuración de la conexión de VPN

Puede utilizar la consola de Amazon VPC a fin de descargar un archivo de configuración de servidor de Windows para la conexión de VPN.

Cómo descargar el archivo de configuración

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Site-to-Site VPN Connections.

  3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).

  4. Seleccione Microsoft como proveedor, Windows Server como plataforma y 2012 R2 como software. Elija Descargar. Puede abrir el archivo o guardarlo.

El archivo de configuración contiene una sección de información similar al siguiente ejemplo. Verá que esta información se muestra dos veces, una para cada túnel.

vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

La dirección IP que especificó para la gateway del cliente al crear la conexión de VPN.

Remote Tunnel Endpoint

Una de las dos direcciones IP de la puerta de enlace privada virtual que termina la conexión VPN en el AWS lateral de la conexión.

Endpoint 1

El prefijo de IP que especificó como ruta estática al crear la conexión de VPN. Estas son las direcciones IP de su red que pueden utilizar la conexión de VPN para obtener acceso a su VPC.

Endpoint 2

Rango de direcciones IP (bloque de CIDR) de la VPC asociada a la gateway privada virtual (por ejemplo 10.0.0.0/16).

Preshared key

La clave previamente compartida que se utiliza para establecer la conexión IPsec VPN entre yLocal Tunnel Endpoint. Remote Tunnel Endpoint

Se recomienda que configure ambos túneles como parte de la conexión de VPN. Cada túnel se conecta a un concentrador de VPN independiente en Amazon de la conexión de VPN. Aunque solo haya un túnel activo cada vez, el segundo túnel se establece automáticamente si el primero se desactiva. Tener túneles redundantes garantiza disponibilidad continua en caso de un error del dispositivo. Puesto que solo hay disponible un túnel cada vez, la consola de Amazon VPC indica que hay un túnel inactivo. Este es el comportamiento esperado, de modo que no necesita realizar ninguna acción.

Con dos túneles configurados, si se produce un fallo en un dispositivo interno AWS, la conexión VPN pasa automáticamente al segundo túnel de la puerta de enlace privada virtual en cuestión de minutos. Al configurar su dispositivo de gateway de cliente, es importante que configure ambos túneles.

nota

De vez en cuando, AWS realiza tareas de mantenimiento rutinarias en la puerta de enlace privada virtual. Este mantenimiento podría deshabilitar uno de los dos túneles de su conexión de VPN durante un breve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundo túnel mientras duren las tareas de mantenimiento.

En el archivo de configuración descargado se presenta información adicional sobre el intercambio de claves de Internet (IKE) y las asociaciones de IPsec seguridad (SA).

MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2
MainModeSecMethods

Algoritmos de cifrado y autenticación para IKE SA. Estas son las configuraciones sugeridas para la conexión VPN y son las configuraciones predeterminadas para las conexiones IPsec VPN de Windows Server.

MainModeKeyLifetime

Vida útil de la clave de IKE SA.  Esta es la configuración sugerida para la conexión VPN y es la configuración predeterminada para las conexiones IPsec VPN de Windows Server.

QuickModeSecMethods

Los algoritmos de cifrado y autenticación de la IPsec SA. Estas son las configuraciones sugeridas para la conexión VPN y son las configuraciones predeterminadas para las conexiones IPsec VPN de Windows Server.

QuickModePFS

Le sugerimos que utilice la clave maestra Perfect Forward Secret (PFS) para sus IPsec sesiones.

Paso 3: Configuración de Windows Server

Antes de configurar el túnel VPN, debe instalar y configurar los servicios de direccionamiento y acceso remoto en el servidor de Windows. De esta forma, los usuarios remotos podrán obtener acceso a los recursos de su red.

Para instalar servicios de direccionamiento y acceso remoto

  1. Inicie sesión en su servidor de Windows.

  2. Vaya al menú Inicio y elija Administrador del servidor.

  3. Instale los servicios de acceso remoto y direccionamiento:

    1. Desde el menú Administrar, elija Agregar roles y características.

    2. En la página Antes de comenzar, asegúrese de que su servidor cumple todos los requisitos previos. A continuación, elija Siguiente.

