Comece com AWS Site-to-Site VPN - AWS Site-to-Site VPN
Pré-requisitosCriar um gateway do clienteCriar um gateway de destinoConfigurar o roteamentoAtualizar o grupo de segurançaCrie uma VPN conexãoBaixar arquivo de configuraçãoConfigurar o dispositivo de gateway do cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Comece com AWS Site-to-Site VPN

Use o procedimento a seguir para configurar uma AWS Site-to-Site VPN conexão. Durante a criação, especifique um gateway privado virtual, um gateway de trânsito ou “Não associado” como o tipo de gateway de destino. Se você especificar “Não associado”, poderá escolher o tipo de gateway de destino posteriormente ou usá-lo como VPN anexo para o AWS CloudWAN. Este tutorial ajuda você a criar uma VPN conexão usando um gateway privado virtual. Ele pressupõe que você tenha uma existente VPC com uma ou mais sub-redes.

Para configurar uma VPN conexão usando um gateway privado virtual, conclua as seguintes etapas:

Tarefas relacionadas

Pré-requisitos

Você precisa das informações a seguir para instalar e configurar os componentes de uma VPN conexão.

Item Informações
Dispositivo de gateway do cliente O dispositivo físico ou de software do seu lado da VPN conexão. Você precisa do fornecedor (por exemplo, Cisco), da plataforma (por exemplo, roteadores de ISR série) e da versão do software (por exemplo, IOS 12.4).
Gateway do cliente Para criar o recurso de gateway do cliente em AWS, você precisa das seguintes informações:

  • O endereço IP roteável na Internet para a interface externa do dispositivo.

  • O tipo de roteamento: estático ou dinâmico

  • Para roteamento dinâmico, o Border Gateway Protocol (BGP) Autonomous System Number (ASN)

  • (Opcional) Certificado privado de AWS Private Certificate Authority para autenticar seu VPN

Para obter mais informações, consulte Opções de gateway do cliente.

(Opcional) O ASN para o AWS lado da BGP sessão

Isso é especificado ao criar um gateway privado virtual ou um gateway de trânsito. Se você não especificar um valor, o padrão será ASN aplicado. Para obter mais informações, consulte Gateway privado virtual.
VPNconexão Para criar a VPN conexão, você precisa das seguintes informações:

Etapa 1: criar um gateway do cliente

Um gateway do cliente fornece informações AWS sobre seu dispositivo de gateway do cliente ou aplicativo de software. Para obter mais informações, consulte Gateway do cliente.

Se você planeja usar um certificado privado para autenticar seuVPN, crie um certificado privado de uma CA subordinada usando. AWS Private Certificate Authority Para obter informações sobre como criar um certificado privado, consulte Criar e gerenciar uma CA privada no Guia do usuário do AWS Private Certificate Authority .

nota

É necessário especificar um endereço IP ou o nome de recurso da Amazon do certificado privado.

Para criar um gateway do cliente usando o console

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Gateways do cliente.

  3. Escolha Criar gateway do cliente.

  4. (Opcional) Em Name (Nome), insira um nome para o gateway do cliente. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  5. Para BGPASN, insira um Border Gateway Protocol (BGP) Número do Sistema Autônomo (ASN) para o gateway do seu cliente.

  6. (Opcional) Em IP address (Endereço IP), insira o endereço IP estático roteável pela Internet do dispositivo de gateway do cliente. Se o dispositivo de gateway do cliente estiver protegido por um NAT dispositivo habilitado para NAT -T, use o endereço IP público do NAT dispositivo.

  7. (Opcional) Se você quiser usar um certificado privado, em Certificado ARN, escolha o nome de recurso da Amazon do certificado privado.

  8. (Opcional) Em Dispositivo, insira um nome para o gateway do cliente associado a esse gateway do cliente.

  9. Escolha Criar gateway do cliente.

Para criar um gateway de cliente usando a linha de comando ou API

Etapa 2: criar um gateway de destino

Para estabelecer uma VPN conexão entre sua rede VPC e sua rede local, você deve criar um gateway de destino no AWS lado da conexão. O gateway de destino pode ser um gateway privado virtual ou um gateway de trânsito.

Criar um gateway privado virtual

Ao criar um gateway privado virtual, você pode especificar um Número de Sistema Autônomo privado personalizado (ASN) para o lado Amazon do gateway ou usar o padrão da AmazonASN. Isso ASN deve ser diferente do ASN que você especificou para o gateway do cliente.

Depois de criar um gateway privado virtual, você deve anexá-lo ao seuVPC.

Para criar um gateway privado virtual e anexá-lo ao seu VPC

  1. No painel de navegação, escolha Gateways privados virtuais.

  2. Escolha Create virtual private gateway (Criar gateway privado virtual).

  3. (Opcional) Em Etiqueta de nome, insira um nome para o gateway privado virtual. Ao fazer isso, é criada uma tag com a chave Name e o valor especificado.

