Amazon Virtual Private Cloud · Amazon Virtual Private Cloud Guide de l'administrateur réseau Bienvenue Ce guide (le Guide de l'administrateur réseau) a été fusionné dans le

Amazon Virtual Private CloudGuide de l'administrateur réseau


Amazon Virtual Private Cloud: Guide de l'administrateur réseauCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsBienvenue ......................................................................................................................................... 1Votre passerelle client ......................................................................................................................... 2

Qu'est-ce qu'une passerelle client ? ............................................................................................... 2Votre rôle .......................................................................................................................... 4

Présentation de la configuration d'une connexion VPN ..................................................................... 4Informations réseau ............................................................................................................ 4Informations sur le routage .................................................................................................. 5

AWS VPN CloudHub et passerelles client redondantes .................................................................... 5Configuration de plusieurs connexions VPN dans votre VPC ............................................................. 6Passerelles client que nous avons testées ..................................................................................... 7Conditions obligatoires pour votre passerelle client .......................................................................... 8Configuration d'un pare-feu entre Internet et la passerelle client ....................................................... 11

Exemple : Périphérique Check Point avec BGP ..................................................................................... 13Vue globale de la passerelle client .............................................................................................. 13Fichier de configuration .............................................................................................................. 14Configuration du périphérique Check Point ................................................................................... 15

Étape 1 : Configurer les interfaces de tunnel ......................................................................... 15Étape 2 : Configurer BGP ................................................................................................... 16Étape 3 : Créer des objets réseau ....................................................................................... 17Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec ............................................ 18Étape 5 : Configurer le pare-feu .......................................................................................... 19Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS .................................. 20

Comment tester la configuration de la passerelle client ................................................................... 21Exemple : périphérique Check Point (sans BGP) ................................................................................... 24

Vue globale de la passerelle client .............................................................................................. 24Fichier de configuration .............................................................................................................. 25Configuration du périphérique Check Point ................................................................................... 26

Étape 1 : Configurer l'interface du tunnel .............................................................................. 26Étape 2 : Configurer l'itinéraire statique ................................................................................ 28Étape 3 : Créer des objets réseau ....................................................................................... 29Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec ............................................ 30Étape 5 : Configurer le pare-feu .......................................................................................... 32Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS .................................. 33

Comment tester la configuration de la passerelle client ................................................................... 34Exemple : périphérique Cisco ASA (Adaptive Security Appliance, dispositif de sécurité adaptatif) ................... 37

Une vue globale de la passerelle client ........................................................................................ 37Une exemple de configuration .................................................................................................... 38Comment tester la configuration de la passerelle client ................................................................... 42

Exemple : Appareil Cisco ASA avec VTI et BGP .................................................................................... 44Une vue globale de la passerelle client ........................................................................................ 44Exemple de configuration ........................................................................................................... 45Comment tester la configuration de la passerelle client ................................................................... 51

Exemple : Appareil Cisco ASA avec VTI (sans BGP) .............................................................................. 53Une vue globale de la passerelle client ........................................................................................ 53Exemple de configuration ........................................................................................................... 54Comment tester la configuration de la passerelle client ................................................................... 59

Exemple : périphérique Cisco IOS (Adaptive Security Appliance, dispositif de sécurité adaptatif) .................... 62Une vue globale de la passerelle client ........................................................................................ 62Une vue détaillée de la passerelle client et un exemple de configuration ............................................ 63Comment tester la configuration de la passerelle client ................................................................... 70

Exemple : périphérique Cisco IOS (sans BGP) ...................................................................................... 72Une vue globale de la passerelle client ........................................................................................ 72Une vue détaillée de la passerelle client et un exemple de configuration ............................................ 73Comment tester la configuration de la passerelle client ................................................................... 79

iii


Exemple : appareil SonicWALL ........................................................................................................... 81Présentation globale de la passerelle client ................................................................................... 81Exemple de fichier de configuration ............................................................................................. 82Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion ............................................. 86Comment tester la configuration de la passerelle client ................................................................... 86

Exemple : appareil SonicWALL (sans BGP) .......................................................................................... 88Présentation globale de la passerelle client ................................................................................... 88Exemple de fichier de configuration ............................................................................................. 89Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion ............................................. 92Comment tester la configuration de la passerelle client ................................................................... 94

Exemple : Périphérique Fortinet Fortigate ............................................................................................. 96Présentation globale de la passerelle client ................................................................................... 96Présentation détaillée de la passerelle client et exemple de configuration ........................................... 97Comment tester la configuration de la passerelle client ................................................................. 105

Exemple : dispositif J-Series JunOS ................................................................................................... 107Présentation globale de la passerelle client ................................................................................. 107Présentation détaillée de la passerelle client et exemple de configuration ......................................... 108Comment tester la configuration de la passerelle client ................................................................. 115

Exemple : dispositif JunOS SRX Juniper ............................................................................................. 117Présentation globale de la passerelle client ................................................................................. 117Présentation détaillée de la passerelle client et exemple de configuration ......................................... 118Comment tester la configuration de la passerelle client ................................................................. 125

Exemple : dispositif Juniper ScreenOS ............................................................................................... 127Présentation globale de la passerelle client ................................................................................. 127Présentation détaillée de la passerelle client et exemple de configuration ......................................... 128Comment tester la configuration de la passerelle client ................................................................. 134

Exemple : appareil Netgate PfSense (sans BGP) ................................................................................. 136Présentation globale de la passerelle client ................................................................................. 136Exemple de configuration ......................................................................................................... 137Comment tester la configuration de la passerelle client ................................................................. 140

Exemple : périphérique réseau Palo Alto ............................................................................................ 142Présentation globale de la passerelle client ................................................................................. 142Présentation détaillée de la passerelle client et exemple de configuration ......................................... 143Comment tester la configuration de la passerelle client ................................................................. 150

Exemple : périphérique Yamaha ........................................................................................................ 152Présentation globale de la passerelle client ................................................................................. 152Présentation détaillée de la passerelle client et exemple de configuration ......................................... 153Comment tester la configuration de la passerelle client ................................................................. 159

Exemple d'une passerelle client générique utilisant un BGP ................................................................... 161Présentation globale de la passerelle client ................................................................................. 161Présentation détaillée de la passerelle client et exemple de configuration ......................................... 162Comment tester la configuration de la passerelle client ................................................................. 167

Exemple d'une passerelle client générique (sans BGP) ......................................................................... 169Présentation globale de la passerelle client ................................................................................. 169Présentation détaillée de la passerelle client et exemple de configuration ......................................... 170Comment tester la configuration de la passerelle client ................................................................. 175

Dépannage ..................................................................................................................................... 177Connectivité de la passerelle client Cisco ASA ............................................................................ 177

IKE ............................................................................................................................... 178IPsec ............................................................................................................................. 178Routage ......................................................................................................................... 180

Connectivité de la passerelle client Cisco IOS ............................................................................. 180IKE ............................................................................................................................... 181IPsec ............................................................................................................................. 181Tunnel ........................................................................................................................... 183BGP .............................................................................................................................. 184Attachement de la passerelle réseau privé virtuel ................................................................. 185

iv


Connectivité de la passerelle client Cisco IOS (sans BGP) ............................................................ 185IKE ............................................................................................................................... 185IPsec ............................................................................................................................. 186Tunnel ........................................................................................................................... 188Attachement de la passerelle réseau privé virtuel ................................................................. 189

Connectivité de la passerelle client Juniper JunOS ....................................................................... 190IKE ............................................................................................................................... 190IPsec ............................................................................................................................. 190Tunnel ........................................................................................................................... 191BGP .............................................................................................................................. 191Attachement de la passerelle réseau privé virtuel ................................................................. 193

Connectivité de la passerelle client Juniper ScreenOS .................................................................. 193IKE et IPsec ................................................................................................................... 193Tunnel ........................................................................................................................... 194BGP .............................................................................................................................. 194Attachement de la passerelle réseau privé virtuel ................................................................. 196

Connectivité de la passerelle client Yamaha ................................................................................ 196IKE ............................................................................................................................... 196IPsec ............................................................................................................................. 197Tunnel ........................................................................................................................... 198BGP .............................................................................................................................. 198Attachement de la passerelle réseau privé virtuel ................................................................. 199

Connectivité de la passerelle client sur un périphérique générique .................................................. 199Connectivité de la passerelle client sur un périphérique générique (sans BGP) .................................. 202

Configuration de Windows Server 2008 R2 en tant que passerelle client .................................................. 206Configuration de votre serveur Windows ..................................................................................... 206Étape 1: Création d'une connexion VPN et configuration de votre VPC ........................................... 207Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN .................................... 208Étape 3 : Configuration du serveur Windows ............................................................................... 210Étape 4 : Configuration du tunnel VPN ....................................................................................... 211

Option 1 : Exécuter le script netsh ..................................................................................... 212Option 2 : Utiliser l'interface utilisateur de Windows Server ..................................................... 212

Étape 5 : Activation de la détection de passerelle inactive .............................................................. 218Étape 6 : Test de la connexion VPN .......................................................................................... 218

Configuration de Windows Server 2012 R2 en tant que passerelle client .................................................. 220Configuration de votre serveur Windows ..................................................................................... 220Étape 1: Création d'une connexion VPN et configuration de votre VPC ........................................... 221Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN .................................... 222Étape 3 : Configuration du serveur Windows ............................................................................... 224Étape 4 : Configuration du tunnel VPN ....................................................................................... 225

Option 1 : Exécuter le script netsh ..................................................................................... 225Option 2 : Utiliser l'interface utilisateur de Windows Server ..................................................... 2262.4 : Configuration du pare-feu Windows ............................................................................. 229

Étape 5 : Activation de la détection de passerelle inactive .............................................................. 230Étape 6 : Test de la connexion VPN .......................................................................................... 230

Historique du document ................................................................................................................... 232

v


BienvenueCe guide (le Guide de l'administrateur réseau) a été fusionné dans le Guide de l'utilisateur AWS Site-to-Site VPN et n'est plus tenu à jour. Pour de plus amples informations sur la configuration de votrepériphérique de passerelle client, veuillez consulter Guide de l'utilisateur AWS Site-to-Site VPN.

Bienvenue dans le Guide de l'administrateur réseau AWS Site-to-Site VPN. Ce guide est destiné auxclients qui envisagent d'utiliser une connexion AWS Site-to-Site VPN avec leur Virtual Private Cloud (VPC).Les rubriques dans ce guide vous aideront à configurer votre passerelle client, qui est l'appareil de votrecôté de la connexion VPN.

Bien que le terme connexion VPN soit un terme général, dans cette documentation, une connexion VPNfait référence à la connexion entre votre VPC et votre propre réseau sur site. Site-to-Site VPN prenden charge les connexions VPN utilisant l'Internet Protocol Security (IPsec). Pour obtenir une liste despasserelles client qui ont été testées, veuillez consulter the section called “Passerelles client que nousavons testées” (p. 7).

La connexion VPN vous permet de créer une passerelle entre votre VPC et l'infrastructure informatique.Vous étendez vos politiques de sécurité et de gestion existantes aux instances EC2 dans votre VPCcomme si elles étaient en cours d'exécution dans votre propre infrastructure.

Pour plus d'informations, consultez les rubriques suivantes :

• Votre passerelle client (p. 2)• Exemple : Périphérique Check Point avec protocole de passerelle frontière (BGP) (p. 13)• Exemple : périphérique Check Point sans protocole de passerelle frontière (BGP) (p. 24)• Exemple : périphérique Cisco ASA (Adaptive Security Appliance, dispositif de sécurité

adaptatif) (p. 37)• Exemple : périphérique Cisco IOS (Adaptive Security Appliance, dispositif de sécurité

adaptatif) (p. 62)• Exemple : périphérique Cisco IOS (Internetwork Operating System, système d'exploitation pour la

connexion des réseaux) sans Border Gateway Protocol (p. 72)• Exemple : Appareil Cisco ASA avec une interface de tunnel virtuelle et le protocole Border Gateway

Protocol (p. 44)• Exemple : Appareil Cisco ASA avec une interface de tunnel virtuelle (sans protocole Border Gateway

Protocol) (p. 53)• Exemple : appareil SonicWALL SonicOS sans BGP (Border Gateway Protocol) (p. 88)• Exemple : appareil SonicWALL (p. 81)• Exemple : dispositif J-Series JunOS (p. 107)• Exemple : dispositif JunOS SRX Juniper (p. 117)• Exemple : dispositif Juniper ScreenOS (p. 127)• Exemple : appareil Netgate PfSense sans protocole de passerelle frontière (BGP) (p. 136)• Exemple : périphérique réseau Palo Alto (p. 142)• Exemple : périphérique Yamaha (p. 152)• Exemple d'une passerelle client générique utilisant un BGP (Border Gateway Protocol) (p. 161)• Exemple d'une passerelle client générique sans BGP (Border Gateway Protocol) (p. 169)• Configuration de Windows Server 2008 R2 en tant que passerelle client (p. 206)• Configuration de Windows Server 2012 R2 en tant que passerelle client (p. 220)

1

https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html


Qu'est-ce qu'une passerelle client ?