    3. Elija Instalación basada en características o en roles y, a continuación, elija Siguiente.

    4. Elija Select a server from the server pool (Seleccionar un servidor del grupo de servidores), seleccione el servidor de Windows y, a continuación, elija Next (Siguiente).

    5. Seleccione Servicios de acceso y directivas de redes en la lista. En el cuadro de diálogo que aparecerá, elija Agregar características para confirmar las características necesarias para esta función.

    6. En la misma lista, elija Acceso remoto y elija Siguiente.

    7. En la página Seleccionar características, elija Siguiente.

    8. En la página Servicios de acceso y directivas de redes, elija Siguiente.

    9. En la página Acceso remoto, elija Siguiente. En la página siguiente, selecciona DirectAccess una VPN (RAS). En el cuadro de diálogo que aparecerá, elija Agregar características para confirmar las características necesarias para este servicio de función. En la misma lista, elija Enrutamiento y, a continuación, elija Siguiente.

    10. En la página Rol de servidor web (IIS), elija Siguiente. Deje la selección predeterminada y elija Siguiente.

    11. Elija Instalar. Cuando finalice la instalación, elija Cerrar.

Para configurar y habilitar el servidor de enrutamiento y acceso remoto

  1. En el panel, elija Notificaciones (icono con la marca). Debería haber una tarea para completar la configuración posterior a la implementación. Elija el enlace Abrir el Asistente para introducción.

  2. Elija Implementar solo VPN.

  3. En el cuadro de diálogo Enrutamiento y acceso remoto, elija el nombre del servidor, elija Acción y luego seleccione Configurar y habilitar Enrutamiento y acceso remoto.

  4. En el Asistente para instalación del servidor de enrutamiento y acceso remoto, en la primera página, elija Siguiente.

  5. En la página Configuración, elija Configuración personalizada y Siguiente.

  6. Elija Enrutamiento LAN, Siguiente y Finalizar.

  7. Cuando lo solicite el cuadro de diálogo Enrutamiento y acceso remoto, elija Iniciar servicio.

Paso 4: Configurar el túnel de VPN

Puede configurar el túnel VPN al ejecutar los scripts netsh incluidos en el archivo de configuración descargado o mediante la interfaz de usuario del servidor de Windows.

importante

Le sugerimos que utilice la clave maestra Perfect Forward Secret (PFS) para sus IPsec sesiones. Si decide ejecutar el script netsh, incluye un parámetro para habilitar PFS (). qmpfs=dhgroup2 No puede habilitar PFS mediante la interfaz de usuario de Windows; debe hacerlo mediante la línea de comandos.

Opción 1: ejecutar el script netsh

Copie el script netsh del archivo de configuración descargado y reemplace las variables. A continuación se muestra un ejemplo de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puede sustituir el nombre recomendado (vgw-1a2b3c4d Tunnel 1) por el nombre que prefiera.

LocalTunnelEndpoint: Introduzca la dirección IP privada del servidor Windows de la red.

Endpoint1: el bloque de CIDR de la red en la que reside el servidor de Windows. Por ejemplo, 172.31.0.0/16. Rodee este valor con comillas dobles (“).

Endpoint2: bloque de CIDR de su VPC o subred de su VPC. Por ejemplo, 10.0.0.0/16. Rodee este valor con comillas dobles (“).

Ejecute el script actualizado en una ventana de símbolo del sistema en el servidor de Windows. (El signo ^ le permite cortar y pegar texto incluido en la línea de comandos). Para configurar el segundo túnel de VPN para esta conexión de VPN, repita el proceso utilizando el script netsh en el archivo de configuración.

Cuando haya terminado, vaya a Configurar el firewall de Windows.

Para obtener más información acerca de los parámetros netsh, consulte Comandos Netsh AdvFirewall Consec en la biblioteca de Microsoft. TechNet

Opción 2: utilizar la interfaz de usuario del servidor de Windows

También puede utilizar la interfaz de usuario del servidor de Windows para configurar el túnel de VPN.

importante

No puede habilitar la confidencialidad directa total (PFS) de clave maestra desde la interfaz de usuario del servidor de Windows. PFS debe habilitarse con la línea de comandos, tal como se describe en Habilitación de la confidencialidad directa total (PFS) de clave maestra.

