Prasyarat Buat gateway pelanggan Buat gateway target Konfigurasikan perutean Perbarui grup keamanan Anda Buat VPN koneksi Unduh file konfigurasi Konfigurasikan perangkat gateway pelanggan

Memulai dengan AWS Site-to-Site VPN

Gunakan prosedur berikut untuk mengatur AWS Site-to-Site VPN koneksi. Selama pembuatan, Anda akan menentukan gateway pribadi virtual, gateway transit, atau “Tidak terkait” sebagai jenis gateway target. Jika Anda menentukan “Tidak terkait”, Anda dapat memilih jenis gateway target di lain waktu, atau Anda dapat menggunakannya sebagai VPN lampiran untuk AWS CloudWAN. Tutorial ini membantu Anda membuat VPN koneksi menggunakan gateway pribadi virtual. Ini mengasumsikan bahwa Anda memiliki yang ada VPC dengan satu atau lebih subnet.

Untuk mengatur VPN koneksi menggunakan gateway pribadi virtual, selesaikan langkah-langkah berikut:

Tugas

Prasyarat
Buat gateway pelanggan
Buat gateway target
Konfigurasikan perutean
Perbarui grup keamanan Anda
Buat VPN koneksi
Unduh file konfigurasi
Konfigurasikan perangkat gateway pelanggan

Tugas terkait

Untuk membuat VPN koneksi untuk AWS CloudWAN, lihatMembuat WAN VPN lampiran Cloud.
Untuk membuat VPN koneksi pada gateway transit, lihatBuat VPN lampiran gateway transit.

Prasyarat

Anda memerlukan informasi berikut untuk mengatur dan mengkonfigurasi komponen VPN koneksi.

Item	Informasi
Perangkat gateway pelanggan	Perangkat fisik atau perangkat lunak di sisi VPN koneksi Anda. Anda memerlukan vendor (misalnya, Cisco), platform (misalnya, Router ISR Seri), dan versi perangkat lunak (misalnya, IOS 12.4).
Gateway pelanggan	Untuk membuat sumber daya gateway pelanggan di AWS, Anda memerlukan informasi berikut: Alamat IP yang dapat dirutekan internet untuk antarmuka eksternal perangkat Jenis perutean: statis atau dinamis Untuk perutean dinamis, Border Gateway Protocol (BGP) Autonomous System Number (ASN) (Opsional) Sertifikat pribadi dari AWS Private Certificate Authority untuk mengautentikasi VPN Untuk informasi selengkapnya, lihat Opsi gateway pelanggan.
(Opsional) ASN Untuk AWS sisi BGP sesi	Anda menentukannya ketika membuat gateway privat virtual atau transit gateway. Jika Anda tidak menentukan nilai, default ASN berlaku. Untuk informasi selengkapnya, lihat Gateway privat virtual.
VPNkoneksi	Untuk membuat VPN koneksi, Anda memerlukan informasi berikut: Untuk perutean statis, prefiks IP untuk jaringan privat Anda. (Opsional) Opsi terowongan untuk setiap VPN terowongan. Untuk informasi selengkapnya, lihat Opsi terowongan untuk AWS Site-to-Site VPN koneksi Anda.

Langkah 1: Buat gateway pelanggan

Gateway pelanggan memberikan informasi AWS tentang perangkat gateway pelanggan atau aplikasi perangkat lunak Anda. Untuk informasi selengkapnya, lihat Gateway pelanggan.

Jika Anda berencana untuk menggunakan sertifikat pribadi untuk mengautentikasi AndaVPN, buat sertifikat pribadi dari CA bawahan menggunakan. AWS Private Certificate Authority Untuk informasi tentang pembuatan sertifikat privat, lihat Pembuatan dan Pengelolaan CA privat dalam Panduan Pengguna AWS Private Certificate Authority .

catatan

Anda harus menentukan alamat IP, atau Nama Sumber Daya Amazon dari sertifikat privat.

Untuk membuat gateway pelanggan menggunakan konsol tersebut

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih gateway Pelanggan.
Pilih Buat gateway pelanggan.
(Opsional) Untuk tag Nama, masukkan nama untuk gateway pelanggan Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.
Untuk BGPASN, masukkan Border Gateway Protocol (BGP) Autonomous System Number (ASN) untuk gateway pelanggan Anda.
(Opsional) Untuk alamat IP, masukkan alamat IP statis yang dapat dirutekan internet untuk perangkat gateway pelanggan Anda. Jika perangkat gateway pelanggan Anda berada di belakang NAT perangkat yang diaktifkan untuk NAT -T, gunakan alamat IP publik NAT perangkat.
(Opsional) Jika Anda ingin menggunakan sertifikat pribadi, untuk Sertifikat ARN, pilih Nama Sumber Daya Amazon dari sertifikat pribadi.
(Opsional) Untuk Perangkat, masukkan nama untuk perangkat gateway pelanggan yang terkait dengan gateway pelanggan ini.
Pilih Buat gateway pelanggan.