Votre passerelle client

Ce guide (le Guide de l'administrateur réseau) a été fusionné dans le Guide de l'utilisateur AWS Site-to-Site VPN et n'est plus tenu à jour. Pour de plus amples informations sur la configuration de votrepériphérique de passerelle client, veuillez consulter Guide de l'utilisateur AWS Site-to-Site VPN.

Rubriques• Qu'est-ce qu'une passerelle client ? (p. 2)• Présentation de la configuration d'une connexion VPN (p. 4)• AWS VPN CloudHub et passerelles client redondantes (p. 5)• Configuration de plusieurs connexions VPN dans votre VPC (p. 6)• Passerelles client que nous avons testées (p. 7)• Conditions obligatoires pour votre passerelle client (p. 8)• Configuration d'un pare-feu entre Internet et la passerelle client (p. 11)

Qu'est-ce qu'une passerelle client ?Une connexion VPN Amazon VPC relie votre centre de données (ou votre réseau) à votre VPC AmazonVirtual Private Cloud. Une passerelle client est le point d'ancrage situé de votre côté de cette connexion.Il peut s'agir d'un équipement physique ou logiciel. L'ancre située côté AWS de la connexion VPN estdésignée par le terme passerelle réseau privé virtuel.

Le schéma suivant illustre votre réseau, la passerelle client, la connexion VPN à la passerelle réseau privévirtuel et le VPC. Les deux lignes entre la passerelle client et la passerelle réseau privé virtuel indiquentque la connexion VPN correspond à deux tunnels, ce qui fournit une plus grande disponibilité du serviceAmazon VPC. En cas de dysfonctionnement d'un périphérique dans AWS, votre connexion VPN basculeautomatiquement vers le deuxième tunnel pour éviter que votre accès ne soit interrompu. De temps entemps, AWS effectue des opérations de maintenance habituelles sur la passerelle réseau privé virtuel,ce qui peut désactiver brièvement l'un des deux tunnels de votre connexion VPN. Votre connexion VPNbascule automatiquement vers le deuxième tunnel lors de ces opérations de maintenance. Lorsque vousconfigurez votre passerelle client, il est donc important de configurer les deux tunnels.

2



Qu'est-ce qu'une passerelle client ?

Vous pouvez créer des connexions VPN supplémentaires vers d'autres VPC à l'aide de la même passerelleclient. De plus, vous pouvez réutiliser la même adresse IP de passerelle client pour chacune de cesconnexions VPN.

Lorsque vous créez une connexion VPN, le tunnel VPN intervient quand du trafic est généré depuis votrecôté de la connexion VPN. Votre passerelle client doit lancer les tunnels car la passerelle réseau privévirtuel n'en est pas l'initiatrice. Les points de terminaison AWS VPN prennent en charge le changement declé et peuvent initier les renégociations lorsque la phase 1 est sur le point d'expirer si la passerelle client n'aenvoyé aucun trafic de renégociation.

Pour plus d'informations sur les composants d'une connexion VPN, consultez la section Connexions VPNdans le Guide de l'utilisateur AWS Site-to-Site VPN.

Vous pouvez configurer une deuxième connexion VPN afin de vous protéger contre une perte deconnectivité si votre passerelle client devient indisponible. Pour plus d'informations sur les connexionsredondantes, consultez la section Utilisation de connexions VPN redondantes pour contrer le failover dansle Guide de l'utilisateur AWS Site-to-Site VPN.

3

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPN

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html


Votre rôle

Votre rôleDans ce guide, nous faisons référence à l'équipe d'intégration de votre entreprise. Il s'agit des personneschargées d'intégrer votre infrastructure dans Amazon VPC. Cette équipe (dont vous faites ou non partie)doit utiliser AWS Management Console pour créer une connexion VPN et obtenir les informations dontvous avez besoin pour configurer votre passerelle client. Votre entreprise peut disposer d'une équipedistincte pour chaque tâche (une équipe d'intégration qui utilise la AWS Management Console). Ellepeut avoir u groupe distinct d'ingénierie réseau, qui a accès aux périphériques réseau et configure lapasserelle client. Dans le cadre du présent guide, nous partons du principe que vous faites partie del'équipe d'ingénierie réseau. Celle-ci reçoit des informations de la part de l'équipe d'intégration de votreentreprise, ce qui lui permet de configurer la passerelle client.

Présentation de la configuration d'une connexionVPN

Le processus de configuration de la connexion VPN dans AWS est décrit dans le Guide de l'utilisateurAWS Site-to-Site VPN. L'une des tâches du processus global consiste à configurer la passerelle client.Pour créer la connexion VPN, AWS a besoin d'informations sur la passerelle client et vous devez configurerle périphérique de passerelle client.

Pour configurer une connexion VPN, suivez ces étapes générales :

1. Déterminez l'appliance qui servira de passerelle client. Pour plus d'informations, consultez Passerellesclient que nous avons testées (p. 7) et Conditions obligatoires pour votre passerelle client (p. 8).

2. Obtenez les Informations réseau (p. 4) nécessaires et communiquez-les à l'équipe chargée de créerla connexion VPN dans AWS.

3. Créez une connexion VPN dans AWS et obtenez le fichier de configuration pour votre passerelle client.Pour plus d'informations sur la configuration d'une connexion VPN AWS, consultez Configuration d'uneconnexion VPN AWS dans le Guide de l'utilisateur AWS Site-to-Site VPN.

4. Configurez votre passerelle client grâce aux informations du fichier de configuration. Ce guide proposedes exemples.

5. Générez du trafic à partir de votre côté de la connexion VPN afin d'établir le tunnel VPN.

Informations réseauPour créer une connexion VPN dans AWS, vous avez besoin des informations suivantes.

Elément Commentaires

Le fournisseur de la passerelle client (par exemple,Cisco), la plateforme (par exemple, les routeursISR) et la version du logiciel (par exemple,IOS 12.4)

Ces informations sont utilisées afin de générer unfichier de configuration pour la passerelle client.

L'adresse IP routable par Internet pour l'interfaceexterne du périphérique de passerelle client.

La valeur doit être statique. Si votre passerelleclient se trouve derrière un appareil exécutantune traduction d'adresse réseau (NAT), utilisezl'adresse IP publique de cet appareil.

Pour la traduction d'adresse réseau source,n'utilisez pas l'adresse IP publique de la passerelle

4

http://aws.amazon.com/console

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html


Informations sur le routage

Elément Commentairesclient comme adresse IP source des paquetsenvoyés via un tunnel VPN. Choisissez à la placeune autre adresse IP qui n'est pas utilisée.

(Facultatif) Numéro d'ASN (Autonomous SystemNumber) BGP (Border Gateway Protocol) de lapasserelle client.

Vous pouvez utiliser un ASN existant assigné àvotre réseau. Si vous n'en n'avez pas, vous pouvezutiliser un ASN privé (dans la plage 64512–65534).Dans le cas contraire, nous partons du principeque la version du moteur de cache de la passerelleclient est 65000.

(Facultatif) L'ASN pour le côté Amazon de lasession BGP.

Spécifié lorsque vous créez une passerelleréseau privé virtuel. Si vous ne spécifiez pas devaleur, l'ASN par défaut s'applique. Pour plusd'informations, consultez Passerelle réseau privévirtuel.

(Facultatif) Informations de tunnel pour chaquetunnel VPN

Vous pouvez configurer certaines options du tunnelpour la connexion VPN. Pour plus d'informations,consultez Site-to-Site VPN Options du tunnel pourvotre connexion Site-to-Site VPN dans le Guide del'utilisateur AWS Site-to-Site VPN.

(Facultatif) Certificat privé de Autorité decertification privée AWS Certificate Manager pourauthentifier votre VPN

Vous devez créer un certificat privé avec Autoritéde certification privée AWS Certificate Manager.Pour plus d'informations sur la création d'uncertificat privé, consultez Création et gestion d'uneautorité de certification privée dans le Manuel del'utilisateur Autorité de certification privée AWSCertificate Manager.

Le fichier de configuration pour votre passerelle client intègre les valeurs que vous spécifiez pour leséléments ci-dessus. Il contient également les valeurs supplémentaires requises pour configurer les tunnelsVPN, y compris l'adresse IP externe pour la passerelle réseau privé virtuel. Cette valeur est statique sauf sivous recréez la connexion VPN dans AWS.

Informations sur le routageAWS recommande de publier des routes BGP plus spécifiques afin d'influencer les décisions de routagedans la passerelle réseau privé virtuel. Consultez la documentation de votre fournisseur pour connaître lescommandes spécifiques à votre appareil.

Pour de plus amples informations sur la priorité de routage, veuillez consulter Tables de routage et prioritéde routage VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

AWS VPN CloudHub et passerelles clientredondantes

Vous pouvez établir plusieurs connexions VPN sur une passerelle réseau privé virtuel à partir de plusieurspasserelles client. Cette configuration peut être utilisée de différentes façons. Vous pouvez disposer depasserelles client redondantes entre votre centre de données et votre VPC ou de plusieurs emplacementsconnectés à l'AWS VPN CloudHub.

5

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#VPNGateway

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#VPNGateway

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreatingManagingCA.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreatingManagingCA.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority



Configuration de plusieurs connexions VPN dans votre VPC

Si vous disposez de passerelles client redondantes, chacune d'entre elles publie le même préfixe (parexemple, 0.0.0.0/0) sur la passerelle réseau privé virtuel. Nous utilisons le routage BGP pour déterminer lechemin pour le trafic. En cas de défaillance d'une des passerelles client, la passerelle réseau privé virtueldirige tout le trafic vers celle qui est opérationnelle.

Si vous utilisez la configuration AWS VPN CloudHub, plusieurs sites peuvent accéder à votre VPC ouaccéder en toute sécurité à chacun d'entre eux à l'aide d'un simple modèle en étoile. Vous configurezchaque passerelle client pour publier un préfixe propre à un site (tel que 10.0.0.0/24, 10.0.1.0/24) sur lapasserelle réseau privé virtuel. Celle-ci achemine le trafic vers le site approprié et indique l'accessibilitéd'un site à tous les autres sites.

Pour configurer l'AWS VPN CloudHub, utilisez la console Amazon VPC afin de créer plusieurs passerellesclient, chacune avec l'adresse IP publique de la passerelle. Vous devez utiliser un numéro d'ASN(Autonomous System Number) BGP (Border Gateway Protocol) unique pour chacune. Ensuite, créez uneconnexion VPN pour chaque passerelle client vers une passerelle réseau privé virtuel commune. Utilisezles instructions suivantes afin de configurer chaque passerelle client pour la connecter à la passerelleréseau privé virtuel.

Pour permettre aux instances de votre VPC d'atteindre la passerelle réseau privé virtuel et ensuite vospasserelles client, vous devez configurer des routes dans les tables de routage de votre VPC. Pour obtenirdes instructions complètes, consultez la section Connexions VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN. Pour l'AWS VPN CloudHub, vous pouvez configurer une route agrégée dans la table deroutage du VPC (par exemple, 10.0.0.0/16). Utilisez des préfixes plus spécifiques entre les passerellesclient et la passerelle réseau privé virtuel.

Configuration de plusieurs connexions VPN dansvotre VPC

Vous pouvez créer jusqu'à 10 connexions VPN pour votre VPC. De plus, vous pouvez utiliser plusieursconnexions VPN pour associer vos bureaux à distance à un même VPC. Par exemple, si vous possédezdes bureaux à Los Angeles, Chicago, New York et Miami, vous pouvez associer chacun d'entre eux à votreVPC. Vous pouvez également recourir à plusieurs connexions VPN afin d'établir des passerelles clientredondantes à partir d'un seul emplacement.

Note

Si vous avez besoin de plus de dix connexions VPN, envoyez une demande pour augmenter votrequota.

Lorsque vous créez plusieurs connexions VPN, la passerelle réseau privé virtuel envoie le trafic réseauvers la connexion VPN appropriée à l'aide de routes affectées statiquement ou d'annonces de routes BGP.Le choix dépend de la façon dont la connexion VPN a été configurée. Les routes affectées statiquementsont préférées aux routes annoncées par BGP lorsque des routes identiques existent dans la passerelleréseau privé virtuel. Si vous sélectionnez l'option d'utiliser une annonce BGP, vous ne pouvez pas spécifierde routes statiques.

Lorsque vous disposez de passerelles client dans plusieurs sites géographiques, chacune d'entre ellesdoit publier un ensemble unique de plages d'adresses IP propres à chaque emplacement. Lorsque vousétablissez des passerelles client redondantes dans un même emplacement, ces dernières doivent publierles mêmes plages d'adresses IP.

Quand une passerelle réseau privé virtuel reçoit des informations de routage, elle utilise la sélection deschemins pour déterminer comment acheminer le trafic. Pour de plus amples informations, veuillez consulterTables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

Le schéma suivant illustre la configuration de plusieurs VPN.