Configurar una regla de seguridad para un túnel VPN

En esta sección, configure una regla de seguridad en el servidor de Windows para crear un túnel VPN.

Para configurar una regla de seguridad para un túnel de VPN

  1. Abra el administrador del servidor, elija Tools (Herramientas)y, a continuación, seleccione Windows Defender Firewall with Advanced Security (Firewall de Windows Defender con seguridad avanzada).

  2. Seleccione Reglas de seguridad de conexión, elija Acción y, a continuación, Nueva regla.

  3. En el Asistente para nueva regla de seguridad de conexión, en la página Tipo de regla, elija Túnel y, a continuación, elija Siguiente.

  4. En la página Tipo de túnel, en ¿Qué tipo de túnel desea crear?, elija Configuración personalizada. En ¿Desea eximir de este túnel a las conexiones IPsec protegidas?, deje el valor predeterminado marcado (No). Envía todo el tráfico de red que coincida con esta regla de seguridad de conexión (a través del túnel) y, a continuación, selecciona Siguiente.

  5. En la página Requisitos, elija Requerir autenticación para las conexiones entrantes. No establezca túneles para las conexiones salientes y, a continuación, elija Siguiente.

  6. En la página Extremos de túnel, en ¿Qué equipos están en el Extremo 1?, elija Agregar. Escriba el intervalo de CIDR de la red (detrás del dispositivo de gateway de cliente del servidor de Windows, por ejemplo 172.31.0.0/16) y, a continuación, seleccione OK (Aceptar). El intervalo puede incluir la dirección IP de su dispositivo de gateway de cliente.

  7. En ¿Cuál es el extremo de túnel local (más cercano a los equipos del Extremo 1)?, elija Editar. En el campo de IPv4 dirección, introduce la dirección IP privada de tu servidor Windows y, a continuación, selecciona Aceptar.

  8. En ¿Cuál es el extremo de túnel remoto (más cercano a los equipos del Extremo 2)?, elija Editar. En el campo de IPv4 dirección, introduzca la dirección IP de la puerta de enlace privada virtual para el túnel 1 del archivo de configuración (consulteRemote Tunnel Endpoint) y, a continuación, pulse Aceptar.

    importante

    Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar el punto de conexión para el Túnel 2.

  9. En ¿Qué equipos están en el Extremo 2?, elija Agregar. En el campo Esta dirección IP o subred:, escriba el bloque de CIDR de su VPC y, a continuación, elija Aceptar.

    importante

    Debe desplazarse por el cuadro de diálogo hasta encontrar ¿Qué equipos están en el Extremo 2?. No elija Siguiente hasta que no haya completado este paso, ya que, de lo contrario, no podrá conectarse a su servidor.

    Asistente para nueva regla de seguridad de conexión: puntos de enlace de túnel

  10. Asegúrese de que todos los parámetros especificados son correctos. A continuación, elija Siguiente.

  11. En la página Método de autenticación, seleccione Avanzado y elija Personalizar.

  12. En Métodos de primera autenticación, elija Agregar.

  13. Seleccione Clave previamente compartida, escriba el valor de la clave previamente compartida del archivo de configuración y luego elija Aceptar.

    importante

    Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar la clave previamente compartida para el Túnel 2.

  14. Asegúrese de que la opción La primera autenticación es opcional no esté seleccionada y, a continuación, elija Aceptar.

  15. Elija Next (Siguiente).

  16. En la página Perfil, active las tres casillas de verificación: Dominio, Privado y Público. Elija Next (Siguiente).

  17. En la página Nombre, escriba un nombre para la regla de conexión, por ejemplo, VPN to Tunnel 1 y, a continuación, elija Finalizar.

Repita el procedimiento anterior, especificando los datos para el túnel 2 de su archivo de configuración.