Untuk membuat gateway pelanggan menggunakan baris perintah atau API

CreateCustomerGateway(EC2Kueri AmazonAPI)
create-customer-gateway (AWS CLI)
New-EC2CustomerGateway (AWS Tools for Windows PowerShell)

Langkah 2: Buat gateway target

Untuk membuat VPN koneksi antara jaringan lokal Anda VPC dan jaringan lokal, Anda harus membuat gateway target di AWS sisi koneksi. Target gateway dapat berupa gateway privat virtual atau transit gateway.

Buat gateway privat virtual

Saat membuat gateway pribadi virtual, Anda dapat menentukan Nomor Sistem Otonomi pribadi kustom (ASN) untuk sisi Amazon dari gateway, atau menggunakan default AmazonASN. Ini ASN harus berbeda dari ASN yang Anda tentukan untuk gateway pelanggan.

Setelah Anda membuat gateway pribadi virtual, Anda harus melampirkannya ke AndaVPC.

Untuk membuat gateway pribadi virtual dan melampirkannya ke VPC

Di panel navigasi, pilih Gateway pribadi virtual.
Pilih Buat gateway pribadi virtual.
(Opsional) Untuk tag Nama, masukkan nama untuk gateway pribadi virtual Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.
Untuk Autonomous System Number (ASN), pertahankan pilihan defaultASN, Amazon default, untuk menggunakan Amazon defaultASN. Jika tidak, pilih Kustom ASN dan masukkan nilai. Untuk 16-bitASN, nilainya harus dalam kisaran 64512 hingga 65534. Untuk 32-bitASN, nilainya harus dalam kisaran 4200000000 hingga 4294967294.
Pilih Buat gateway pribadi virtual.
Pilih gateway pribadi virtual yang Anda buat, lalu pilih Actions, Attach to VPC.
Untuk Tersedia VPCs, pilih Anda VPC dan kemudian pilih Lampirkan ke VPC.

Untuk membuat gateway pribadi virtual menggunakan baris perintah atau API

CreateVpnGateway(EC2Kueri AmazonAPI)
create-vpn-gateway (AWS CLI)
New-EC2VpnGateway (AWS Tools for Windows PowerShell)

Untuk melampirkan gateway pribadi virtual ke VPC menggunakan baris perintah atau API

AttachVpnGateway(EC2Kueri AmazonAPI)
attach-vpn-gateway (AWS CLI)
Add-EC2VpnGateway (AWS Tools for Windows PowerShell)

Membuat transit gateway

Untuk informasi selengkapnya tentang membuat gateway transit, lihat Gateway transit di Amazon VPC Transit Gateways.

Langkah 3: Konfigurasikan perutean

Untuk mengaktifkan instans dalam Anda VPC untuk mencapai gateway pelanggan Anda, Anda harus mengkonfigurasi tabel rute Anda untuk menyertakan rute yang digunakan oleh VPN koneksi Anda dan mengarahkannya ke gateway pribadi virtual atau gateway transit Anda.

(Gateway privat virtual) Aktifkan propagasi rute di tabel rute Anda

Anda dapat mengaktifkan propagasi rute untuk tabel rute Anda untuk menyebarkan Site-to-Site VPN rute secara otomatis.

Untuk perutean statis, awalan IP statis yang Anda tentukan untuk VPN konfigurasi Anda disebarkan ke tabel rute saat status koneksi. VPN UP Demikian pula, untuk perutean dinamis, rute BGP yang diiklankan dari gateway pelanggan Anda disebarkan ke tabel rute saat status koneksi. VPN UP

catatan

Jika koneksi Anda terputus tetapi VPN koneksi tetap UP, rute yang disebarkan yang ada di tabel rute Anda tidak dihapus secara otomatis. Ingatlah hal ini, misalnya, jika Anda ingin lalu lintas dialihkan ke rute statis. Dalam hal ini, Anda mungkin harus menonaktifkan propagasi rute untuk menghapus rute yang disebarkan.

Untuk mengaktifkan propagasi rute menggunakan konsol tersebut

Di panel navigasi, pilih Tabel rute.
Pilih tabel rute yang terkait dengan subnet.
Pada tab Rute propagation, pilih Edit propagasi rute. Pilih gateway pribadi virtual yang Anda buat di prosedur sebelumnya, lalu pilih Simpan.

catatan

Jika Anda tidak mengaktifkan propagasi rute, Anda harus secara manual memasukkan rute statis yang digunakan oleh VPN koneksi Anda. Untuk melakukannya, pilih tabel rute Anda, pilih Rute, Edit. Untuk Tujuan, tambahkan rute statis yang digunakan oleh Site-to-Site VPN koneksi Anda. Untuk Target, pilih ID gateway privat virtual, dan pilih Simpan.