6

https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-connections.html

http://aws.amazon.com/contact-us/vpc-request/



Passerelles client que nous avons testées

Passerelles client que nous avons testéesVotre passerelle client peut prendre la forme d'un équipement physique ou d'un logiciel.

Ce guide présente des informations sur la façon de configurer les périphériques suivants, testée avec :

• Check Point Security Gateway fonctionnant avec R77.10 (ou version ultérieure)• Cisco ASA fonctionnant avec ASA 8.2 (ou version plus récente)• Cisco IOS fonctionnant avec Cisco IOS 12.4 (ou version plus récente)• SonicWALL exécutant le logiciel SonicOS 5.9 (ou une version ultérieure)• Fortinet Fortigate 40+ Series fonctionnant avec FortiOS 4.0 (ou version plus récente)• Juniper J-Series fonctionnant avec JunOS 9.5 (ou version plus récente)• Juniper SRX fonctionnant avec des logiciels JunOS 11.0 (ou version ultérieure)• Juniper SSG fonctionnant avec des logiciels Screen OS 6.1 ou 6.2 (ou version plus récente)• Juniper ISG fonctionnant avec Screen OS 6.1 ou 6.2 (ou version plus récente)• Netgate pfSense fonctionnant avec des logiciels OS 2.2.5 (ou version ultérieure).• Palo Alto Networks PANOS 4.1.2 (ou version ultérieure)• Routeurs Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 et SRT100• Microsoft Windows Server 2008 R2 (ou version plus récente)• Microsoft Windows Server 2012 R2 (ou version plus récente)• Le logiciel Zyxel Zywall Series 4.20 (ou version plus récente) pour les connexions VPN à routage

statique, ou 4.30 (ou version plus récente) pour les connexions VPN à routage dynamique

7


Conditions obligatoires pour votre passerelle client

Si vous possédez l'un de ces périphériques, et si vous le configurez pour IPsec via une autre méthode quecelle présentée dans ce guide, n'hésitez pas à modifier notre proposition de configuration afin de l'adapter àvos besoins spécifiques.

Conditions obligatoires pour votre passerelle clientLa configuration de votre passerelle client est composée de 4 éléments principaux. Tout au long de ceguide, nous utilisons un symbole pour chacun de ces éléments, afin de vous aider à mieux comprendre lamarche à suivre. Le tableau suivant indique les 4 éléments et les symboles correspondants.

Association de sécurité IKE (nécessaire pour échanger les clés permettant d'établirl'association de sécurité IPsec)

Association de sécurité IPsec (gère le cryptage du tunnel, l'authentification, etc.)

Interface du tunnel (reçoit le trafic qui entre et sort du tunnel)

Facultatif Appairage BGP, pour les appareils qui utilisent BGP, échangeant les routes entre lapasserelle client et la passerelle réseau privé virtuel

Si votre périphérique ne figure pas dans la liste précédente des appareils testés, cette section décrit lesconditions requises qu'il doit respecter pour que vous puissiez l'utiliser avec Amazon VPC. Le tableauci-dessous répertorie les conditions que la passerelle client doit respecter, la RFC concernée (pourinformation) et des commentaires sur ces conditions. Pour obtenir un exemple des informations deconfiguration si votre périphérique ne correspond pas à l'un des appareils Cisco ou Juniper testés,consultez la page Exemple d'une passerelle client générique utilisant un BGP (Border GatewayProtocol) (p. 161).

Chaque connexion VPN est composée de 2 tunnels distincts. Chaque tunnel comporte une associationde sécurité IKE, une association de sécurité IPsec et un appairage BGP. Vous êtes limité à 1 paired'associations de sécurité (SA, Security Association) unique par tunnel (1 entrante et 1 sortante) et doncà 2 paires d'associations de sécurité uniques au total pour les 2 tunnels (4 SA). Certains périphériquesutilisent un VPN basé sur une politique et créent autant de SA que d'entrées ACL (liste de contrôled'accès). Par conséquent, vous pouvez être amené à regrouper vos règles, puis à définir des filtres afin dene pas autoriser le trafic non souhaité.

Le tunnel VPN intervient lorsque le trafic est généré depuis votre côté de la connexion VPN. Votrepériphérique de passerelle client doit lancer les tunnels car le point de terminaison AWS n'en est pasl'initiateur.

Exigence RFC Commentaires

Établir une association desécurité IKE en utilisant desclés pré-partagées

RFC 2409

RFC 7296

L'association de sécurité IKE est d'abord établie entrela passerelle réseau privé virtuel et la passerelle clienten utilisant la clé pré-partagée ou un certificat privéavec Autorité de certification privée AWS CertificateManager comme authentificateur. Lors de l'établissementde la connexion, IKE négocie une clé éphémère afinde sécuriser les messages IKE futurs. L'établissement

8

http://tools.ietf.org/html/rfc2409

https://tools.ietf.org/html/rfc7296



Exigence RFC Commentairesapproprié d'une association de sécurité IKE nécessite unaccord complet entre les paramètres, dont les paramètresde chiffrement et d'authentification.

Lorsque vous créez une connexion VPN dans AWS, vouspouvez spécifier votre propre clé pré-partagée pour chaquetunnel, ou laisser AWS en générer une pour vous. Vouspouvez aussi indiquer le certificat privé avec Autorité decertification privée AWS Certificate Manager à utiliserpour votre passerelle client. Pour plus d'informations surla configuration des tunnels VPN, consultez Configurationdes tunnels VPN pour votre connexion VPN dans le Guidede l'utilisateur AWS Site-to-Site VPN.

Les versions suivantes sont prises en charge : IKEv1 etIKEv2.Nous prenons en charge le mode Principal uniquementavec la version IKEv1.

Établir des associationsde sécurité IPsec en modetunnel

RFC 4301 Des clés sont établies entre la passerelle réseau privévirtuel et la passerelle client de façon à former uneassociation de sécurité (SA) IPsec grâce à la clé éphémèreIKE. Le trafic entre les passerelles est chiffré et déchiffréà l'aide de cette SA. Les clés éphémères utilisées pourchiffrer le trafic au sein de la SA IPsec font l'objet d'unerotation automatique et régulière par IKE afin de garantir laconfidentialité des communications.

Utiliser la fonction dechiffrement AES 128 bits ou256 bits

RFC 3602 La fonction de chiffrement est utilisée pour garantir laconfidentialité parmi les associations de sécurité IKE etIPsec.

Utiliser la fonction dehachage SHA-1 ouSHA-256

RFC 2404 Cette fonction de hachage est utilisée pour authentifier lesassociations de sécurité IKE et IPsec.

Utiliser le protocole deDiffie-Hellman pour uneconfidentialité persistanteparfaite. Les groupessuivants sont pris encharge :

• Phase 1 : groupes 2,14-18, 22, 23 et 24

• Phase 2 : groupes 2, 5,14-18, 22, 23 et 24

RFC 2409 IKE utilise la méthode Diffie-Hellman pour établir des cléséphémères afin de sécuriser toutes les communicationsentre les passerelles client et les passerelles réseau privévirtuel.

Utiliser IPsec Dead PeerDetection

RFC 3706 L'utilisation du mécanisme DPD (Dead Peer Detection)permet aux périphériques VPN de savoir rapidementquand une condition réseau empêche la transmission depaquets sur Internet. Lorsque cette situation se produit,les passerelles suppriment les associations de sécurité ettentent d'en créer de nouvelles. Au cours de ce processus,l'autre tunnel IPsec est utilisé dans la mesure du possible.

9

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNTunnels

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNTunnels








Exigence RFC Commentaires

Relier le tunnel à l'interfacelogique (VPN basé sur uneroute)

Aucune Votre passerelle doit prendre en charge la possibilité derelier le tunnel IPsec à une interface logique. L'interfacelogique comporte une adresse IP qui permet d'établirl'appairage BGP avec la passerelle réseau privévirtuel. Cette interface logique ne doit exécuter aucuneencapsulation supplémentaire (par exemple, GRE, IPdans IP). Votre interface doit être définie sur une unité detransmission maximale (MTU) de 1 399 octets.

Pratiquer une fragmentationpar paquets IP avant lechiffrement

RFC 4459 Les paquets trop volumineux pour être transmisdoivent être fragmentés. Nous ne reconstituons pasles paquets chiffrés fragmentés. Par conséquent, votrepériphérique VPN doit fragmenter les paquets avantl'encapsulation avec les en-têtes VPN. Les fragmentssont transmis individuellement à l'hôte distant, qui lesreconstitue. Pour plus d'informations sur la fragmentation,consultez l'article de Wikipédia sur la fragmentation IP.

(Facultatif) Établir desappairages BGP

RFC 4271 Le protocole BGP permet d'échanger des routes entre lapasserelle client et la passerelle réseau privé virtuel pourles appareils qui l'utilisent. L'ensemble du trafic BGP estchiffré et transmis via l'association de sécurité IPsec. Leprotocole BGP est requis pour les deux passerelles afind'échanger les préfixes IP accessibles via l'AS IPsec.

Nous vous recommandons d'utiliser les techniques figurant dans le tableau suivant. Cela vous aide à limiterles problèmes relatifs à la quantité de données qui peuvent être transmises via le tunnel IPsec. La quantitéde données que l'on peut transmettre dans un seul paquet est limitée, car la connexion encapsule lespaquets avec des en-têtes réseau supplémentaires (dont IPsec).

Technique RFC Commentaires

Ajuster la taille de segmentmaximale des paquetsTCP qui entrent dans letunnel VPN

RFC 4459 Les paquets TCP sont souvent le type de paquets le plusrépandu dans les tunnels IPsec. Certaines passerellespeuvent modifier le paramètre correspondant à la taille desegment maximale des paquets TCP. En conséquence,les points de terminaison TCP (clients, serveurs) réduisentalors la quantité de données envoyées avec chaquepaquet. Cette approche est idéale, car les paquets quiaccèdent aux périphériques VPN sont suffisamment petitspour être encapsulés et transmis.

Réinitialiser l'indicateur « Nepas fragmenter » dans lespaquets

RFC 791 Certains paquets comportent un indicateur, libellé Ne pasfragmenter, indiquant qu'il ne faut pas les fragmenter. Siles paquets comportent cet indicateur, les passerellesgénèrent un message ICMP indiquant que la taille PMTU(Path MTU) a été dépassée. Dans certains cas, lesapplications n'incluent pas de mécanismes appropriéspour traiter ces messages ICMP et réduire la quantitéde données transmises dans chaque paquet. Certainspériphériques VPN peuvent remplacer l'indicateur DF etfragmenter les paquets sans condition si nécessaire. Sivotre passerelle client possède cette fonctionnalité, nousvous recommandons de l'utiliser le cas échéant.

10


http://en.wikipedia.org/wiki/IP_fragmentation




Amazon Virtual Private CloudGuide de l'administrateur réseauConfiguration d'un pare-feu entre

Internet et la passerelle clientUne connexion VPN AWS ne prend pas en charge la détection de la MTU du chemin (RFC 1191).

Si vous disposez d'un pare-feu entre votre passerelle client et Internet, veuillez consulter Configuration d'unpare-feu entre Internet et la passerelle client (p. 11).

Configuration d'un pare-feu entre Internet et lapasserelle client

Vous devez disposer d'une adresse IP routable sur Internet à utiliser comme point de terminaison destunnels IPsec reliant votre passerelle client à la passerelle réseau privé virtuel afin de bénéficier de ceservice. S'il existe un pare-feu entre Internet et votre passerelle, les règles figurant dans le tableau suivantdoivent être appliquées pour établir les tunnels IPsec. Les adresses de la passerelle réseau privé virtuelsont incluses dans les informations de configuration que vous fournira l'équipe d'intégration.

Entrant (depuis Internet)

Règle entrante E1

IP Source passerelle réseau privé virtuel 1

IP Dest Passerelle client

Protocole UDP

Port source 500

Destination 500

Règle entrante E2



Protocole UDP

Port source 500

Port de destination 500

Règle entrante E3



Protocole IP 50 (ESP)

Règle entrante E4




11

https://tools.ietf.org/html/rfc1191

Amazon Virtual Private CloudGuide de l'administrateur réseauConfiguration d'un pare-feu entre

Internet et la passerelle clientSortant (vers Internet)

Règle sortante S1

IP Source Passerelle client

IP Dest passerelle réseau privé virtuel 1

Protocole UDP

Port source 500


Règle sortante S2



Protocole UDP

Port source 500


Règle sortante S3




Règle sortante S4




Les règles E1, E2, S1 et S2 permettent la transmission des paquets IKE. Les règles E3, E4, S3 et S4permettent la transmission des paquets IPsec contenant le trafic réseau chiffré.

Si vous utilisez la traversée NAT (NAT-T) sur votre périphérique, vous devez inclure des règles autorisantl'accès UDP via le port 4500. Vérifiez si votre périphérique annonce la NAT-T.

12


Vue globale de la passerelle client

Exemple : Périphérique Check Pointavec protocole de passerelle frontière(BGP)


Cette section contient les informations de configuration fournies par votre équipe d'intégration si votrepasserelle client est un périphérique Check Point Security Gateway fonctionnant sous R77.10 ou versionultérieure, et utilisant le système d'exploitation Gaia.

Avant de commencer, veillez à faire ceci :

• Vous avez créé une connexion Site-to-Site VPN dans Amazon VPC. Pour de plus amples informations,veuillez consulter Démarrage dans le Guide de l'utilisateur AWS Site-to-Site VPN.

• Vous avez lu les Conditions obligatoires (p. 8) pour votre passerelle client.

Rubriques• Vue globale de la passerelle client (p. 13)• Fichier de configuration (p. 14)• Configuration du périphérique Check Point (p. 15)• Comment tester la configuration de la passerelle client (p. 21)

Vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. La connexion VPN secompose de deux tunnels séparés. L'utilisation de tunnels redondants garantit une disponibilité continue encas de panne d'un périphérique.

13


https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html


Fichier de configuration

Fichier de configurationVotre équipe d'intégration peut vous fournir un fichier de configuration avec les valeurs dont vous avezbesoin pour configurer chaque tunnel, ainsi que les paramètres IKE et IPsec de votre périphérique VPN.Le fichier de configuration inclut les instructions sur l'utilisation du portail web Gaia et de Check PointSmartDashboard pour configurer votre périphérique. Les mêmes étapes sont fournies dans la sectionsuivante.

Voici l'extrait d'un exemple de fichier de configuration. Le fichier contient deux sections : IPSec Tunnel#1 et IPSec Tunnel #2. Vous devez utiliser les valeurs fournies dans chaque section pour configurerchaque tunnel.

! Amazon Web Services! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------

14


Configuration du périphérique Check Point

! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuration du périphérique Check PointLes procédures suivantes montrent comment configurer les tunnels VPN, les objets réseau et la sécurité devotre connexion VPN. Vous devez remplacer les exemples de valeurs dans les procédures par les valeursfournies dans le fichier de configuration.

Note

Pour plus d'informations, consultez l'article Amazon Web Services (AWS) VPN BGP sur le Centrede support Check Point.

Rubriques• Étape 1 : Configurer les interfaces de tunnel (p. 15)• Étape 2 : Configurer BGP (p. 16)• Étape 3 : Créer des objets réseau (p. 17)• Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec (p. 18)• Étape 5 : Configurer le pare-feu (p. 19)• Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS (p. 20)

Étape 1 : Configurer les interfaces de tunnelLa première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de lapasserelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour le premier tunnel, utilisezles informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Pour le secondtunnel, utilisez les valeurs fournies dans la section IPSec Tunnel #2 du fichier de configuration.

Pour configurer l'interface du tunnel

1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui pardéfaut, choisissez clish en exécutant la commande suivante : clish

2. Définissez l'ASN de la passerelle client (l'ASN fourni lorsque la passerelle client a été créée dansAWS) en exécutant la commande suivante :

set as 65000

3. Créez l'interface de tunnel pour le premier tunnel, en utilisant les informations fournies dans la sectionIPSec Tunnel #1 du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel queAWS_VPC_Tunnel_1.

15

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108958


Étape 2 : Configurer BGP

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436

4. Répétez ces commandes pour créer le second tunnel, à l'aide des informations fournies dans lasection IPSec Tunnel #2 du fichier de configuration. Fournissez un nom unique pour votre tunnel,tel que AWS_VPC_Tunnel_2.

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436

5. Définissez l'ASN de la passerelle réseau privé virtuel :

set bgp external remote-as 7224 on

6. Configurez le protocole BGP pour le premier tunnel, à l'aide des informations fournies dans la sectionIPSec Tunnel #1 du fichier de configuration :

set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. Configurez le protocole BGP pour le second tunnel, à l'aide des informations fournies dans la sectionIPSec Tunnel #2 du fichier de configuration :

set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

8. Enregistrez la configuration :

save config

Étape 2 : Configurer BGPAu cours de cette étape, vous créez une stratégie BGP qui autorise l'importation des routes qui sontpubliées par AWS. Ensuite, configurez votre passerelle client pour publier ses routes locales vers AWS.

Pour créer une stratégie BGP

1. Dans l'interface utilisateur Web de Gaia, sélectionnez Advanced Routing, Inbound Route Filters.Choisissez Add, puis sélectionnez Add BGP Policy (Based on AS).

2. Pour Add BGP Policy, sélectionnez une valeur comprise entre 512 et 1024 dans le premier champ,puis saisissez l'ASN de la passerelle réseau privé virtuel dans le second champ ; par exemple, 7224.

3. Choisissez Save.

Les étapes suivantes concernent la répartition des itinéraires locaux d'interface. Vous pouvez égalementredistribuer les itinéraires à partir de différentes sources : par exemple, les itinéraires statiques ou ceuxobtenus via les protocoles de routage dynamique. Pour plus d'informations, consultez le manuel GaiaAdvanced Routing R77 Versions Administration Guide.

16

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

Amazon Virtual Private CloudGuide de l'administrateur réseauÉtape 3 : Créer des objets réseau

Pour publier les itinéraires locaux

1. Dans l'interface utilisateur Web de Gaia, sélectionnez Advanced Routing, Routing Redistribution.Choisissez Add Redistribution From et sélectionnez Interface.

2. Pour To Protocol, sélectionnez l'ASN de la passerelle réseau privé virtuel : par exemple, 7224.3. Pour Interface, sélectionnez une interface interne. Choisissez Save.

Étape 3 : Créer des objets réseauDans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IPpubliques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau entant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe videcomme espace réservé du domaine VPN.

Pour définir un nouvel objet réseau

1. Ouvrez Check Point SmartDashboard.2. Pour Groups, ouvrez le menu contextuel et choisissez Groups, Simple Group. Vous pouvez utiliser le

même groupe pour chaque objet réseau.3. Pour Network Objects, ouvrez le menu contextuel (clic droit) et choisissez New, Interoperable Device.4. Pour Name, entrez le nom que vous avez fourni pour votre tunnel à l'étape 1 : AWS_VPC_Tunnel_1 ou

AWS_VPC_Tunnel_2, par exemple.5. Pour IPv4 Address, entrez l'adresse IP externe de la passerelle réseau privé virtuel fournie dans le

fichier de configuration (54.84.169.196, par exemple). Enregistrez vos paramètres et fermez la boîtede dialogue.

6. Dans le volet de gauche des catégories, sélectionnez Topology.7. Dans la section VPN Domain, choisissez Manually defined, puis accédez au groupe simple vide que

vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.8. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section IPSec

Tunnel #2 du fichier de configuration.9. Accédez à votre objet réseau passerelle, ouvrez votre objet passerelle ou cluster, puis sélectionnez

Topology.

17

Amazon Virtual Private CloudGuide de l'administrateur réseauÉtape 4 : Créer une communautéVPN, et configurer IKE et IPsec

10. Dans la section VPN Domain, choisissez Manually defined, puis accédez au groupe simple vide quevous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.

Note

Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré.Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par lanouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si ledomaine VPN est automatiquement dérivé.

Note

Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces decluster. Utilisez les adresses IP spécifiées dans le fichier de configuration.

Étape 4 : Créer une communauté VPN, et configurerIKE et IPsecDans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vousajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également lesparamètres IKE (Internet Key Exchange) et IPsec.

Pour créer et configurer la communauté VPN, et les paramètres IKE et IPsec

1. A partir des propriétés de votre passerelle, choisissez IPSec VPN dans le volet des catégories.2. Choisissez Communities, New, Star Community.3. Entrez un nom pour votre communauté (par exemple, AWS_VPN_Star), puis choisissez Center

Gateways dans le volet des catégories.4. Choisissez Add, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.5. Dans le volet des catégories, sélectionnez Satellite Gateways, Add, puis ajoutez les périphériques

interopérables que vous avez créés précédemment (AWS_VPC_Tunnel_1 et AWS_VPC_Tunnel_2) àla liste des passerelles participantes.

6. Dans le volet des catégories, sélectionnez Encryption. Dans la section Encryption Method, choisissezIKEv1 for IPv4 and IKEv2 for IPv6. Dans la section Encryption Suite choisissez Custom, CustomEncryption.

Note

Vous devez sélectionner l'option IKEv1 for IPv4 and IKEv2 for IPv6 pour la fonctionnalitéIKEv1 ; cependant, les méthodes IKEv2 et IPv6 se sont pas prises en charge actuellement.

7. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez OKlorsque vous avez terminé :

• Propriétés IKE Security Association (Phase 1) :• Perform key exchange encryption with : AES-128• Perform data integrity with : SHA1

• Propriétés IPsec Security Association (Phase 2) :• Perform IPsec data encryption with : AES-128• Perform data integrity with : SHA-1

8. Dans le volet des catégories, sélectionnez Tunnel Management. Choisissez Set Permanent Tunnels,On all tunnels in the community. Dans la section VPN Tunnel Sharing, choisissez One VPN tunnel perGateway pair.

9. Dans le volet des catégories, développez Advanced Settings, puis choisissez Shared Secret.

18

Amazon Virtual Private CloudGuide de l'administrateur réseauÉtape 5 : Configurer le pare-feu

10. Sélectionnez le nom d'homologue du premier tunnel, choisissez Edit et entrez la clé prépartagéecomme indiqué dans le fichier de configuration dans la section IPSec Tunnel #1.

11. Sélectionnez le nom d'homologue du second tunnel, choisissez Edit et entrez la clé prépartagéecomme indiqué dans le fichier de configuration dans la section IPSec Tunnel #2.

12. Toujours dans la catégorie Advanced Settings, choisissez Advanced VPN Properties, configurez lespropriétés comme suit et sélectionnez OK lorsque vous avez terminé :

• IKE (Phase 1) :• Use Diffie-Hellman group : Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes

• IPsec (Phase 2) :• Choisissez Use Perfect Forward Secrecy• Use Diffie-Hellman group : Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds

Étape 5 : Configurer le pare-feuDans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles decorrespondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vousinstallez la stratégie sur votre passerelle.

19


Étape 6 : Activer la détection d'homologuemort et la restriction TCP MSS

Pour créer les règles de pare-feu

1. Dans SmartDashboard, sélectionnez Global Properties pour votre passerelle. Dans le volet descatégories, développez VPN, puis choisissez Advanced.

2. Choisissez Enable VPN Directional Match in VPN Column, puis OK.3. Dans SmartDashboard, sélectionnez Firewall et créez une stratégie avec les règles suivantes :

• Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis.• Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

4. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez Edit Cell.5. Dans la boîte de dialogue VPN Match Conditions, choisissez Match traffic in this direction only. Créez

les règles de correspondance directionnelle suivantes en choisissant Add pour chaque règle, puis OKlorsque vous avez terminé :

• internal_clear > Communauté VPN (la communauté VPN que vous avez créée plus tôt : parexemple, AWS_VPN_Star)

• Communauté VPN > Communauté VPN• Communauté VPN > internal_clear

6. Dans SmartDashboard, choisissez Policy, Install.7. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez OK pour installer la stratégie.

Étape 6 : Activer la détection d'homologue mort et larestriction TCP MSSVotre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) poursavoir à quel moment une association IKE est arrêtée.

Pour configurer la DPD pour un tunnel permanent, le tunnel permanent doit être configuré dans lacommunauté AWS VPN. Pour de plus amples informations, consultez l'étape 8 de Étape 4 : Créer unecommunauté VPN, et configurer IKE et IPsec (p. 18).

Par défaut, la propriété tunnel_keepalive_method pour une passerelle VPN est définie surtunnel_test. Vous devez modifier la valeur sur dpd. Chaque passerelle VPN de la communauté VPNqui nécessite une surveillance DPD doit être configurée avec la propriété tunnel_keepalive_method,notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes desurveillance pour la même passerelle.

Vous pouvez mettre à jour la propriété tunnel_keepalive_method en utilisant l'outil GuiDBedit.

Pour modifier la propriété tunnel_keepalive_method

1. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, DomainManagement Server.

2. Choisissez File, Database Revision Control... et créez un instantané de révision.3. Fermez toutes les fenêtres SmartConsole, telles que SmartDashboard, SmartView Tracker et

SmartView Monitor.4. Démarrez l'outil GuiBDedit. Pour plus d'informations, consultez l'article Check Point Database Tool sur

le Centre de support Check Point.5. Choisissez Security Management Server, Domain Management Server.6. Dans le volet supérieur gauche, choisissez Table, Network Objects, network_objects.7. Dans le volet supérieur droit, sélectionnez l'objet Security Gateway, Cluster approprié.

20

http://supportcontent.checkpoint.com/solutions?id=sk13009


Comment tester la configuration de la passerelle client

8. Appuyez sur CTRL+F, ou utilisez le menu Search pour rechercher ce qui suit :tunnel_keepalive_method.

9. Dans le volet inférieur, ouvrez le menu contextuel pour tunnel_keepalive_method et sélectionnezEdit.... Choisissez dpd, puis OK.

10. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.11. Sélectionnez File, Save As.12. Fermez l'outil GuiDBedit.13. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, Domain

Management Server.14. Installez la stratégie sur l'objet Security Gateway, Cluster approprié.

