Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Memulai dengan AWS Site-to-Site VPN

PDF
RSS
Mode fokus
Memulai dengan AWS Site-to-Site VPN - AWS Site-to-Site VPN
PrasyaratBuat gateway pelangganBuat gateway targetKonfigurasikan peruteanPerbarui grup keamanan AndaBuat koneksi VPNUnduh file konfigurasiKonfigurasikan perangkat gateway pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan prosedur berikut untuk mengatur AWS Site-to-Site VPN koneksi. Selama pembuatan, Anda akan menentukan gateway pribadi virtual, gateway transit, atau “Tidak terkait” sebagai jenis gateway target. Jika Anda menentukan “Tidak terkait”, Anda dapat memilih jenis gateway target di lain waktu, atau Anda dapat menggunakannya sebagai lampiran VPN untuk AWS Cloud WAN. Tutorial ini membantu Anda membuat koneksi VPN menggunakan gateway pribadi virtual. Ini mengasumsikan bahwa Anda memiliki VPC yang ada dengan satu atau lebih subnet.

Untuk mengatur koneksi VPN menggunakan gateway pribadi virtual, selesaikan langkah-langkah berikut:

Tugas terkait

Prasyarat

Anda memerlukan informasi berikut untuk mengatur dan mengkonfigurasi komponen koneksi VPN.

Item Informasi
Perangkat gateway pelanggan Perangkat fisik atau perangkat lunak koneksi VPN di sisi Anda. Anda memerlukan vendor (misalnya, Cisco), platform (misalnya, Router Seri ISR), dan versi perangkat lunak (misalnya, IOS 12.4).
Gateway pelanggan Untuk membuat sumber daya gateway pelanggan di AWS, Anda memerlukan informasi berikut:

  • Alamat IP yang dapat dirutekan internet untuk antarmuka eksternal perangkat

  • Jenis perutean: statis atau dinamis

  • Untuk perutean dinamis, Border Gateway Protocol (BGP) Autonomous System Number (ASN)

  • (Opsional) Sertifikat pribadi dari AWS Private Certificate Authority untuk mengautentikasi VPN Anda

Untuk informasi selengkapnya, lihat Opsi gateway pelanggan.

(Opsional) ASN untuk AWS sisi sesi BGP

Anda menentukannya ketika membuat gateway privat virtual atau transit gateway. Jika Anda tidak menentukan nilai, ASN default diterapkan. Untuk informasi selengkapnya, lihat Gateway privat virtual.
Koneksi VPN Untuk membuat koneksi VPN, Anda memerlukan informasi berikut:

Langkah 1: Buat gateway pelanggan

Gateway pelanggan memberikan informasi AWS tentang perangkat gateway pelanggan atau aplikasi perangkat lunak Anda. Untuk informasi selengkapnya, lihat Gateway pelanggan.

Jika Anda berencana untuk menggunakan sertifikat pribadi untuk mengautentikasi VPN Anda, buat sertifikat pribadi dari CA bawahan menggunakan. AWS Private Certificate Authority Untuk informasi tentang pembuatan sertifikat privat, lihat Pembuatan dan Pengelolaan CA privat dalam Panduan Pengguna AWS Private Certificate Authority .

catatan

Anda harus menentukan alamat IP, atau Nama Sumber Daya Amazon dari sertifikat privat.

Untuk membuat gateway pelanggan menggunakan konsol tersebut

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih gateway Pelanggan.

  3. Pilih Buat gateway pelanggan.

  4. (Opsional) Untuk tag Nama, masukkan nama untuk gateway pelanggan Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

  5. Untuk BGP ASN, masukkan Border Gateway Protocol (BGP) Autonomous System Number (ASN) untuk gateway pelanggan Anda.

  6. (Opsional) Untuk alamat IP, masukkan alamat IP statis yang dapat dirutekan internet untuk perangkat gateway pelanggan Anda. Jika perangkat gateway pelanggan Anda berada di belakang perangkat NAT yang diaktifkan untuk NAT-T, gunakan alamat IP publik perangkat NAT.

  7. (Opsional) Jika Anda ingin menggunakan sertifikat privat, pada ARN Sertifikat, pilih nama sumber daya Amazon sertifikat privat.