  4. Para Número do Sistema Autônomo (ASN), mantenha a seleção padrão, padrão da Amazon ASN, para usar a Amazon padrãoASN. Caso contrário, escolha Personalizado ASN e insira um valor. Para um de 16 bitsASN, o valor deve estar na faixa de 64512 a 65534. Para 32 bitsASN, o valor deve estar na faixa de 4200000000 a 4294967294.

  5. Escolha Create virtual private gateway (Criar gateway privado virtual).

  6. Selecione o gateway privado virtual que você criou e escolha Ações, Anexar VPC a.

  7. Em Disponível VPCs, escolha seu VPC e, em seguida, escolha Anexar VPC a.

Para criar um gateway privado virtual usando a linha de comando ou API
Para conectar um gateway privado virtual a um VPC usando a linha de comando ou API

Criar um gateway de trânsito

Para obter mais informações sobre a criação de um gateway de trânsito, consulte Gateways de trânsito no Amazon VPC Transit Gateways.

Etapa 3: configurar o roteamento

Para permitir que as instâncias em você cheguem ao gateway do cliente, você deve configurar sua tabela de rotas para incluir as rotas usadas pela sua VPN conexão e direcioná-las para seu gateway privado virtual ou gateway de trânsito. VPC

(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas

Você pode ativar a propagação de rotas para que sua tabela de rotas propague Site-to-Site VPN rotas automaticamente.

Para roteamento estático, os prefixos IP estáticos que você especifica para sua VPN configuração são propagados para a tabela de rotas quando o status da VPN conexão é. UP Da mesma forma, para roteamento dinâmico, as rotas BGP anunciadas do gateway do cliente são propagadas para a tabela de rotas quando o status da conexão é. VPN UP

nota

Se sua conexão for interrompida, mas a VPN conexão permanecer ativa, todas as rotas propagadas que estão na sua tabela de rotas não serão removidas automaticamente. Tenha isso em mente se, por exemplo, você quiser que o tráfego faça failover para uma rota estática. Nesse caso, talvez seja necessário desabilitar a propagação de rotas para remover as rotas propagadas.

Para ativar a propagação de rotas usando o console

  1. No painel de navegação, escolha Route tables.

  2. Selecione a tabela de rotas associada à sub-rede.

  3. Na guia Propagação de rotas, selecione Editar propagação de rotas. Selecione o gateway privado virtual que você criou no procedimento anterior e escolha Salvar.

nota

Se você não habilitar a propagação de rotas, deverá inserir manualmente as rotas estáticas usadas pela sua VPN conexão. Para fazer isso, selecione a tabela de rotas, escolha Routes (Rotas), Edit (Editar). Em Destino, adicione a rota estática usada pela sua Site-to-Site VPN conexão. Em Destination (Destino), selecione o ID do gateway privado virtual, e escolha Save (Salvar).

Para desativar a propagação de rotas usando o console

  1. No painel de navegação, escolha Route tables.

  2. Selecione a tabela de rotas associada à sub-rede.

  3. Na guia Propagação de rotas, selecione Editar propagação de rotas. Limpe a caixa de seleção Propagar do gateway privado virtual.

  4. Escolha Salvar.

Para habilitar a propagação de rotas usando a linha de comando ou API
Para desativar a propagação da rota usando a linha de comando ou API

(Gateway de trânsito) Adicionar uma rota à tabela de rotas

Se você ativou a propagação da tabela de rotas para o gateway de trânsito, as rotas do VPN anexo serão propagadas para a tabela de rotas do gateway de trânsito. Para obter mais informações, consulte Roteamento nos Amazon VPC Transit Gateways.

Se você anexar um VPC ao gateway de trânsito e quiser habilitar recursos no VPC para chegar ao gateway do cliente, deverá adicionar uma rota à tabela de rotas da sub-rede para apontar para o gateway de trânsito.

Para adicionar uma rota a uma tabela de VPC rotas

  1. No painel de navegação, escolha Tabelas de rotas.

  2. Escolha a tabela de rotas associada à suaVPC.

  3. Na guia Rotas, escolha Editar rotas.

  4. Escolha Adicionar rota.

  5. Na coluna Destino, insira o intervalo de endereços IP de destino. Em Target (Destino), escolha o gateway de trânsito.

  6. Escolha Salvar alterações.

Etapa 4: atualizar o grupo de segurança

Para permitir o acesso às instâncias em sua VPC rede, você deve atualizar as regras do grupo de segurança para permitir a entrada SSH e RDP o ICMP acesso.

Como adicionar regras ao grupo de segurança para permitir o acesso

  1. No painel de navegação, selecione Grupos de segurança.

  2. Selecione o grupo de segurança das instâncias VPC às quais você deseja permitir acesso.

  3. Na guia Regras de entrada, selecione Editar regras de entrada.

  4. Adicione regras que permitam entrada e ICMP acesso da sua rede e SSHRDP, em seguida, escolha Salvar regras. Para obter mais informações, consulte Trabalhar com regras de grupos de segurança no Guia VPC do usuário da Amazon.

Etapa 5: criar uma VPN conexão

Crie a VPN conexão usando o gateway do cliente em combinação com o gateway privado virtual ou o gateway de trânsito que você criou anteriormente.