Untuk mennonaktifkan propagasi rute menggunakan konsol tersebut

Di panel navigasi, pilih Tabel rute.
Pilih tabel rute yang terkait dengan subnet.
Pada tab Rute propagation, pilih Edit propagasi rute. Kosongkan kotak centang Propagate untuk gateway pribadi virtual.
Pilih Simpan.

Untuk mengaktifkan propagasi rute menggunakan baris perintah atau API

EnableVgwRoutePropagation(EC2Kueri AmazonAPI)
enable-vgw-route-propagation (AWS CLI)
Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

Untuk menonaktifkan propagasi rute menggunakan baris perintah atau API

DisableVgwRoutePropagation(EC2Kueri AmazonAPI)
disable-vgw-route-propagation (AWS CLI)
Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)

(Transit gateway) Tambahkan rute ke tabel rute Anda

Jika Anda mengaktifkan propagasi tabel rute untuk gateway transit Anda, rute untuk VPN lampiran akan disebarkan ke tabel rute gateway transit. Untuk informasi selengkapnya, lihat Perutean di Amazon VPC Transit Gateways.

Jika Anda melampirkan a VPC ke gateway transit Anda dan Anda ingin mengaktifkan sumber daya VPC untuk mencapai gateway pelanggan Anda, Anda harus menambahkan rute ke tabel rute subnet Anda untuk menunjuk ke gateway transit.

Untuk menambahkan rute ke tabel VPC rute

Pada panel navigasi, pilih Tabel rute.
Pilih tabel rute yang terkait dengan AndaVPC.
Di tab Rute, pilih Edit rute.
Pilih Tambahkan rute.
Untuk Tujuan, masukkan rentang alamat IP tujuan. Untuk Target, pilih transit gateway.
Pilih Simpan perubahan.

Langkah 4: Perbarui grup keamanan Anda

Untuk mengizinkan akses ke instans di jaringan Anda, Anda harus memperbarui aturan grup keamanan Anda untuk mengaktifkan masukSSH,RDP, dan ICMP akses. VPC

Untuk menambahkan aturan ke grup keamanan Anda untuk mengaktifkan akses

Di panel navigasi, pilih Grup keamanan.
Pilih grup keamanan untuk instance VPC yang ingin Anda izinkan aksesnya.
Pada tab Inbound rules (Aturan ke dalam), pilih Edit inbound rules (Edit aturan ke dalam).
Tambahkan aturan yang memungkinkan masukSSH,RDP, dan ICMP akses dari jaringan Anda, lalu pilih Simpan aturan. Untuk informasi selengkapnya, lihat Bekerja dengan aturan grup keamanan di Panduan VPC Pengguna Amazon.

Langkah 5: Buat VPN koneksi

Buat VPN koneksi menggunakan gateway pelanggan dalam kombinasi dengan gateway pribadi virtual atau gateway transit yang Anda buat sebelumnya.

Untuk membuat VPN koneksi

Di panel navigasi, pilih Site-to-Site VPNkoneksi.
Pilih Buat VPN koneksi.
(Opsional) Untuk tag Nama, masukkan nama untuk VPN koneksi Anda. Dengan melakukan hal tersebut akan menciptakan tanda dengan kunci Name dan nilai yang Anda tentukan.
Untuk jenis gateway Target, pilih salah satu Virtual Private Gateway atau Transit gateway. Kemudian, pilih gateway privat virtual atau transit gateway yang telah Anda buat sebelumnya.
Untuk gateway Pelanggan, pilih Existing, lalu pilih gateway pelanggan yang Anda buat sebelumnya dari ID gateway Pelanggan.
Pilih salah satu opsi perutean berdasarkan apakah perangkat gateway pelanggan Anda mendukung Border Gateway Protocol (BGP):
- Jika perangkat gateway pelanggan Anda mendukungBGP, pilih Dinamis (memerlukanBGP).
- Jika perangkat gateway pelanggan Anda tidak mendukungBGP, pilih Statis. Untuk Awalan IP Statis, tentukan setiap awalan IP untuk jaringan pribadi koneksi Anda. VPN
Jika jenis gateway target Anda adalah gateway transit, untuk Tunnel di dalam versi IP, tentukan apakah VPN terowongan mendukung IPv4 atau IPv6 lalu lintas. IPv6lalu lintas hanya didukung untuk VPN koneksi pada gateway transit.
Jika Anda menetapkan IPv4untuk Tunnel di dalam versi IP, Anda dapat menentukan IPv4 CIDR rentang untuk gateway pelanggan dan AWS sisi yang diizinkan untuk berkomunikasi melalui VPN terowongan. Default-nya adalah 0.0.0.0/0.