Pour plus d'informations, consultez l'article Nouvelles fonction VPN dans R77.10 sur le Centre de supportCheck Point.

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentationdes paquets.

Pour activer la restriction TCP MSS

1. Accédez au répertoire suivant : C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Ouvrez Check Point Database Tool en exécutant le fichier GuiDBEdit.exe.3. Choisissez Table, Global Properties, properties.4. Pour fw_clamp_tcp_mss, choisissez Edit. Remplacez la valeur par true, puis choisissez OK.

Comment tester la configuration de la passerelleclient

Vous pouvez tester la configuration de la passerelle pour chaque tunnel.

Pour tester la configuration de la passerelle client pour chaque tunnel

1. Sur votre passerelle client, déterminez si le statut du BGP est Established.

Environ 30 secondes s'écoulent avant que l'appairage BGP soit établi.2. Vérifiez que la passerelle client publie une route vers la passerelle réseau privée virtuelle. Il peut s'agir

de la route par défaut (0.0.0.0/0) ou d'une route plus spécifique de votre choix.

Une fois correctement établi, votre appairage BGP devrait recevoir une route provenant de la passerelleréseau privée virtuelle et correspondant au préfixe que votre équipe d'intégration VPC a spécifié pour leVPC (par exemple, 10.0.0.0/24). Si l'appairage BGP est instauré, que vous recevez un préfixe et quevous publiez un préfixe, alors votre tunnel est configuré correctement. Assurez-vous que les deux tunnelssont dans cet état.

Ensuite, vous devez tester la connectivité pour chaque tunnel en lançant une instance dans votre VPC eten effectuant un test ping de l'instance depuis votre réseau domestique. Avant de commencer, veillez àexécuter les actions suivantes :

• Utilisez une AMI répondant aux requêtes ping. Nous vous recommandons d'utiliser une des AMI AmazonLinux.

21




• Configurez le groupe de sécurité et la liste ACL réseau de votre instance afin d'autoriser le trafic ICMPentrant.

• Assurez-vous d'avoir configuré le routage pour votre connexion VPN : la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultezla section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.

Pour tester la connectivité de bout en bout de chaque tunnel

1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir de la consoleAmazon EC2. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise en route.

2. Après l'exécution de l'instance, obtenez son adresse IP privée (par exemple, 10.0.0.4). La consoleaffiche l'adresse dans le cadre des détails de l'instance.

3. Sur un système de votre réseau domestique, utilisez la commande ping avec l'adresse IP de l'instance.Vérifiez que l'ordinateur à partir duquel vous effectuez le test ping se trouve derrière la passerelleclient. Une réponse positive doit être semblable à ce qui suit.

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Si vous effectuez un test ping sur une instance à partir de votre routeur de passerelle client,veillez à ce que les messages ping proviennent d'une adresse IP interne, et non d'uneadresse IP de tunnel. Certaines AMI ne répondent pas aux messages ping envoyés depuisdes adresses IP de tunnels.

4. (Facultatif) Pour tester le basculement de tunnel, vous pouvez désactiver temporairement un destunnels sur votre passerelle client et répéter l'étape ci-dessus. Vous ne pouvez pas désactiver untunnel côté AWS de la connexion VPN.

Sur le côté de la passerelle Check Point, vous pouvez vérifier le statut du tunnel en exécutant la commandesuivante à partir de l'outil de ligne de commande en mode expert :

vpn tunnelutil

Dans les options qui s'affichent, sélectionnez 1 pour vérifier les associations IKE et 2 pour vérifier lesassociations IPsec.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de laconnexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyévia le tunnel 1 et qu'il a été chiffré.

22

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#vpn-configure-routing

https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/



23


Vue globale de la passerelle client

Exemple : périphérique Check Pointsans protocole de passerelle frontière(BGP)


Cette section contient les informations de configuration fournies par votre équipe d'intégration si votrepasserelle client est un périphérique Check Point Security Gateway fonctionnant sous R77.10 ou versionultérieure, et utilisant le système d'exploitation Gaia.




Rubriques• Vue globale de la passerelle client (p. 24)• Fichier de configuration (p. 25)• Configuration du périphérique Check Point (p. 26)• Comment tester la configuration de la passerelle client (p. 34)

Vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. La connexion VPN secompose de deux tunnels séparés. L'utilisation de tunnels redondants garantit une disponibilité continue encas de panne d'un périphérique.

24




Fichier de configuration

Fichier de configurationVotre équipe d'intégration peut vous fournir un fichier de configuration contenant les valeurs dont vousavez besoin pour configurer chaque tunnel, ainsi que les paramètres IKE et IPsec de votre périphériqueVPN. Le fichier de configuration inclut les instructions sur l'utilisation du portail web Gaia et de Check PointSmartDashboard pour configurer votre périphérique. Les mêmes étapes sont fournies dans la sectionsuivante.

Voici l'extrait d'un exemple de fichier de configuration. Le fichier contient deux sections : IPSec Tunnel#1 et IPSec Tunnel #2. Vous devez utiliser les valeurs fournies dans chaque section pour configurerchaque tunnel.


! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!

25


Configuration du périphérique Check Point

!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuration du périphérique Check PointLes procédures suivantes montrent comment configurer les tunnels VPN, les objets réseau et la sécurité devotre connexion VPN. Vous devez remplacer les exemples de valeurs dans les procédures par les valeursfournies dans le fichier de configuration.

Note

Pour plus d'informations, consultez l'article Check Point Security Gateway IPsec VPN to AmazonWeb Services VPC sur le Centre de support Check Point.

Rubriques• Étape 1 : Configurer l'interface du tunnel (p. 26)• Étape 2 : Configurer l'itinéraire statique (p. 28)• Étape 3 : Créer des objets réseau (p. 29)• Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec (p. 30)• Étape 5 : Configurer le pare-feu (p. 32)• Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS (p. 33)

Étape 1 : Configurer l'interface du tunnelLa première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de lapasserelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel,utilisez les informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Pourcréer le second tunnel, utilisez les valeurs fournies dans la section IPSec Tunnel #2 du fichier deconfiguration.

Pour configurer l'interface du tunnel

1. Ouvrez le portail Gaia de votre périphérique Check Point Security Gateway.2. Sélectionnez successivement Network Interfaces, Add, VPN tunnel.3. Dans la boîte de dialogue, configurez les paramètres comme suit et choisissez OK lorsque vous avez

terminé :

26




Étape 1 : Configurer l'interface du tunnel

• Pour VPN Tunnel ID, entrez une valeur unique, telle que 1.• Pour Peer, entrez un nom unique pour votre tunnel, tel que AWS_VPC_Tunnel_1 ouAWS_VPC_Tunnel_2.

• Vérifiez que Numbered est sélectionné et, pour Local Address, entrez l'adresse IP spécifiée pourCGW Tunnel IP dans le fichier de configuration (169.254.44.234, par exemple).

• Pour Remote Address, entrez l'adresse IP spécifiée pour VGW Tunnel IP dans le fichier deconfiguration (169.254.44.233, par exemple).

4. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui pardéfaut, choisissez clish en exécutant la commande suivante : clish

5. Pour tunnel 1, exécutez la commande suivante :

set interface vpnt1 mtu 1436

Pour tunnel 2, exécutez la commande suivante :

set interface vpnt2 mtu 1436

6. Répétez ces étapes pour créer un second tunnel, à l'aide des informations de la section IPSecTunnel #2 du fichier de configuration.

27


Étape 2 : Configurer l'itinéraire statique

Étape 2 : Configurer l'itinéraire statiqueDans cette étape, vous allez spécifier l'itinéraire statique du sous-réseau dans le VPC de chaque tunnelpour vous permettre d'acheminer le trafic via les interfaces de tunnel. Le second tunnel permet unbasculement en cas de problème avec le premier tunnel. Si un problème est détecté, la stratégie baséesur la route statique est supprimée de la table de routage et la deuxième route est activée. Vous devezégalement activer la passerelle Check Point pour effectuer un test ping sur l'autre extrémité du tunnel etvérifier que le tunnel est opérationnel.

Pour configurer les itinéraires statiques

1. Dans le portail Gaia, sélectionnez IPv4 Static Routes, Add.2. Spécifiez le CIDR de votre sous-réseau : par exemple, 10.28.13.0/24.3. Choisissez Add Gateway, IP Address.4. Entrez l'adresse IP spécifiée pour VGW Tunnel IP dans le fichier de configuration (par exemple,

169.254.44.233) et spécifiez une priorité égale à 1.5. Sélectionnez Ping.6. Répétez les étapes 3 et 4 pour le second tunnel, à l'aide de la valeur VGW Tunnel IP de la section

IPSec Tunnel #2 du fichier de configuration. Spécifiez une priorité égale à 2.

28

Amazon Virtual Private CloudGuide de l'administrateur réseauÉtape 3 : Créer des objets réseau

7. Choisissez Save.

Si vous utilisez un cluster, répétez les étapes ci-dessus pour les autres membres du cluster.

Étape 3 : Créer des objets réseauDans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IPpubliques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau entant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe videcomme espace réservé du domaine VPN.

Pour définir un nouvel objet réseau

1. Ouvrez Check Point SmartDashboard.2. Pour Groups, ouvrez le menu contextuel et choisissez Groups, Simple Group. Vous pouvez utiliser le

même groupe pour chaque objet réseau.3. Pour Network Objects, ouvrez le menu contextuel (clic droit) et choisissez New, Interoperable Device.

29


4. Pour Name, entrez le nom que vous avez fourni pour votre tunnel : AWS_VPC_Tunnel_1 ouAWS_VPC_Tunnel_2, par exemple.

5. Pour IPv4 Address, entrez l'adresse IP externe de la passerelle réseau privé virtuel fournie dans lefichier de configuration (54.84.169.196, par exemple). Enregistrez vos paramètres et fermez la boîtede dialogue.

6. Dans SmartDashboard, ouvrez les propriétés de votre passerelle et dans le volet des catégories,sélectionnez Topology.

7. Pour récupérer la configuration de l'interface, choisissez Get Topology.8. Dans la section VPN Domain, choisissez Manually defined, puis accédez au groupe simple vide que

vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.Note

Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré.Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par lanouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si ledomaine VPN est automatiquement dérivé.

9. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section IPSecTunnel #2 du fichier de configuration.

Note

Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces decluster. Utilisez les adresses IP spécifiées dans le fichier de configuration.

Étape 4 : Créer une communauté VPN, et configurerIKE et IPsecDans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vousajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également lesparamètres IKE (Internet Key Exchange) et IPsec.

Pour créer et configurer la communauté VPN, et les paramètres IKE et IPsec

1. A partir des propriétés de votre passerelle, choisissez IPSec VPN dans le volet des catégories.

30


2. Choisissez Communities, New, Star Community.3. Entrez un nom pour votre communauté (par exemple, AWS_VPN_Star), puis choisissez Center

Gateways dans le volet des catégories.4. Choisissez Add, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.5. Dans le volet des catégories, sélectionnez Satellite Gateways, Add, puis ajoutez les périphériques

interopérables que vous avez créés précédemment (AWS_VPC_Tunnel_1 et AWS_VPC_Tunnel_2) àla liste des passerelles participantes.

6. Dans le volet des catégories, sélectionnez Encryption. Dans la section Encryption Method, choisissezIKEv1 only. Dans la section Encryption Suite, choisissez Custom, Custom Encryption.

7. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez OKlorsque vous avez terminé :

• Propriétés IKE Security Association (Phase 1) :• Perform key exchange encryption with : AES-128• Perform data integrity with : SHA1

• Propriétés IPsec Security Association (Phase 2) :• Perform IPsec data encryption with : AES-128• Perform data integrity with : SHA-1

8. Dans le volet des catégories, sélectionnez Tunnel Management. Choisissez Set Permanent Tunnels,On all tunnels in the community. Dans la section VPN Tunnel Sharing, choisissez One VPN tunnel perGateway pair.

9. Dans le volet des catégories, développez Advanced Settings, puis choisissez Shared Secret.10. Sélectionnez le nom d'homologue du premier tunnel, choisissez Edit et entrez la clé prépartagée

comme indiqué dans le fichier de configuration dans la section IPSec Tunnel #1.11. Sélectionnez le nom d'homologue du second tunnel, choisissez Edit et entrez la clé prépartagée

comme indiqué dans le fichier de configuration dans la section IPSec Tunnel #2.

31

Amazon Virtual Private CloudGuide de l'administrateur réseauÉtape 5 : Configurer le pare-feu

12. Toujours dans la catégorie Advanced Settings, choisissez Advanced VPN Properties, configurez lespropriétés comme suit et sélectionnez OK lorsque vous avez terminé :

• IKE (Phase 1) :• Use Diffie-Hellman group : Group 2• Renegotiate IKE security associations every 480 minutes

• IPsec (Phase 2) :• Choisissez Use Perfect Forward Secrecy• Use Diffie-Hellman group : Group 2• Renegotiate IPsec security associations every 3600 seconds

Étape 5 : Configurer le pare-feuDans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles decorrespondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vousinstallez la stratégie sur votre passerelle.