Como criar uma conexão VPN

  1. No painel de navegação, escolha Site-to-Site VPNconexões.

  2. Escolha Criar VPN conexão.

  3. (Opcional) Em Etiqueta de nome, insira um nome para sua VPN conexão. Ao fazer isso, é criada uma marcação com a chave de Name e o valor que você especificar.

  4. Em Target gateway type (Tipo de gateway de destino), selecione Virtual private gateway (Gateway privado virtual) ou Transit gateway (Gateway de trânsito). Depois, selecione o gateway privado virtual ou o gateway de trânsito criado anteriormente.

  5. Em Gateway do cliente, selecione Existente e, depois, escolha o gateway do cliente criado anteriormente em ID do gateway do cliente.

  6. Selecione uma das opções de roteamento com base no fato de seu dispositivo de gateway do cliente suportar o Border Gateway Protocol (BGP):

    • Se o dispositivo de gateway do cliente for compatívelBGP, escolha Dinâmico (obrigatórioBGP).

    • Se o dispositivo de gateway do cliente não for compatívelBGP, escolha Estático. Para prefixos IP estáticos, especifique cada prefixo IP para a rede privada da sua VPN conexão.

  7. Se o tipo de gateway de destino for gateway de trânsito, para a versão Tunnel inside IP, especifique se os VPN túneis suportam IPv4 ou IPv6 tráfego. IPv6o tráfego só é suportado para VPN conexões em um gateway de trânsito.

  8. Se você especificou IPv4a versão Tunnel Inside IP, você pode opcionalmente especificar os IPv4 CIDR intervalos para o gateway do cliente e AWS os lados que podem se comunicar pelos VPN túneis. O padrão é 0.0.0.0/0.

    Se você especificou IPv6a versão Tunnel Inside IP, você pode opcionalmente especificar os IPv6 CIDR intervalos para o gateway do cliente e AWS os lados que podem se comunicar pelos VPN túneis. O padrão para ambos os intervalos é ::/0.

  9. Para o tipo de endereço IP externo, mantenha a opção padrão, PublicIpv4.

  10. (Opcional) Em Opções de túnel, é possível especificar as seguintes informações para cada túnel:

    • Um IPv4 CIDR bloco de tamanho /30 do 169.254.0.0/16 intervalo dos IPv4 endereços internos do túnel.

    • Se você especificou IPv6a versão IP do túnel interno, um IPv6 CIDR bloco /126 do fd00::/8 intervalo dos IPv6 endereços do túnel interno.

    • A chave IKE pré-compartilhada (PSK). As seguintes versões são suportadas: IKEv1 ouIKEv2.

    • Para editar as opções avançadas do túnel, escolha Editar opções de túnel. Para obter mais informações, consulte Opções de túnel do VPN.

  11. Escolha Criar VPN conexão. Pode levar alguns minutos para criar a VPN conexão.

Para criar uma VPN conexão usando a linha de comando ou API

Etapa 6: baixar o arquivo de configuração

Depois de criar a VPN conexão, você pode baixar um exemplo de arquivo de configuração para usar na configuração do dispositivo de gateway do cliente.

Importante

O arquivo de configuração é apenas um exemplo e pode não corresponder totalmente às configurações de VPN conexão pretendidas. Ele especifica os requisitos mínimos para uma VPN conexão entreAES128,SHA1, e o grupo Diffie-Hellman 2 na maioria das AWS regiões e, AES128SHA2, e o grupo Diffie-Hellman 14 nas regiões. AWS GovCloud Ele também especifica chaves pré-compartilhadas para autenticação. Você deve modificar o arquivo de configuração de exemplo para aproveitar os algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6

Introduzimos IKEv2 suporte nos arquivos de configuração para muitos dispositivos populares de gateway de clientes e continuaremos adicionando arquivos adicionais ao longo do tempo. Para obter uma lista de arquivos de configuração com IKEv2 suporte, consulteAWS Site-to-Site VPN dispositivos de gateway do cliente.

Permissões

Para carregar adequadamente a tela de configuração de download a partir do AWS Management Console, você deve garantir que sua IAM função ou usuário tenha permissão para o seguinte Amazon EC2APIs: GetVpnConnectionDeviceTypes GetVpnConnectionDeviceSampleConfiguration e.

Como baixar o arquivo de configuração usando o console

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Site-to-Site VPNconexões.

  3. Selecione sua VPN conexão e escolha Baixar configuração.

  4. Selecione o fornecedor, a plataforma, o software e a IKEversão que correspondem ao seu dispositivo de gateway do cliente. Se o dispositivo não estiver listado, selecione Generic (Genérico).

  5. Escolha Download.

Para baixar um arquivo de configuração de amostra usando a linha de comando ou API

Etapa 7: configurar o dispositivo de gateway do cliente

Use o arquivo de configuração de exemplo para configurar os dispositivos de gateway do cliente. O dispositivo de gateway do cliente é o dispositivo físico ou de software do seu lado da VPN conexão. Para obter mais informações, consulte AWS Site-to-Site VPN dispositivos de gateway do cliente.