AWS Site-to-Site VPN opciones de inicio de túnel - AWS Site-to-Site VPN
VPNopciones de IKE inicio de túnelesReglas y limitacionesTrabajar con las opciones de inicio VPN del túnel

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Site-to-Site VPN opciones de inicio de túnel

De forma predeterminada, el dispositivo de puerta de enlace del cliente debe abrir los túneles de su Site-to-Site VPN conexión generando tráfico e iniciando el proceso de negociación del intercambio de claves de Internet (IKE). Puede configurar sus VPN túneles para especificar si, en su lugar, AWS debe iniciar o reiniciar el proceso de IKE negociación.

VPNopciones de IKE inicio de túneles

Están disponibles las siguientes opciones de IKE iniciación. Puede implementar una o ambas opciones para uno o ambos túneles de la Site-to-Site VPN conexión. Consulte Opciones de túnel de VPN para obtener más información sobre estas y otras opciones de configuración del túnel.

  • Acción de inicio: la acción que se debe realizar al establecer el VPN túnel para una VPN conexión nueva o modificada. De forma predeterminada, el dispositivo de pasarela del cliente inicia el proceso de IKE negociación para abrir el túnel. Puede especificar que, en su lugar, AWS debe iniciar el proceso de IKE negociación.

  • DPDacción de tiempo de espera: la acción que se debe realizar cuando se agote el tiempo de espera de la detección de pares muertos (DPD). De forma predeterminada, la IKE sesión se detiene, el túnel deja de funcionar y se eliminan las rutas. Puede especificar que AWS debe reiniciarse la IKE sesión cuando se DPD agote el tiempo de espera o puede especificar que no AWS debe realizar ninguna acción cuando se DPD agote el tiempo de espera.

Reglas y limitaciones

Se aplican las siguientes reglas y limitaciones:

  • Para iniciar la IKE negociación, AWS necesita la dirección IP pública de su dispositivo de pasarela de cliente. Si configuró la autenticación basada en certificados para su VPN conexión y no especificó una dirección IP al crear el recurso de puerta de enlace de cliente AWS, debe crear una nueva puerta de enlace de cliente y especificar la dirección IP. A continuación, modifique la VPN conexión y especifique la nueva puerta de enlace del cliente. Para obtener más información, consulte Cambiar la pasarela del cliente por una AWS Site-to-Site VPN conexión.

  • IKEIKEv2solo se admite la iniciación (acción de inicio) desde el AWS lado de la VPN conexión.

  • Si se utiliza la IKE iniciación desde el AWS lado de la VPN conexión, no se incluye una configuración de tiempo de espera. Intentará establecer una conexión continuamente hasta que se establezca una. Además, la AWS parte de la VPN conexión reanudará la IKE negociación cuando reciba un mensaje de eliminación de SA desde la pasarela de clientes.

  • Si su dispositivo de pasarela de clientes está protegido por un firewall u otro dispositivo que utilice la traducción de direcciones de red (NAT), debe tener configurada una identidad (IDr). Para obtener más información al respectoIDr, consulte RFC7296.

Si no configura la IKE iniciación AWS lateral del VPN túnel y la VPN conexión pasa por un período de inactividad (normalmente 10 segundos, según la configuración), es posible que el túnel deje de funcionar. Para evitar este problema, utilice una herramienta de monitoreo de red para generar pings keepalive.

Trabajar con las opciones de inicio VPN del túnel

Para obtener más información sobre cómo trabajar con las opciones de inicio de VPN túneles, consulte los temas siguientes: