Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per configurare una AWS Site-to-Site VPN connessione, utilizzare la procedura seguente. Durante la creazione dovrai specificare un gateway privato virtuale, un gateway di transito oppure "Non associato" come tipo di gateway di destinazione. Se specifichi «Non associato», puoi scegliere il tipo di gateway di destinazione in un secondo momento oppure puoi utilizzarlo come allegato VPN per AWS Cloud WAN. Questo tutorial ti aiuta a creare una connessione VPN mediante un gateway privato virtuale. Si basa sul presupposto che disponi di un VPC esistente con una o più sottoreti.
Per configurare una connessione VPN tramite un gateway privato virtuale, completa le seguenti fasi:
Attività
Attività correlate
-
Per creare una connessione VPN per AWS Cloud WAN, vediCrea un allegato Cloud WAN VPN.
-
Per creare una connessione VPN su un gateway di transito, consulta Creazione di un collegamento VPN al gateway di transito.
Prerequisiti
Per impostare e configurare i componenti di una connessione VPN, sono necessarie le seguenti informazioni.
Elemento | Informazioni |
---|---|
Dispositivo gateway del cliente | Il dispositivo fisico o software dal lato utente della connessione VPN. Sono richiesti il fornitore (ad esempio, Cisco), la piattaforma (ad esempio, router della serie ISR) e la versione software (ad esempio, IOS 12.4) |
Gateway del cliente | Per creare la risorsa Customer Gateway in AWS, sono necessarie le seguenti informazioni:
Per ulteriori informazioni, consulta Opzioni gateway del cliente. |
(Facoltativo) L'ASN per la AWS sessione BGP |
Specificare quando si crea un gateway virtuale privato o un gateway di transito. Se non specifichi un valore, si applica l'ASN predefinito. Per ulteriori informazioni, consulta Gateway privato virtuale. |
Connessione VPN | Per creare una connessione VPN, sono necessarie le seguenti informazioni:
|
Fase 1: creazione di un gateway del cliente
Un customer gateway fornisce informazioni sul dispositivo o AWS sull'applicazione software Customer Gateway. Per ulteriori informazioni, consulta Gateway del cliente.
Se prevedi di utilizzare un certificato privato per autenticare la tua VPN, crea un certificato privato da una CA subordinata utilizzando. AWS Private Certificate Authority Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla creazione e gestione di una CA privata nella Guida per l'utente di AWS Private Certificate Authority .
Nota
È necessario specificare un indirizzo IP o l'Amazon Resource Name del certificato privato.
Per creare un gateway del cliente utilizzando la console
-
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegli Gateway del cliente.
-
Scegli Crea gateway del cliente.
-
(Facoltativo) In Name (Nome), inserire un nome per il gateway del cliente. In questo modo viene creato un tag con una chiave di
Name
e il valore specificato. -
In BGP ASN, inserire un Border Gateway Protocol (BGP) Autonomous System Number (ASN) del gateway del cliente.
-
(Facoltativo) In IP Address (Indirizzo IP), inserire l'indirizzo IP Internet instradabile statico per il dispositivo gateway del cliente. Se il dispositivo gateway del cliente si trova dietro un dispositivo NAT abilitato per NAT-T, utilizzare l'indirizzo IP pubblico del dispositivo NAT.
-
(Facoltativo) Se si desidera utilizzare un certificato privato, in Certificate ARN (ARN certificato), scegliere l'Amazon Resource Name del certificato privato.
-
(Opzionale) Per Dispositivo inserisci un nome per il dispositivo gateway del cliente associato a tale gateway del cliente.
-
Scegli Crea gateway del cliente.
Per creare un gateway del cliente utilizzando l'API o la riga di comando
-
CreateCustomerGateway(API Amazon EC2 Query)
-
create-customer-gateway
(AWS CLI) -
New-EC2CustomerGateway (AWS Tools for Windows PowerShell)
Fase 2: creazione di un gateway di destinazione
Per stabilire una connessione VPN tra il tuo VPC e la tua rete locale, devi creare un gateway di destinazione sul AWS lato della connessione. Il gateway target può essere un gateway virtuale privato o un gateway di transito.
Creazione di gateway virtuale privato
Quando crei un gateway virtuale privato, puoi specificare un Autonomous System Number (ASN) personalizzato privato per il lato Amazon del gateway o utilizzare un ASN di default di Amazon. L'ASN deve essere diverso dall'ASN specificato per il gateway del cliente.
Dopo aver creato un gateway virtuale privato, devi collegarlo al VPC.
Per creare un gateway virtuale privato e collegarlo al VPC
-
Nel riquadro di navigazione, scegli Gateway privati virtuali.
-
Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).
-
(Facoltativo) Inserisci un nome per il gateway privato virtuale per Tag del nome. In questo modo viene creato un tag con una chiave di
Name
e il valore specificato. -
In Numero di sistema autonomo (ASN), mantieni la selezione predefinita, Numero ASN di Amazon predefinito, per utilizzare l'ASN Amazon predefinito. In caso contrario, scegliere Custom ASN (ASN personalizzato) e immettere un valore. Per un ASN a 16 bit, il valore deve Esser compreso nell'intervallo da 64512 a 65534. Per un ASN a 32 bit, il valore deve Essere compreso nell'intervallo da 4200000000 a 4294967294.
-
Selezionare Create Virtual Private Gateway (Crea gateway virtuale privato).
-
Selezionare il gateway virtuale privato creato, quindi scegliere Actions (Operazioni), Attach to VPC (Collega a VPC).
-
Per Disponibile VPCs, scegli il tuo VPC, quindi scegli Collega a VPC.
Per creare un gateway virtuale privato utilizzando l'API o la riga di comando
-
CreateVpnGateway(API Amazon EC2 Query)
-
create-vpn-gateway
(AWS CLI) -
New-EC2VpnGateway (AWS Tools for Windows PowerShell)
Per collegare un gateway virtuale privato a un VPC utilizzando la riga di comando o l'API
-
AttachVpnGateway(API Amazon EC2 Query)
-
attach-vpn-gateway
(AWS CLI) -
Add-EC2VpnGateway (AWS Tools for Windows PowerShell)
Creazione di un gateway di transito
Per ulteriori informazioni sulla creazione di un gateway di transito, consulta Gateway di transito in Gateway di transito Amazon VPC.
Fase 3: configurazione dell'instradamento
Per consentire alle istanze nel VPC di raggiungere il gateway del cliente, occorre configurare la tabella di routing per includere gli instradamenti utilizzati dalla connessione VPN e indirizzarli al gateway privato virtuale o al gateway di transito.
(Gateway virtuale privato) Abilitazione della propagazione della route nella tabella di routing
Puoi abilitare la propagazione delle rotte per la tua tabella di rotte per propagare automaticamente le rotte Site-to-Site VPN.
Per il routing statico, i prefissi IP statici specificati per la configurazione VPN vengono propagati alla tabella di routing quando lo stato della connessione VPN è UP
. Analogamente, per il routing dinamico, le route pubblicizzate BGP dal gateway del cliente vengono propagate alla tabella di routing quando lo stato della connessione VPN è UP
.
Nota
Se la connessione viene interrotta ma la connessione VPN rimane UP, le eventuali route propagate presenti nella tabella di routing non vengono rimosse automaticamente. Ricordarlo se, ad esempio, si desidera che il traffico non vada a buon fine su una route statica. In tal caso, potrebbe essere necessario disabilitare la propagazione della route per rimuovere le route propagate.
Per abilitare la propagazione della route tramite la console
-
Nel riquadro di navigazione, seleziona Tabelle di routing.
-
Seleziona la tabella di routing associata alla sottorete.
-
Nella scheda Propagazione dell'instradamento, scegli Modifica propagazione dell'instradamento. Seleziona il gateway privato virtuale creato nella procedura precedente e scegli Salva.
Nota
Se non abiliti la propagazione dell'instradamento, devi inserire manualmente gli instradamenti statici utilizzati dalla connessione VPN. A questo scopo, selezionare la tabella di routing, scegliere Routes (Route), Edit (Modifica). Per Destinazione, aggiungi la route statica utilizzata dalla tua Site-to-Site connessione VPN. In Target, selezionare l'ID gateway virtuale privato e scegliere Save (Salva).
Per disabilitare la propagazione delle route utilizzando la console
-
Nel riquadro di navigazione, seleziona Tabelle di routing.
-
Seleziona la tabella di routing associata alla sottorete.
-
Nella scheda Propagazione dell'instradamento, scegli Modifica propagazione dell'instradamento. Deseleziona la casella di controllo Propaga relativa al gateway privato virtuale.