Pour créer les règles de pare-feu

1. Dans SmartDashboard, sélectionnez Global Properties pour votre passerelle. Dans le volet descatégories, développez VPN, puis choisissez Advanced.

2. Choisissez Enable VPN Directional Match in VPN Column et enregistrez vos modifications.

32


Étape 6 : Activer la détection d'homologuemort et la restriction TCP MSS

3. Dans SmartDashboard, sélectionnez Firewall et créez une stratégie avec les règles suivantes :

• Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis.• Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

4. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez Edit Cell.5. Dans la boîte de dialogue VPN Match Conditions, choisissez Match traffic in this direction only. Créez

les règles de correspondance directionnelle suivantes en choisissant Add pour chaque règle, puis OKlorsque vous avez terminé :

• internal_clear > Communauté VPN (la communauté VPN que vous avez créée plus tôt : parexemple, AWS_VPN_Star)

• Communauté VPN > Communauté VPN• Communauté VPN > internal_clear

6. Dans SmartDashboard, choisissez Policy, Install.7. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez OK pour installer la stratégie.

Étape 6 : Activer la détection d'homologue mort et larestriction TCP MSSVotre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) poursavoir à quel moment une association IKE est arrêtée.

Pour configurer la DPD pour un tunnel permanent, le tunnel permanent doit être configuré dans lacommunauté AWS VPN (consultez l'étape 8 dans Étape 4 : Créer une communauté VPN, et configurer IKEet IPsec (p. 30)).

Par défaut, la propriété tunnel_keepalive_method pour une passerelle VPN est définie surtunnel_test. Vous devez modifier la valeur sur dpd. Chaque passerelle VPN de la communauté VPNqui nécessite une surveillance DPD doit être configurée avec la propriété tunnel_keepalive_method,notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes desurveillance pour la même passerelle.

Vous pouvez mettre à jour la propriété tunnel_keepalive_method en utilisant l'outil GuiDBedit.

Pour modifier la propriété tunnel_keepalive_method

1. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, DomainManagement Server.

2. Choisissez File, Database Revision Control... et créez un instantané de révision.3. Fermez toutes les fenêtres SmartConsole, telles que SmartDashboard, SmartView Tracker et

SmartView Monitor.4. Démarrez l'outil GuiBDedit. Pour plus d'informations, consultez l'article Check Point Database Tool sur

le Centre de support Check Point.5. Choisissez Security Management Server, Domain Management Server.6. Dans le volet supérieur gauche, choisissez Table, Network Objects, network_objects.7. Dans le volet supérieur droit, sélectionnez l'objet Security Gateway, Cluster approprié.8. Appuyez sur CTRL+F, ou utilisez le menu Search pour rechercher ce qui suit :

tunnel_keepalive_method.9. Dans le volet inférieur, ouvrez le menu contextuel pour tunnel_keepalive_method et sélectionnez

Edit... (Éditer...). Choisissez dpd, puis OK.10. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.11. Sélectionnez File, Save As.

33

http://supportcontent.checkpoint.com/solutions?id=sk13009



12. Fermez l'outil GuiDBedit.13. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, Domain

Management Server.14. Installez la stratégie sur l'objet Security Gateway, Cluster approprié.

Pour plus d'informations, consultez l'article Nouvelles fonction VPN dans R77.10 sur le Centre de supportCheck Point.

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentationdes paquets.

Pour activer la restriction TCP MSS

1. Accédez au répertoire suivant : C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Ouvrez Check Point Database Tool en exécutant le fichier GuiDBEdit.exe.3. Choisissez Table, Global Properties, properties.4. Pour fw_clamp_tcp_mss, choisissez Edit. Remplacez la valeur par true, puis choisissez OK.




1. Vérifiez que la passerelle client possède une route statique vers votre VPC, comme suggéré dans lesmodèles de configuration fournis par AWS.

2. Vérifiez qu'une route statique a été ajoutée à la connexion VPN pour permettre le retour du trafic versvotre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est 198.10.0.0/16,vous devez ajouter une route statique possédant cette plage d'adresses CIDR à votre connexion VPN.Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.




• Assurez-vous d'avoir configuré le routage pour votre connexion VPN - la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultezla section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.


1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir de la AWS

34





Management Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise enroute.



ping 10.0.0.4





Note



Sur le côté de la passerelle Check Point, vous pouvez vérifier le statut du tunnel en exécutant la commandesuivante à partir de l'outil de ligne de commande en mode expert :

vpn tunnelutil

Dans les options qui s'affichent, sélectionnez 1 pour vérifier les associations IKE et 2 pour vérifier lesassociations IPsec.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de laconnexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyévia le tunnel 1 et qu'il a été chiffré.

35





36


Une vue globale de la passerelle client

Exemple : périphérique CiscoASA (Adaptive Security Appliance,dispositif de sécurité adaptatif)


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Cisco ASA fonctionnant avec un logicielCisco ASA 8.2+.

Le schéma montre la disposition générale de la passerelle client. Vous devez utiliser les véritablesinformations de configuration que vous recevez de votre équipe d'intégration et les appliquer à votrepasserelle client.




Rubriques• Une vue globale de la passerelle client (p. 37)• Une exemple de configuration (p. 38)• Comment tester la configuration de la passerelle client (p. 42)

Une vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. La connexion VPN secompose de deux tunnels séparés. L'utilisation de tunnels redondants garantit une disponibilité continue encas de panne d'un périphérique.

37




Une exemple de configuration

Veuillez noter que certains systèmes Cisco ASA ne prennent en charge que le mode actif/en veille.Lorsque vous utilisez ces systèmes Cisco ASA, vous ne pouvez avoir qu'un seul tunnel actif à la fois.L'autre tunnel en veille devient actif si le premier tunnel devient inaccessible. Avec cette redondance, l'undes tunnels devrait toujours assurer la connexion à votre VPC.

Une exemple de configurationLa configuration présentée dans cette section est un exemple des informations de configuration que votreéquipe d'intégration doit fournir. L'exemple de configuration contient un ensemble d'informations pourchacun des tunnels que vous devez configurer.

L'exemple de configuration inclut des exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-12345678) et l'ID de passerelle réseau privé virtuel (vgw-12345678), et des espaces réservéspour les points de terminaison AWS (AWS_ENDPOINT_1 et AWS_ENDPOINT_2). Remplacez ces exemplesde valeur par les valeurs réelles des informations de configuration que vous recevez.

De plus, vous devez :

• Configurer l'interface externe.• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le numéro de séquence de la stratégie de la liste Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Vous assurer que le numéro de supervision du SLA est unique.

38



• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseaulocal.

Important

Les informations de configuration suivantes sont un exemple de ce que vous pouvez attendre devotre équipe d'intégration. Un grand nombre des valeurs dans l'exemple suivant sont différentesdes informations de configuration réelles que vous recevez. Vous devez utiliser les valeurs réelleset non pas les exemples de valeurs présentés ici sinon votre implémentation échoue.

! Amazon Web Services! Virtual Private Cloud!! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway. Only a single tunnel will be up at a! time to the VGW.! ! You may need to populate these values throughout the config based on your setup:! outside_interface - External interface of the ASA! outside_access_in - Inbound ACL on the external interface! amzn_vpn_map - Outside crypto map! vpc_subnet and vpc_subnet_mask - VPC address range! local_subnet and local_subnet_mask - Local subnet address range! sla_monitor_address - Target address that is part of acl-amzn to run SLA monitoring!! --------------------------------------------------------------------------------! IPSec Tunnels! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same or lower number depending on ! the encryption type. If so, we recommend changing the sequence number to ! avoid conflicts and overlap.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!crypto isakmp identity address crypto isakmp enable outside_interfacecrypto isakmp policy 201 encryption aes

39



authentication pre-share group 2 lifetime 28800 hash shaexit!! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group AWS_ENDPOINT_1 type ipsec-l2ltunnel-group AWS_ENDPOINT_1 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit!tunnel-group AWS_ENDPOINT_2 type ipsec-l2ltunnel-group AWS_ENDPOINT_2 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! --------------------------------------------------------------------------------! #2: Access List Configuration!! Access lists are configured to permit creation of tunnels and to send applicable traffic over them.! This policy may need to be applied to an inbound ACL on the outside interface that is used to manage control-plane traffic. ! This is to allow VPN traffic into the device from the Amazon endpoints.!access-list outside_access_in extended permit ip host AWS_ENDPOINT_1 host YOUR_UPLINK_ADDRESSaccess-list outside_access_in extended permit ip host AWS_ENDPOINT_2 host YOUR_UPLINK_ADDRESS!! The following access list named acl-amzn specifies all traffic that needs to be routed to the VPC. Traffic will! be encrypted and transmitted through the tunnel to the VPC. Association with the IPSec security association! is done through the "crypto map" command.!! This access list should contain a static route corresponding to your VPC CIDR and allow traffic from any subnet.! If you do not wish to use the "any" source, you must use a single access-list entry for accessing the VPC range.! If you specify more than one entry for this ACL without using "any" as the source, the VPN will function erratically.! The any rule is also used so the security association will include the ASA outside interface where the SLA monitor! traffic will be sourced from.! See section #4 regarding how to restrict the traffic going over the tunnel!!access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask

!---------------------------------------------------------------------------------! #3: IPSec Configuration!

40



! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. !crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac

! The crypto map references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime. The mapping is created! as #1, which may conflict with an existing crypto map using the same! number. If so, we recommend changing the mapping number to avoid conflicts.!crypto map amzn_vpn_map 1 match address acl-amzncrypto map amzn_vpn_map 1 set pfs group2crypto map amzn_vpn_map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map amzn_vpn_map 1 set transform-set transform-amzncrypto map amzn_vpn_map 1 set security-association lifetime seconds 3600!! Only set this if you do not already have an outside crypto map, and it is not applied:!crypto map amzn_vpn_map interface outside_interface!! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.!! This option instructs the firewall to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear-df outside_interface!! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128!! This option instructs the firewall to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption outside_interface!! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.sysopt connection tcpmss 1379!! In order to keep the tunnel in an active or always up state, the ASA needs to send traffic to the subnet! defined in acl-amzn. SLA monitoring can be configured to send pings to a destination in the subnet and! will keep the tunnel active. This traffic needs to be sent to a target that will return a response.! This can be manually tested by sending a ping to the target from the ASA sourced from the outside interface.! A possible destination for the ping is an instance within the VPC. For redundancy multiple SLA monitors ! can be configured to several instances to protect against a single point of failure.!! The monitor is created as #1, which may conflict with an existing monitor using the same! number. If so, we recommend changing the sequence number to avoid conflicts.!sla monitor 1 type echo protocol ipIcmpEcho sla_monitor_address interface outside_interface frequency 5exit

41



sla monitor schedule 1 life forever start-time now!! The firewall must allow icmp packets to use "sla monitor"icmp permit any outside_interface

!---------------------------------------------------------------------------------! #4: VPN Filter! The VPN Filter will restrict traffic that is permitted through the tunnels. By default all traffic is denied. ! The first entry provides an example to include traffic between your VPC Address space and your office.! You may need to run 'clear crypto isakmp sa', in order for the filter to take effect.!! access-list amzn-filter extended permit ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_maskaccess-list amzn-filter extended deny ip any anygroup-policy filter internalgroup-policy filter attributesvpn-filter value amzn-filtertunnel-group AWS_ENDPOINT_1 general-attributesdefault-group-policy filterexittunnel-group AWS_ENDPOINT_2 general-attributesdefault-group-policy filterexit

!---------------------------------------------------------------------------------------! #5: NAT Exemption! If you are performing NAT on the ASA you will have to add a nat exemption rule.! This varies depending on how NAT is set up. It should be configured along the lines of:! object network obj-SrcNet! subnet 0.0.0.0 0.0.0.0! object network obj-amzn! subnet vpc_subnet vpc_subnet_mask! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn! If using version 8.2 or older, the entry would need to look something like this:! nat (inside) 0 access-list acl-amzn! Or, the same rule in acl-amzn should be included in an existing no nat ACL.


Lorsque vous utilisez Cisco ASA comme passerelle client, un seul tunnel est en état « UP ». Le secondtunnel doit être configuré, mais il n'est utilisé que si le premier tunnel s'arrête. Le second tunnel ne peutpas être en état « UP » quand le premier tunnel est en état « UP ». Votre console affiche qu'un seul tunnelest en état « up » et montre que le second tunnel est en état « down ». Ce comportement est attendu destunnels de la passerelle client Cisco ASA puisque, en tant que passerelle client, ASA ne prend en chargequ'un seul tunnel en état « up » à la fois.


Tester la configuration de la passerelle client pour chaque tunnel

• Assurez-vous que la route statique a été ajoutée à la connexion VPN, de sorte que le traficpuisse revenir à votre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est198.10.0.0/16, ajoutez une route statique possédant cette plage d'adresses CIDR à votreconnexion VPN. Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.