  8. (Opsional) Untuk Perangkat, masukkan nama untuk perangkat gateway pelanggan yang terkait dengan gateway pelanggan ini.

  9. Pilih Buat gateway pelanggan.

Untuk membuat gateway pelanggan menggunakan baris perintah atau API

Langkah 2: Buat gateway target

Untuk membuat koneksi VPN antara VPC dan jaringan lokal, Anda harus membuat gateway target di AWS sisi koneksi. Target gateway dapat berupa gateway privat virtual atau transit gateway.

Buat gateway privat virtual

Saat membuat gateway pribadi virtual, Anda dapat menentukan Nomor Sistem Otonom (ASN) pribadi khusus untuk sisi Amazon dari gateway, atau menggunakan ASN default Amazon. ASN ini harus berbeda dari ASN yang Anda tentukan untuk gateway pelanggan.

Setelah Anda membuat gateway privat virtual, Anda harus melampirkannya ke VPC Anda.

Untuk membuat gateway privat virtual dan melampirkannya ke VPC Anda

  1. Di panel navigasi, pilih Gateway pribadi virtual.

  2. Pilih Buat gateway pribadi virtual.

  3. (Opsional) Untuk tag Nama, masukkan nama untuk gateway pribadi virtual Anda. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.

  4. Untuk Autonomous System Number (ASN), pertahankan pilihan default, Amazon default ASN, untuk menggunakan Amazon ASN default. Jika tidak, mohon untuk memilih ASN kustom dan silahkan memasukkan sebuah nilai. Untuk ASN 16-bit, nilainya harus berada dalam rentang 64512 hingga 65534. Untuk ASN 32-bit, nilainya harus berada dalam rentang 4200000000 hingga 4294967294.

  5. Pilih Buat gateway pribadi virtual.

  6. Pilih gateway pribadi virtual yang Anda buat, lalu pilih Tindakan, Lampirkan ke VPC.

  7. Untuk Tersedia VPCs, pilih VPC Anda dan kemudian pilih Lampirkan ke VPC.

Untuk membuat gateway privat virtual menggunakan baris perintah atau API
Untuk melampirkan gateway privat virtual ke VPC menggunakan baris perintah atau API

Buat transit gateway

Untuk informasi selengkapnya tentang cara membuat transit gateway, lihat Transit Gateway dalam Transit Gateway Amazon VPC.

Langkah 3: Konfigurasikan perutean

Untuk mengaktifkan instance di VPC Anda untuk mencapai gateway pelanggan Anda, Anda harus mengonfigurasi tabel rute Anda untuk menyertakan rute yang digunakan oleh koneksi VPN Anda dan mengarahkannya ke gateway pribadi virtual atau gateway transit Anda.

(Gateway privat virtual) Aktifkan propagasi rute di tabel rute Anda

Anda dapat mengaktifkan propagasi rute untuk tabel rute Anda untuk secara otomatis menyebarkan rute Site-to-Site VPN.

Untuk perutean statis, awalan IP statis yang Anda tentukan untuk konfigurasi VPN Anda disebarkan ke tabel rute saat status koneksi VPN. UP Demikian pula, untuk perutean dinamis, rute yang diiklankan BGP dari gateway pelanggan Anda disebarkan ke tabel rute saat status koneksi VPN. UP

catatan

Jika koneksi Anda terganggu tetapi koneksi VPN tetap AKTIF, rute manapun yang disebarkan yang berada dalam tabel rute Anda secara otomatis tidak akan dihapus. Ingatlah hal ini, misalnya, jika Anda ingin lalu lintas dialihkan ke rute statis. Dalam hal ini, Anda mungkin harus menonaktifkan propagasi rute untuk menghapus rute yang disebarkan.

Untuk mengaktifkan propagasi rute menggunakan konsol tersebut

  1. Di panel navigasi, pilih Tabel rute.

  2. Pilih tabel rute yang terkait dengan subnet.

  3. Pada tab Rute propagation, pilih Edit propagasi rute. Pilih gateway pribadi virtual yang Anda buat di prosedur sebelumnya, lalu pilih Simpan.

catatan

Jika Anda tidak mengaktifkan propagasi rute, Anda harus secara manual memasukkan rute statis yang digunakan oleh koneksi VPN Anda. Untuk melakukannya, pilih tabel rute Anda, pilih Rute, Edit. Untuk Tujuan, tambahkan rute statis yang digunakan oleh koneksi Site-to-Site VPN Anda. Untuk Target, pilih ID gateway privat virtual, dan pilih Simpan.