-
Seleziona Salva.
Per abilitare la propagazione della route tramite la riga di comando o l'API
-
EnableVgwRoutePropagation(API Amazon EC2 Query)
-
enable-vgw-route-propagation
(AWS CLI) -
Enable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)
Per disabilitare la propagazione della route tramite la riga di comando o l'API
-
DisableVgwRoutePropagation(API Amazon EC2 Query)
-
disable-vgw-route-propagation
(AWS CLI) -
Disable-EC2VgwRoutePropagation (AWS Tools for Windows PowerShell)
(Gateway di transito) Aggiunta di una route alla tabella di routing
Se hai abilitato la propagazione della tabella di routing per il gateway di transito, le route per il collegamento VPN vengono propagate alla tabella di routing del gateway di transito. Per ulteriori informazioni, consulta Routing in Gateway di transito di Amazon VPC.
Se colleghi un VPC al gateway di transito e desideri consentire alle risorse nel VPC di raggiungere il gateway del cliente, devi aggiungere una route alla tabella di routing della sottorete affinché faccia riferimento al gateway di transito.
Per aggiungere una nuova route a una tabella di routing di un VPC
-
Nel riquadro di navigazione, seleziona Tabelle di routing.
-
Scegliere la tabella di routing associata al VPC.
-
Nella scheda Route, scegli Modifica route.
-
Scegli Aggiungi route.
-
Nella colonna Destinazione, immetti l'intervallo di indirizzi IP di destinazione. Per Target (Destinazione) scegli il gateway di transito.
-
Scegli Save changes (Salva modifiche).
Fase 4: aggiornamento del gruppo di sicurezza
Per consentire l'accesso a istanze nel VPC dalla rete, occorre aggiornare le regole del gruppo di sicurezza per abilitare l'accesso SSH, RDP e ICMP in entrata.
Aggiunta di regole al gruppo di sicurezza per abilitare l'accesso
-
Fai clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Seleziona il gruppo di sicurezza per le istanze del tuo VPC a cui desideri consentire l'accesso.
-
Nella scheda Inbound rules (Regole in entrata), seleziona Edit inbound rules (Modifica regole in entrata).
-
Aggiungi le regole che consentono l'accesso SSH, RDP e ICMP in entrata dalla rete, quindi seleziona Salva regole. Per ulteriori informazioni, consulta Utilizzo delle regole dei gruppi di sicurezza nella Guida per l'utente di Amazon VPC.
Fase 5: creazione di una connessione VPN
Crea la connessione VPN utilizzando il gateway del cliente in combinazione con il gateway privato virtuale o il gateway di transito creato in precedenza.
Per creare una connessione VPN
-
Nel pannello di navigazione, scegli Connessioni Site-to-Site VPN.
-
Scegliere Create VPN Connection (Crea connessione VPN).
-
(Facoltativo) In Tag del nome, immettere un nome per la connessione VPN. In questo modo viene creato un tag con una chiave di
Name
e il valore specificato. -
Per Target gateway type (Tipo di gateway di destinazione), scegliere Virtual private gateway (Gateway virtuale privato) o Transit gateway (Gateway di transito). Quindi, scegliere il gateway virtuale privato o il gateway di transito creato in precedenza.
-
Per Gateway del cliente, seleziona Esistente, quindi scegli il gateway del cliente creato in precedenza da ID gateway del cliente.
-
Selezionare una delle opzioni di routing a seconda che il dispositivo gateway del cliente supporti Border Gateway Protocol (BGP):
-
Se il dispositivo gateway del cliente supporta BGP, scegliere Dynamic (requires BGP) (Dinamico (richiede BGP)).
-
Se il dispositivo gateway del cliente non supporta BGP, scegliere Static (Statico). In Static IP Prefixes (Prefissi IP statici), specificare ogni prefisso IP per la rete privata della connessione VPN.
-
-
Se il tipo di gateway di destinazione è un gateway di transito, per la versione Tunnel inside IP, specifica se i tunnel VPN supportano IPv4 o supportano il IPv6 traffico. IPv6 il traffico è supportato solo per le connessioni VPN su un gateway di transito.