42








1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir d'AWSManagement Console. Pour plus d'informations, consultez la Amazon VPC Guide de mise en route.


3. Sur un système de votre réseau domestique, utilisez la commande ping avec l'adresse IP de l'instance.Vérifiez que l'ordinateur depuis lequel vous effectuez le test ping se trouve derrière la passerelle client.Une réponse positive doit être semblable à ce qui suit.

ping 10.0.0.4





Note

Si vous effectuez un test ping d'une instance depuis votre routeur de passerelle client, veillezà ce que les messages ping proviennent d'une adresse IP interne, et non d'une adresse IP detunnel. Certaines AMI ne répondent pas aux messages ping envoyés depuis des adresses IPde tunnels.

4. (Facultatif) Pour tester le basculement des tunnels, vous pouvez désactiver temporairement un destunnels sur votre passerelle client et répéter l'étape ci-dessus. Vous ne pouvez pas désactiver untunnel côté AWS de la connexion VPN.

Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientCisco ASA (p. 177).

43





Exemple : Appareil Cisco ASA avecune interface de tunnel virtuelle et leprotocole Border Gateway Protocol


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Cisco ASA fonctionnant avec un logicielCisco ASA 9.7.1+.




Rubriques• Une vue globale de la passerelle client (p. 44)• Exemple de configuration (p. 45)• Comment tester la configuration de la passerelle client (p. 51)


44




Exemple de configuration

Les systèmes Cisco ASA version 9.7.1 ou ultérieure prennent en charge le mode actif/actif. Lorsquevous utilisez ces systèmes Cisco ASA, vous pouvez avoir les deux tunnels actifs à la fois. Avec cetteredondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Exemple de configurationLa configuration présentée dans cette section est un exemple des informations de configuration que votreéquipe d'intégration doit fournir. L'exemple de configuration contient un ensemble d'informations pourchacun des tunnels que vous devez configurer.


En outre, vous devez effectuer les opérations suivantes :

• Configurer l'interface externe.• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.

45



Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!

crypto ikev1 enable 'outside_interface'

crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!

46



crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit

! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.

crypto ipsec df-bit clear-df 'outside_interface'

! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.

sysopt connection tcpmss 1379

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!

47



! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.

interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit

! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.197 remote-as 7224 neighbor 169.254.33.197 timers 10 30 30 neighbor 169.254.33.197 default-originate neighbor 169.254.33.197 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summaryno synchronization exit-address-familyexit!

! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!

48



! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac






49





! -------------------------------------------------------------------------


! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.


! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!

50



! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.193 remote-as 7224 neighbor 169.254.33.193 timers 10 30 30 neighbor 169.254.33.193 default-originate neighbor 169.254.33.193 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summary no synchronization exit-address-familyexit!


Lorsque vous utilisez Cisco ASA comme passerelle client en mode routé, les deux tunnels sont à l'état« UP ».



• Assurez-vous que les routes sont publiées correctement avec BGP et apparaissent dans une table deroutage pour que le trafic puisse revenir à votre passerelle client. Par exemple, si le préfixe de votresous-réseau local est 198.10.0.0/16, vous devez le publier via BGP. Assurez-vous que les deuxtunnels sont configurés avec le routage BGP.





51





1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir d'AWSManagement Console. Pour plus d'informations, consultez la Amazon VPC Guide de mise en route.



ping 10.0.0.4





Note




52




Exemple : Appareil Cisco ASA avecune interface de tunnel virtuelle (sansprotocole Border Gateway Protocol)


Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un périphérique Cisco ASA fonctionnant avec un logiciel CiscoASA 9.7.1+ et que vous souhaitez configurer une connexion VPN à routage statique.




Rubriques• Une vue globale de la passerelle client (p. 53)• Exemple de configuration (p. 54)• Comment tester la configuration de la passerelle client (p. 59)


53





Les systèmes Cisco ASA version 9.7.1 ou ultérieure prennent en charge le mode actif/actif. Lorsquevous utilisez ces systèmes Cisco ASA, vous pouvez avoir les deux tunnels actifs à la fois. Avec cetteredondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Exemple de configurationLa configuration présentée dans cette section est un exemple des informations de configuration que votreéquipe d'intégration doit fournir. L'exemple de configuration contient un ensemble d'informations pourchacun des tunnels que vous devez configurer.


En outre, vous devez effectuer les opérations suivantes :

• Configurer l'interface externe.• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.

54




Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec

55



! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------


56





! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-0 10.0.0.0 255.255.0.0 169.254.33.197 100 ! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201

57



encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.

58



!tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit



! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-1 10.0.0.0 255.255.0.0 169.254.33.193 200


Lorsque vous utilisez Cisco ASA comme passerelle client en mode routé, les deux tunnels sont à l'état« UP ».


59




• Assurez-vous que la route statique a été ajoutée à la connexion VPN, de sorte que le traficpuisse revenir à votre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est198.10.0.0/16, ajoutez une route statique possédant cette plage d'adresses CIDR à votreconnexion VPN. Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.






1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir de la AWSManagement Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise enroute.



ping 10.0.0.4





Note



60







61



Exemple : périphérique CiscoIOS (Adaptive Security Appliance,dispositif de sécurité adaptatif)


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Cisco IOS fonctionnant avec un logicielCisco IOS 12.4 (ou ultérieure).

Deux schémas illustrent l'exemple de configuration. Le premier schéma montre la disposition généralede la passerelle client, et le second schéma illustre des détails de l'exemple de configuration. Vous devezutiliser les véritables informations de configuration que vous recevez de votre équipe d'intégration et lesappliquer à votre passerelle client.




Rubriques• Une vue globale de la passerelle client (p. 62)• Une vue détaillée de la passerelle client et un exemple de configuration (p. 63)• Comment tester la configuration de la passerelle client (p. 70)


62




Une vue détaillée de la passerelleclient et un exemple de configuration

Une vue détaillée de la passerelle client et unexemple de configuration

Le diagramme de cette section illustre un exemple de passerelle client IOS Cisco. Le schéma est suivi d'unexemple correspondant aux informations de configuration que l'équipe d'intégration doit fournir. L'exemplede configuration contient un ensemble d'informations pour chacun des tunnels que vous devez configurer.

De plus, l'exemple de configuration fait référence aux éléments que vous devez fournir :

• YOUR_UPLINK_ADDRESS—L'adresse IP de l'interface externe routable par Internet sur la passerelleclient. L'adresse doit être statique et peut se trouver derrière un périphérique exécutant une traductiond'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puisse fonctionner, vous devezajuster vos règles de pare-feu pour débloquer le port UDP 4500.

• YOUR_BGP_ASN—La version du moteur de cache de la passerelle client (nous utilisons 65 000 pardéfaut)

L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de la connexionVPN (vpn-44a8938f), l'ID de la passerelle réseau privé virtuel (vgw-8db04f81), les adresses IP de lapasserelle (72.21.209.*, 169.254.255.*) et l'ASN (Autonomous System Number, numéro de systèmeautonome) à distance (7224). Remplacez ces exemples de valeur par les valeurs réelles des informationsde configuration que vous recevez.


• Configurer l'interface externe• Configurer les ID d'interface du tunnel (appelés Tunnel1 et Tunnel2 dans l'exemple de configuration).

63



• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.

Dans le schéma et l'exemple de configuration suivants, vous devez remplacer les valeurs d'espace réservéindiquées par un texte en italique coloré par des valeurs qui s'appliquent à votre configuration en particulier.

Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier ! and is associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! -------------------------------------------------------------------------! IPsec Tunnel #1! -------------------------------------------------------------------------

64



! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.225 key plain-text-password1exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.225 keyring keyring-vpn-44a8938f-0exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.

65



!crypto ipsec profile ipsec-vpn-44a8938f-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-0exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption

! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.255.2 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.225 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

66



! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 activate neighbor 169.254.255.1 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 timers 10 30 30 neighbor 169.254.255.1 default-originate neighbor 169.254.255.1 activate neighbor 169.254.255.1 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit

! -------------------------------------------------------------------------! IPsec Tunnel #2! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800

67



hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.193 key plain-text-password2exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.193 keyring keyring-vpn-44a8938f-1exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-1exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).

68



!crypto ipsec fragmentation before-encryption

! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your Cloud.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 activate neighbor 169.254.255.5 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 timers 10 30 30 neighbor 169.254.255.5 default-originate neighbor 169.254.255.5 activate neighbor 169.254.255.5 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop.

69



network 0.0.0.0 exitexit
















ping 10.0.0.4


70








Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelleclient Cisco IOS (Internetwork Operating System, système d'exploitation pour la connexion desréseaux) (p. 180).

71



Exemple : périphérique Cisco IOS(Internetwork Operating System,système d'exploitation pour laconnexion des réseaux) sans BorderGateway Protocol


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un routeur de services intégrés Cisco fonctionnant avec unlogiciel Cisco IOS.

Deux schémas illustrent l'exemple de configuration. Le premier schéma montre la disposition généralede la passerelle client, et le second schéma illustre des détails de l'exemple de configuration. Vous devezutiliser les véritables informations de configuration que vous recevez de votre équipe d'intégration et lesappliquer à votre passerelle client.




Rubriques• Une vue globale de la passerelle client (p. 72)• Une vue détaillée de la passerelle client et un exemple de configuration (p. 73)• Comment tester la configuration de la passerelle client (p. 79)


72





Une vue détaillée de la passerelle client et unexemple de configuration

Dans cette section, le schéma illustre un exemple de passerelle client Cisco IOS (sans BGP). Le schémaest suivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vousdevez configurer.

De plus, l'exemple de configuration fait référence à cet élément que vous devez fournir :


L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de la connexionVPN (vpn-1a2b3c4d), l'ID de la passerelle réseau privé virtuel (vgw-12345678) et les adresses IP(205.251.233.*, 169.254.255.*). Remplacez ces exemples de valeur par les valeurs réelles des informationsde configuration que vous recevez.


• Configurer l'interface externe.• Configurer les ID d'interface du tunnel (appelés Tunnel1 et Tunnel2 dans l'exemple de configuration).

73



• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Vous assurer que le numéro de supervision du SLA est unique.• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.


Warning


! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

74



! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-0 local-address CUSTOMER_IP pre-shared-key address 205.251.233.121 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-0 local-address CUSTOMER_IP match identity address 205.251.233.121 keyring keyring-vpn-1a2b3c4d-0exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-0exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order

75



! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.249.18 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #100, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 100 icmp-echo 169.254.249.17 source-interface Tunnel1 timeout 1000 frequency 5exitip sla schedule 100 life forever start-time nowtrack 100 ip sla 100 reachability ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,

76



! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-1 local-address CUSTOMER_IP pre-shared-key address 205.251.233.122 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-1 local-address CUSTOMER_IP match identity address 205.251.233.122 keyring keyring-vpn-1a2b3c4d-1exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-1exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment"

77



! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.249.22 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.122 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #200, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 200 icmp-echo 169.254.249.21 source-interface Tunnel2 timeout 1000

78



frequency 5exitip sla schedule 200 life forever start-time nowtrack 200 ip sla 200 reachability ! --------------------------------------------------------------------------------




1. Vérifiez que la passerelle client possède une route statique vers votre VPC, comme suggéré dans lesmodèles de configuration fournis par AWS.

2. Vérifiez qu'une route statique a été ajoutée à la connexion VPN pour permettre le retour du trafic versvotre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est 198.10.0.0/16,vous devez ajouter une route statique possédant cette plage d'adresses CIDR à votre connexion VPN.Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.






1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir de la AWSManagement Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise enroute.



ping 10.0.0.4


Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

79






Reply from 10.0.0.4: bytes=32 time<1ms TTL=128



Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientCisco IOS sans connectivité BGP (Border Gateway Protocol) (p. 185).

80


Présentation globale de la passerelle client

Exemple : appareil SonicWALL


Cette rubrique présente un exemple de configuration de votre routeur si votre passerelle client est unrouteur SonicWALL.




Rubriques• Présentation globale de la passerelle client (p. 81)• Exemple de fichier de configuration (p. 82)• Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion (p. 86)• Comment tester la configuration de la passerelle client (p. 86)

Présentation globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. La connexion VPN secompose de deux tunnels distincts : Tunnel 1 et Tunnel 2. L'utilisation de tunnels redondants garantit unedisponibilité continue en cas de panne d'un périphérique.

81




Exemple de fichier de configuration

Exemple de fichier de configurationLe fichier de configuration téléchargé à partir de la console Amazon VPC comprend les valeurs nécessairespour utiliser les outils de ligne de commande d'OS 6.2 afin de configurer chaque tunnel et les paramètresIKE et IPsec de votre appareil SonicWALL.