Untuk mennonaktifkan propagasi rute menggunakan konsol tersebut

  1. Di panel navigasi, pilih Tabel rute.

  2. Pilih tabel rute yang terkait dengan subnet.

  3. Pada tab Rute propagation, pilih Edit propagasi rute. Kosongkan kotak centang Propagate untuk gateway pribadi virtual.

  4. Pilih Simpan.

Untuk mengaktifkan propagasi rute menggunakan baris perintah atau API
Untuk menonaktifkan propagasi rute menggunakan baris perintah atau API

(Transit gateway) Tambahkan rute ke tabel rute Anda

Jika Anda mengaktifkan propagasi tabel rute untuk gateway transit Anda, rute untuk lampiran VPN disebarkan ke tabel rute gateway transit. Untuk informasi selengkapnya, lihat Perutean di Transit Gateway Amazon VPC.

Jika Anda melampirkan VPC ke transit gateway dan ingin mengaktifkan sumber daya di dalam VPC untuk menjangkau gateway pelanggan, Anda harus menambahkan rute ke tabel rute subnet untuk mengarah ke transit gateway.

Untuk menambahkan rute ke tabel rute VPC

  1. Pada panel navigasi, pilih Tabel rute.

  2. Pilih tabel rute yang terkait dengan VPC Anda.

  3. Di tab Rute, pilih Edit rute.

  4. Pilih Tambahkan rute.

  5. Untuk Tujuan, masukkan rentang alamat IP tujuan. Untuk Target, pilih transit gateway.

  6. Pilih Simpan perubahan.

Langkah 4: Perbarui grup keamanan Anda

Untuk mengizinkan akses ke instans di VPC serta dari jaringan Anda, maka Anda harus memperbarui aturan grup keamanan untuk mengaktifkan akses masuk SSH, RDP, dan ICMP.

Untuk menambahkan aturan ke grup keamanan Anda untuk mengaktifkan akses

  1. Di panel navigasi, pilih Grup keamanan.

  2. Pilih grup keamanan untuk instance di VPC yang ingin Anda izinkan aksesnya.

  3. Pada tab Inbound rules (Aturan ke dalam), pilih Edit inbound rules (Edit aturan ke dalam).

  4. Tambahkan aturan yang memungkinkan akses SSH, RDP, dan ICMP masuk dari jaringan Anda, lalu pilih Simpan aturan. Untuk informasi selengkapnya, lihat Bekerja dengan aturan grup keamanan di Panduan Pengguna Amazon VPC.

Langkah 5: Buat koneksi VPN

Buat koneksi VPN menggunakan gateway pelanggan dalam kombinasi dengan gateway pribadi virtual atau gateway transit yang Anda buat sebelumnya.

Untuk membuat koneksi VPN

  1. Di panel navigasi, pilih koneksi Site-to-Site VPN.

  2. Pilih Buat koneksi VPN.

  3. (Opsional) Untuk tag Nama, masukkan nama untuk koneksi VPN Anda. Dengan melakukan hal tersebut akan menciptakan tanda dengan kunci Name dan nilai yang Anda tentukan.

  4. Untuk jenis gateway Target, pilih salah satu Virtual Private Gateway atau Transit gateway. Kemudian, pilih gateway privat virtual atau transit gateway yang telah Anda buat sebelumnya.

  5. Untuk gateway Pelanggan, pilih Existing, lalu pilih gateway pelanggan yang Anda buat sebelumnya dari ID gateway Pelanggan.

  6. Pilih salah satu opsi perutean berdasarkan apakah perangkat gateway pelanggan Anda mendukung Border Gateway Protocol (BGP):

    • Jika perangkat gateway pelanggan Anda mendukung BGP, pilih Dinamis (membutuhkan BGP).

    • Jika perangkat gateway pelanggan Anda tidak mendukung BGP, pilih Statis. Untuk Awalan IP Statis, tentukan setiap awalan IP untuk jaringan pribadi koneksi VPN Anda.