-
Se hai specificato IPv4la versione Tunnel inside IP, puoi facoltativamente specificare gli intervalli IPv4 CIDR per il gateway del cliente e AWS i lati autorizzati a comunicare tramite i tunnel VPN. Il valore predefinito è
0.0.0.0/0
.Se hai specificato IPv6la versione IP di Tunnel inside, puoi facoltativamente specificare gli intervalli IPv6 CIDR per il gateway e AWS i lati del cliente che sono autorizzati a comunicare tramite i tunnel VPN. Il valore predefinito per entrambi gli intervalli è
::/0
. -
Per il tipo di indirizzo IP esterno, mantieni l'opzione predefinita, 4. PublicIpv
-
(Facoltativo) per Opzioni tunnel, è possibile specificare le seguenti informazioni per ciascun tunnel:
-
Un blocco IPv4 CIDR di dimensione /30
169.254.0.0/16
compreso nell'intervallo per gli indirizzi interni del tunnel IPv4 . -
Se hai specificato IPv6per la versione Tunnel inside IP, un blocco IPv6 CIDR /126 dall'
fd00::/8
intervallo per gli indirizzi interni del tunnel. IPv6 -
La chiave precondivisa IKE (PSK). Sono supportate le seguenti versioni: IKEv1 o. IKEv2
-
Per modificare le opzioni avanzate del tunnel, scegli Modifica le opzioni tunnel. Per ulteriori informazioni, consulta Opzioni per tunnel VPN.
-
-
Scegliere Create VPN Connection (Crea connessione VPN). Per creare la connessione VPN potrebbero essere necessari alcuni minuti.
Per creare una connessione VPN utilizzando la riga di comando o l'API
-
CreateVpnConnection(API Amazon EC2 Query)
-
create-vpn-connection
(AWS CLI) -
New-EC2VpnConnection (AWS Tools for Windows PowerShell)
Fase 6: download del file di configurazione
Dopo aver creato la connessione VPN, puoi scaricare un file di configurazione di esempio da utilizzare per configurare il dispositivo gateway del cliente.
Importante
Il file di configurazione è solo un esempio e potrebbe non corrispondere completamente alle impostazioni di connessione VPN previste. Specifica i requisiti minimi per una connessione VPN del AES128 gruppo Diffie-Hellman 2 nella maggior parte delle AWS regioni e AES128 del gruppo Diffie-Hellman SHA2 14 nelle regioni. SHA1 AWS GovCloud Specifica anche le chiavi precondivise per autenticazione. È necessario modificare il file di configurazione di esempio per sfruttare algoritmi di sicurezza aggiuntivi, gruppi Diffie-Hellman, certificati privati e traffico. IPv6
Abbiamo introdotto il IKEv2 supporto nei file di configurazione per molti dispositivi gateway per i clienti più diffusi e continueremo ad aggiungere altri file nel tempo. Per un elenco dei file di configurazione con IKEv2 supporto, consultaAWS Site-to-Site VPN dispositivi gateway per i clienti.
Autorizzazioni
Per caricare correttamente la schermata di configurazione del download da AWS Management Console, devi assicurarti che il tuo ruolo o utente IAM disponga dell'autorizzazione per il seguente Amazon EC2 APIs: GetVpnConnectionDeviceTypes
andGetVpnConnectionDeviceSampleConfiguration
.
Download del file di configurazione mediante la console
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel pannello di navigazione, scegli Connessioni Site-to-Site VPN.
-
Seleziona la connessione VPN e scegli Scarica configurazione.
-
Seleziona Fornitore, Piattaforma, Software e Versione IKE che corrisponde al dispositivo gateway del cliente. Se il dispositivo non è presente nell'elenco, scegliere Generic (Generico).
-
Scegli Download (Scarica).
Per eseguire il download di un file di configurazione di esempio utilizzando la riga di comando o API
-
GetVpnConnectionDeviceTypes( EC2 API Amazon)
-
GetVpnConnectionDeviceSampleConfiguration(API Amazon EC2 Query)
-
get-vpn-connection-device-tipi
()AWS CLI
Fase 7: configurazione del dispositivo gateway del cliente
Utilizza il file di configurazione di esempio per configurare il dispositivo gateway del cliente. Il dispositivo gateway del cliente è un'appliance fisica o software sul tuo lato della connessione VPN. Per ulteriori informazioni, consulta AWS Site-to-Site VPN dispositivi gateway per i clienti.