Una vez que haya terminado, tendrá dos túneles configurados para su conexión de VPN.

Confirmar la configuración del túnel

Para confirmar la configuración del túnel

  1. Abra Administrador del servidor, elija Herramientas, seleccione Firewall de Windows con seguridad avanzada y, a continuación, seleccione Reglas de seguridad de conexión.

  2. Realice las comprobaciones siguientes para ambos túneles:

    • Habilitado está configurado con el valor Yes.

    • Extremo 1 corresponde con el bloque de CIDR de su red.

    • Extremo 2 corresponde con el bloque de CIDR de su VPC.

    • El modo de autenticación está configurado con el valor Require inbound and clear outbound.

    • Método de autenticación está configurado como Custom.

    • Puerto de extremo 1 es Any.

    • Puerto de extremo 2 es Any.

    • Protocolo es Any.

  3. Seleccione la primera regla y elija Propiedades.

  4. En la pestaña Autenticación, en Método, elija Personalizar. Compruebe que el campo Métodos de primera autenticación contiene la clave previamente compartida correcta del archivo de configuración para el túnel y, a continuación, elija Aceptar.

  5. En la pestaña Avanzado, asegúrese de que las opciones Dominio, Privado y Público estén seleccionadas.

  6. En la sección de IPsec tunelización, elija Personalizar. Compruebe la siguiente configuración de IPsec tunelización y, a continuación, pulse Aceptar y volver a pulsar Aceptar para cerrar el cuadro de diálogo.

    • Está seleccionada la opción Utilizar IPsec tunelización.

    • El punto de enlace del túnel local (más cercano al punto de enlace 1) contiene la dirección IP del servidor de Windows. Si el dispositivo de puerta de enlace del cliente es una EC2 instancia, esta es la dirección IP privada de la instancia.

    • Extremo de túnel remoto (más cercano al Extremo 2) contiene la dirección IP de la gateway privada virtual de este túnel.

  7. Abra las propiedades del segundo túnel. Repita los pasos del 4 al 7 para este túnel.

Habilitación de la confidencialidad directa total (PFS) de clave maestra

La confidencialidad directa total (PFS) de clave maestra se puede habilitar mediante la línea de comandos. Esta característica no puede habilitarse desde la interfaz de usuario.

Para habilitar la confidencialidad directa total de clave maestra

  1. En el servidor de Windows, abra una nueva ventana del símbolo del sistema.

  2. Introduzca el comando siguiente sustituyendo rule_name por el nombre que asignó en la primera regla de conexión.

    netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

  3. Repta el paso 2 para el segundo túnel. Esta vez, sustituya rule_name por el nombre que asignó a la segunda regla de conexión.

Configurar el firewall de Windows

Tras configurar las reglas de seguridad en el servidor, configure algunos IPsec ajustes básicos para que funcionen con la puerta de enlace privada virtual.

Para configurar el firewall de Windows

  1. Abra el administrador del servidor, elija Tools (Herramientas), seleccione Windows Defender Firewall with Advanced Security (Firewall de Windows Defender con seguridad avanzada)y, a continuación, elija Properties (Propiedades).

  2. En la pestaña IPsec Configuración, en la sección de IPsecexenciones, compruebe que Exentar ICMP de IPsec es No (opción predeterminada). Compruebe que la autorización IPsec del túnel sea Ninguna.

  3. En IPsec los valores predeterminados, elija Personalizar.

  4. En Intercambio de claves (modo principal), seleccione Avanzado y, a continuación, elija Personalizar.

  5. En Personalizar configuración avanzada de intercambio de claves, en Métodos de seguridad, asegúrese de que se utilizan los siguientes valores predeterminados para la primera entrada:

    • Integridad: SHA-1

    • Cifrado: AES-CBC 128

    • Algoritmo de intercambio de claves: Grupo Diffie-Hellman 2

    • En Duración de la clave, asegúrese de que Minutos tenga el valor 480 y de que Sesiones tenga el valor 0.

    Estos valores corresponden a estas entradas en el archivo de configuración.