  7. Jika jenis gateway target Anda adalah gateway transit, untuk Tunnel di dalam versi IP, tentukan apakah terowongan VPN mendukung IPv4 atau IPv6 lalu lintas. IPv6 lalu lintas hanya didukung untuk koneksi VPN pada gateway transit.

  8. Jika Anda menentukan IPv4Tunnel di dalam versi IP, Anda dapat menentukan rentang IPv4 CIDR untuk gateway pelanggan dan AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN. Default-nya adalah 0.0.0.0/0.

    Jika Anda menentukan IPv6Tunnel di dalam versi IP, Anda dapat menentukan rentang IPv6 CIDR untuk gateway pelanggan dan AWS sisi yang diizinkan untuk berkomunikasi melalui terowongan VPN. Default untuk kedua rentang tersebut adalah ::/0.

  9. Untuk jenis alamat IP Luar, pertahankan opsi default, PublicIpv4.

  10. (Opsional) Untuk opsi Tunnel, Anda dapat menentukan informasi berikut untuk setiap terowongan:

    • Blok IPv4 CIDR ukuran /30 dari 169.254.0.0/16 kisaran untuk alamat terowongan IPv4 di dalam.

    • Jika Anda menentukan IPv6untuk Tunnel di dalam versi IP, blok IPv6 CIDR /126 dari fd00::/8 rentang untuk alamat terowongan di dalam. IPv6

    • Kunci pra-berbagi IKE (PSK). Versi berikut didukung: IKEv1 atau IKEv2.

    • Untuk mengedit opsi lanjutan untuk terowongan Anda, pilih opsi Edit terowongan. Untuk informasi selengkapnya, lihat Opsi terowongan VPN.

  11. Pilih Buat koneksi VPN. Mungkin perlu beberapa menit untuk membuat koneksi VPN.

Untuk membuat koneksi VPN menggunakan baris perintah atau API

Langkah 6: Unduh file konfigurasi

Setelah Anda membuat koneksi VPN, Anda dapat mengunduh file konfigurasi sampel yang akan digunakan untuk mengonfigurasi perangkat gateway pelanggan.

penting

File konfigurasi adalah contoh saja dan mungkin tidak cocok dengan pengaturan koneksi VPN yang Anda inginkan sepenuhnya. Ini menentukan persyaratan minimum untuk koneksi VPN AES128,, dan Diffie-Hellman grup 2 di sebagian besar AWS Wilayah SHA1, dan, AES128 SHA2, dan Diffie-Hellman grup 14 di Wilayah. AWS GovCloud Ini juga menentukan kunci pra-berbagi untuk autentikasi. Anda harus memodifikasi contoh file konfigurasi untuk memanfaatkan algoritma keamanan tambahan, grup Diffie-Hellman, sertifikat pribadi, dan lalu lintas. IPv6

Kami telah memperkenalkan IKEv2 dukungan dalam file konfigurasi untuk banyak perangkat gateway pelanggan populer dan akan terus menambahkan file tambahan dari waktu ke waktu. Untuk daftar file konfigurasi dengan IKEv2 dukungan, lihatAWS Site-to-Site VPN perangkat gateway pelanggan.

Izin

Untuk memuat layar konfigurasi unduhan dengan benar dari AWS Management Console, Anda harus memastikan bahwa peran IAM atau pengguna Anda memiliki izin untuk Amazon berikut EC2 APIs: GetVpnConnectionDeviceTypes danGetVpnConnectionDeviceSampleConfiguration.

Untuk mengunduh file konfigurasi menggunakan konsol

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih koneksi Site-to-Site VPN.

  3. Pilih koneksi VPN Anda dan pilih Unduh konfigurasi.

  4. Pilih versi Vendor, Platform, Perangkat Lunak, dan IKE yang sesuai dengan perangkat gateway pelanggan Anda. Jika perangkat Anda tidak terdaftar, pilih Generik.

  5. Pilih Unduh.

Untuk mengunduh file konfigurasi sampel menggunakan baris perintah atau API

Langkah 7: Konfigurasikan perangkat gateway pelanggan

Gunakan file konfigurasi sampel untuk mengonfigurasi perangkat gateway pelanggan Anda. Perangkat gateway pelanggan adalah alat fisik atau perangkat lunak di sisi koneksi VPN Anda. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.