Jika Anda menetapkan IPv6untuk Tunnel di dalam versi IP, Anda dapat menentukan IPv6 CIDR rentang untuk gateway pelanggan dan AWS sisi yang diizinkan untuk berkomunikasi melalui VPN terowongan. Default untuk kedua rentang tersebut adalah ::/0.
Untuk jenis alamat IP Luar, pertahankan opsi default, PublicIpv4.
(Opsional) Untuk opsi Tunnel, Anda dapat menentukan informasi berikut untuk setiap terowongan:
- IPv4CIDRBlok ukuran /30 dari 169.254.0.0/16 rentang untuk IPv4 alamat terowongan di dalam.
- Jika Anda menentukan IPv6untuk Tunnel di dalam versi IP, IPv6 CIDR blok /126 dari fd00::/8 rentang untuk alamat terowongan IPv6 di dalam.
- Kunci yang IKE telah dibagikan sebelumnya (PSK). Versi berikut didukung: IKEv1 atauIKEv2.
- Untuk mengedit opsi lanjutan untuk terowongan Anda, pilih opsi Edit terowongan. Untuk informasi selengkapnya, lihat VPNopsi terowongan.
Pilih Buat VPN koneksi. Mungkin perlu beberapa menit untuk membuat VPN koneksi.

Untuk membuat VPN koneksi menggunakan baris perintah atau API

CreateVpnConnection(EC2Kueri AmazonAPI)
create-vpn-connection (AWS CLI)
New-EC2VpnConnection (AWS Tools for Windows PowerShell)

Langkah 6: Unduh file konfigurasi

Setelah membuat VPN koneksi, Anda dapat mengunduh file konfigurasi sampel yang akan digunakan untuk mengonfigurasi perangkat gateway pelanggan.

penting

File konfigurasi adalah contoh saja dan mungkin tidak cocok dengan pengaturan VPN koneksi yang Anda inginkan sepenuhnya. Ini menentukan persyaratan minimum untuk VPN koneksiAES128,, dan Diffie-Hellman grup 2 di sebagian besar AWS WilayahSHA1, dan, AES128SHA2, dan Diffie-Hellman grup 14 di Wilayah. AWS GovCloud Ini juga menentukan kunci pra-berbagi untuk autentikasi. Anda harus memodifikasi contoh file konfigurasi untuk memanfaatkan algoritma keamanan tambahan, grup Diffie-Hellman, sertifikat pribadi, dan lalu lintas. IPv6

Kami telah memperkenalkan IKEv2 dukungan dalam file konfigurasi untuk banyak perangkat gateway pelanggan populer dan akan terus menambahkan file tambahan dari waktu ke waktu. Untuk daftar file konfigurasi dengan IKEv2 dukungan, lihatAWS Site-to-Site VPN perangkat gateway pelanggan.

Izin

Untuk memuat layar konfigurasi unduhan dengan benar dari AWS Management Console, Anda harus memastikan bahwa IAM peran atau pengguna Anda memiliki izin untuk Amazon berikut EC2APIs: GetVpnConnectionDeviceTypes danGetVpnConnectionDeviceSampleConfiguration.

Untuk mengunduh file konfigurasi menggunakan konsol

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di panel navigasi, pilih Site-to-Site VPNkoneksi.
Pilih VPN koneksi Anda dan pilih Unduh konfigurasi.
Pilih Vendor, Platform, Perangkat Lunak, dan IKEversi yang sesuai dengan perangkat gateway pelanggan Anda. Jika perangkat Anda tidak terdaftar, pilih Generik.
Pilih Unduh.

Untuk mengunduh file konfigurasi sampel menggunakan baris perintah atau API

GetVpnConnectionDeviceTypes(Amazon EC2API)
GetVpnConnectionDeviceSampleConfiguration(EC2Kueri AmazonAPI)
get-vpn-connection-device-jenis ()AWS CLI
get-vpn-connection-device-sampel-konfigurasi ()AWS CLI

Langkah 7: Konfigurasikan perangkat gateway pelanggan

Gunakan file konfigurasi sampel untuk mengonfigurasi perangkat gateway pelanggan Anda. Perangkat gateway pelanggan adalah alat fisik atau perangkat lunak di sisi VPN koneksi Anda. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IPv4dan IPv6 lalu lintas

Site-to-Site VPNskenario arsitektur