    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sec

  6. En Opciones de intercambio de claves, seleccione Usar Diffie-Hellman para mayor seguridad y, a continuación, elija Aceptar.

  7. En Protección de datos (modo rápido), seleccione Avanzado y, a continuación, elija Personalizar.

  8. Seleccione Requerir cifrado para todas las reglas de seguridad de conexión que usan esta configuración.

  9. En Integridad y cifrado de datos, deje los valores predeterminados:

    • Protocolo: ESP

    • Integridad: SHA-1

    • Cifrado: AES-CBC 128

    • Vigencia: 60 minutos

    Estos valores corresponden a la entrada del archivo de configuración que se muestra a continuación.

    QuickModeSecMethods: 
ESP:SHA1-AES128+60min+100000kb

  10. Pulse Aceptar para volver al cuadro de diálogo Personalizar IPsec ajustes y pulse Aceptar de nuevo para guardar la configuración.

Paso 5: Habilitar la detección de gateways inactivas

A continuación, configure TCP para detectar cuándo una gateway deja de estar disponible. Para ello, modifique la siguiente clave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. No realice este paso hasta no haber completado las secciones anteriores. Después de cambiar la clave de registro, deberá reiniciar el servidor.

Para habilitar la detección de gateways inactivas

  1. Desde su servidor Windows, inicie la línea de comandos o una PowerShell sesión e introduzca regedit para iniciar el Editor del Registro.

  2. Expanda HKEY_LOCAL_MACHINE, expanda SYSTEM, expanda, expanda Servicios, expanda CurrentControlSetTcpip y, después, expanda Parámetros.

  3. Desde el menú Editar, seleccione Nuevo y seleccione Valor de DWORD (32 bits).

  4. Introduzca el nombre EnableDeadGWDetect.

  5. Seleccione y elija Editar, Modificar. EnableDeadGWDetect

  6. En Información del valor, escriba 1 y, a continuación, elija Aceptar.

  7. Cierre el Editor del Registro y reinicie el servidor.

Para obtener más información, consulte EnableDeadGWDetecten la TechNetBiblioteca de Microsoft.

Paso 6: Comprobar la conexión de VPN

Para comprobar que la conexión de VPN está funcionando correctamente, lance una instancia en su VPC y asegúrese de que no tiene conexión a Internet. Después de lanzar la instancia, haga ping a la dirección IP privada desde el servidor de Windows. El túnel VPN aparece cuando se genera tráfico desde el dispositivo de gateway de cliente. Por lo tanto, el comando ping también inicia la conexión de VPN.

Si desea ver los pasos para probar la conexión de VPN, consulte Probar una AWS Site-to-Site VPN conexión.

En caso de error en el comando ping, compruebe la información siguiente:

  • Asegúrese de haber configurado las reglas de su grupo de seguridad para que permitan ICMP en la instancia de su VPC. Si su Windows Server es una EC2 instancia, asegúrese de que las reglas de salida de su grupo de seguridad permitan IPsec el tráfico. Para obtener más información, consulte Configuración de instancias de Windows.

  • Asegúrese de que el sistema operativo de la instancia en la que está haciendo ping esté configurado para responder a ICMP. Le recomendamos que utilice uno de los sistemas Amazon Linux AMIs.

  • Si la instancia a la que está haciendo ping es una instancia de Windows, conéctese a la instancia y habilite la entrada ICMPv4 en el firewall de Windows.

  • Asegúrese de haber configurado las tablas de ruteo correctamente para su VPC o su subred. Para obtener más información, consulte Paso 1: Crear una conexión de VPN y configurar la VPC.

  • Si el dispositivo de pasarela de tu cliente es una EC2 instancia, asegúrate de haber desactivado la comprobación del origen y el destino de la instancia. Para obtener más información, consulte Configuración de instancias de Windows.

En la consola de Amazon VPC, en la página VPN Connections, seleccione su conexión de VPN. El primer túnel está en estado activo. El segundo túnel debería configurarse, pero no se utiliza a menos que se desactive el primer túnel. Puede que los túneles cifrados tarden unos minutos en establecerse.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.