Important

Les informations de configuration suivantes utilisent des exemples de valeurs. Vous devez utiliserles valeurs réelles et non pas les exemples de valeurs présentés ici sinon votre implémentationéchoue.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:

82



! <vpc_subnet> - VPC address range!! IPSec Tunnel !1! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

83



! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.44.242 netmask 255.255.255.252!!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.242 remote-as 7224neighbor 169.254.44.242 timers 10 30neighbor 169.254.44.242 soft-reconfiguration inboundendwriteexitcommitend!! IPSec Tunnel #2! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXT

84



ike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225 end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.44.114 netmask 255.255.255.252!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgp

85


Configuration de l'appareil SonicWALLà l'aide de l'interface de gestion

configure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.114 remote-as 7224neighbor 169.254.44.114 timers 10 30neighbor 169.254.44.114 soft-reconfiguration inboundendwriteexitcommitend

Configuration de l'appareil SonicWALL à l'aide del'interface de gestion

Vous pouvez également configurer le dispositif SonicWALL à l'aide de l'interface de gestion SonicOS.Pour plus d'informations, consultez Configuration de l'appareil SonicWALL à l'aide de l'interface degestion (p. 92).

Vous ne pouvez pas configurer BGP pour le dispositif à l'aide de l'interface de gestion. A la place, utilisezles instructions de ligne de commande fournies dans l'exemple de fichier de configuration ci-dessus, sousla section nommée BGP.











• Assurez-vous d'avoir configuré le routage pour votre connexion VPN : la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultez

86



la section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.





ping 10.0.0.4





Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientsur un périphérique générique utilisant un BGP (Border Gateway Protocol) (p. 199).

87





Exemple : appareilSonicWALL SonicOS sans BGP(Border Gateway Protocol)


Cette rubrique présente un exemple sur la façon de configurer votre routeur si votre passerelle client est unrouteur SonicWALL qui exécute SonicOS 5.9 ou 6.2.




Rubriques• Présentation globale de la passerelle client (p. 88)• Exemple de fichier de configuration (p. 89)• Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion (p. 92)• Comment tester la configuration de la passerelle client (p. 94)


88





Exemple de fichier de configurationLe fichier de configuration téléchargé à partir de la console Amazon VPC comprend les valeurs nécessairespour utiliser les outils de ligne de commande d'OS 6.2 et configurer chaque tunnel et les paramètres IKE etIPsec de votre appareil SonicWALL.

Important

Les informations de configuration suivantes utilisent des exemples de valeurs. Vous devez utiliserles valeurs réelles et non pas les exemples de valeurs présentés ici sinon votre implémentationéchoue.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496

89



! ! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC IP address range! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193 end

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.

! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3

90



! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.255.6 netmask 255.255.255.252exit!! ! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T1 metric 1 source any destination name AWSVPC service any gateway 169.254.255.5! IPSec Tunnel !2 ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-2gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225end!

! #2: IPSec Configuration

91



! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128 proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enable commit end!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.!! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.255.2 netmask 255.255.255.252!! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T2 metric 1 source any destination name AWSVPC service any gateway 169.254.255.1

Configuration de l'appareil SonicWALL à l'aide del'interface de gestion

La procédure suivante montre comment configurer les tunnels VPN sur l'appareil SonicWALL à l'aide del'interface de gestion SonicOS. Vous devez remplacer les exemples de valeurs dans les procédures par lesvaleurs fournies dans le fichier de configuration.

92



Pour configurer les tunnels

1. Ouvrez l'interface de gestion SonicOS SonicWALL.2. Dans le volet de gauche, sélectionnez VPN, Settings. Sous VPN Policies, choisissez Add....3. Dans la fenêtre de stratégie VPN de l'onglet General , renseignez les informations suivantes :

• Type de stratégie : Choisissez Tunnel Interface.• Authentication Method : choisissez IKE using Preshared Secret.• Name : entrez un nom pour la stratégie VPN. Nous vous recommandons d'utiliser le nom de l'ID de

VPN, tel que fourni dans le fichier de configuration.• IPsec Primary Gateway Name or Address : entrez l'adresse IP de la passerelle réseau privé

virtuel (point de terminaison AWS) telle que fournie dans le fichier de configuration ; par exemple,72.21.209.193.

• IPsec Secondary Gateway Name or Address : laissez la valeur par défaut.• Shared Secret : entrez la clé pré-partagée, telle que fournie dans le fichier de configuration, puis

entrez-la à nouveau dans Confirm Shared Secret.• Local IKE ID : entrez l'adresse IPv4 de la passerelle client (l'appareil SonicWALL).• Peer IKE ID : entrez l'adresse IPv4 de la passerelle réseau privé virtuel (point de terminaison AWS).

4. Dans l'onglet Network, renseignez les informations suivantes :

• Sous Local Networks, choisissez Any address. Nous recommandons cette option afin d'éviter desproblèmes de connectivité à partir de votre réseau local.

• Sous Remote Networks, choisissez Choose a destination network from list. Créez un objet d'adresseavec le CIDR de votre VPC dans AWS.

5. Dans l'onglet Proposals, renseignez les informations suivantes.

• Sous IKE (Phase 1) Proposal, procédez comme suit :• Exchange : choisissez Main Mode.• DH Group : entrez une valeur pour le groupe Diffie-Hellman ; par exemple, 2.• Encryption : choisissez AES-128 ou AES-256.• Authentication : choisissez SHA1 ou SHA256.• Life Time : entrez 28800.

• Sous IKE (Phase 2) Proposal, procédez comme suit :• Protocol : choisissez ESP.• Encryption : choisissez AES-128 ou AES-256.• Authentication : choisissez SHA1 ou SHA256.• Cochez la case Enable Perfect Forward Secrecy, puis choisissez le groupe Diffie-Hellman.• Life Time : entrez 3600.

Important

Si vous avez créé votre passerelle réseau privé virtuel avant octobre 2015, vous devezspécifier Diffie-Hellman group 2, AES-128 et SHA1 pour les deux phases.

6. Dans l'onglet Advanced, renseignez les informations suivantes :

• Sélectionnez Enable Keep Alive.• Sélectionnez Enable Phase2 Dead Peer Detection et entrez les informations suivantes :

• Pour Dead Peer Detection Interval, entrez 60 (c'est le minimum que l'appareil SonicWALLaccepte).

• Pour Failure Trigger Level, entrez 3. 93



• Pour VPN Policy bound to, sélectionnez Interface X1. C'est l'interface qui est généralement désignéepour les adresses IP publiques.

7. Choisissez OK. Sur la page Settings, la case Enable pour le tunnel doit être cochée par défaut. Unpoint vert indique que le tunnel fonctionne.


Vous devez d'abord tester la configuration de la passerelle pour chaque tunnel.


• Sur votre passerelle client, vérifiez que vous avez ajouté une route statique à l'espace d'adresse IP duCIDR VPC pour l'utilisation de l'interface tunnel.




• Assurez-vous d'avoir configuré le routage pour votre connexion VPN ; la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultezla section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.


1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontdisponibles dans le menu Quick Start lorsque vous utilisez l'assistant Lancer des instances dans laAWS Management Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide demise en route.


3. Sur un système de votre réseau domestique, utilisez la commande ping avec l'adresse IP de l'instance.Vérifiez que l'ordinateur depuis lequel vous effectuez le test ping se trouve derrière la passerelle client.Une réponse positive doit être semblable à ce qui suit:

ping 10.0.0.4




Approximate round trip times in milliseconds:

94






Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Si vous effectuez un test ping d'une instance depuis votre routeur de passerelle client, veillez à ceque les messages ping proviennent d'une adresse IP interne, et non d'une adresse IP de tunnel.Certaines AMI ne répondent pas aux messages ping envoyés depuis des adresses IP de tunnels.


95



Exemple : Périphérique FortinetFortigate


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un appareil Fortinet Fortigate 40+.

Deux schémas illustrent l'exemple de configuration. Le premier schéma montre la disposition globale de lapasserelle client et le second schéma décrit les détails de l'exemple de configuration. Vous devez utiliserles véritables informations de configuration que vous recevez de la part de l'équipe d'intégration et lesappliquer à votre passerelle client.




Rubriques• Présentation globale de la passerelle client (p. 96)• Présentation détaillée de la passerelle client et exemple de configuration (p. 97)• Comment tester la configuration de la passerelle client (p. 105)

Présentation globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. La connexion VPN secompose de deux tunnels séparés. L'utilisation de tunnels redondants garantit une disponibilité continue encas de panne d'un périphérique.

96




Présentation détaillée de la passerelleclient et exemple de configuration

Présentation détaillée de la passerelle client etexemple de configuration

Dans cette section, le schéma décrit un exemple de passerelle client Fortinet. Le schéma est suivi d'unexemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.


• YOUR_UPLINK_ADDRESS—Spécifiez l'adresse IP pour l'interface externe routable sur Internet de lapasserelle client (l'adresse doit être statique et peut se trouver derrière un périphérique exécutant uneNAT (Network Address Translation, traduction d'adresses réseau)).




97



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be

98



! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. ! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. ! ! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.193 set psksecret plain-text-password1 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-0" set phase1name "vpn-44a8938f-0" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

99



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-0" set vdom "root" set ip 169.254.255.2 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.1 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.1 set remote-as 7224 end

100



! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.1 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-0"set dstintf internal set srcaddr all

101



set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-0" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.225 set psksecret plain-text-password2 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration!

102



! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-1" set phase1name "vpn-44a8938f-1" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-1" set vdom "root" set ip 169.254.255.6 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.5 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)

103



! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.5 set remote-as 7224 end

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.5 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

!! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa

104



!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-1"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-1" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------









105










ping 10.0.0.4





Note



106





Exemple : dispositif J-Series JunOS


Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un routeur Juniper J-Series exécutant le logiciel JunOS 9.5 (ouultérieur).







107






Dans cette section, le schéma décrit un exemple de passerelle client Juniper JunOS. Le schéma est suivid'un exemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.


• YOUR_UPLINK_ADDRESS—Adresse IP de l'interface externe routable par Internet sur la passerelleclient. L'adresse doit être statique et peut se trouver derrière un périphérique exécutant une traductiond'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puisse fonctionner, vous devezajuster vos règles de pare-feu pour débloquer le port UDP 4500.




• Configurer l'interface externe (appelée ge-0/0/0.0 dans l'exemple de configuration).

108



• Configurer les ID d'interface du tunnel (appelés st0.1 et st0.2 dans l'exemple de configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.• Identifiez la zone de sécurité pour l'interface de liaison montante (les informations de configuration ci-

après utilisent la zone « untrust » par défaut).• Identifiez la zone de sécurité pour l'interface interne (les informations de configuration ci-après utilisent la

zone « trust » par défaut).

Dans le schéma et l'exemple de configuration suivants, vous devez remplacer les éléments en italiquerouge par des valeurs qui s'appliquent à votre configuration en particulier.

Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.#

109



# -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2

# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-0set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225

# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all

# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.

110



# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600

# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-0

# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection

# #3: Tunnel Interface Configuration#

# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1

# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike

# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp

# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387

# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.

111



# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject

set protocols bgp group ebgp type external

set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway

112



# configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600





113







# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN

114


















ping 10.0.0.4




115






Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientJuniper JunOS (p. 190).

116



Exemple : dispositif JunOS SRXJuniper


Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un routeur Juniper SRX exécutant le logiciel JunOS 11.0 (ouultérieur).







117






Dans cette section, le schéma décrit un exemple de passerelle client Juniper JunOS 11.0+. Le schémaest suivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vousdevez configurer.






• Configurer l'interface externe (appelée ge-0/0/0.0 dans l'exemple de configuration).

118



• Configurer les ID d'interface du tunnel (appelés st0.1 et st0.2 dans l'exemple de configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.• Identifiez la zone de sécurité pour l'interface de liaison montante (les informations de configuration ci-

après utilisent la zone « untrust » par défaut).• Identifiez la zone de sécurité pour l'interface interne (les informations de configuration ci-après utilisent la

zone « trust » par défaut).


Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.#

119



# -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.

120



# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600









# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.

121



# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway

122



# configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-2set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193set security ike gateway gw-vpn-44a8938f-2 no-nat-traversal


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600





123







# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN

124


















ping 10.0.0.4




125






Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientJuniper JunOS (p. 190).

126



Exemple : dispositif JuniperScreenOS


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un appareil Juniper SSG ou un Netscreen series exécutantle logiciel Juniper ScreenOS.







127






Dans cette section, le schéma décrit un exemple de passerelle client Juniper ScreenOS. Le schéma estsuivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient des informations pour chacun des tunnels que vous devezconfigurer.






• Configurer l'interface externe (appelée ethernet0/0 dans l'exemple de configuration).

128



• Configurer les ID d'interface du tunnel (appelés tunnel.1 et tunnel.2 dans l'exemple deconfiguration).



Warning

Les informations de configuration suivantes sont un exemple de ce que vous pouvez attendre devotre équipe d'intégration. Un grand nombre des valeurs dans l'exemple ci-après sont différentesdes informations de configuration que vous recevez. Vous devez utiliser les valeurs réelles et nonpas les exemples de valeurs présentés ici sinon votre implémentation échoue.Important

La configuration ci-dessous est appropriée pour ScreenOS versions 6.2 et ultérieures. Vouspouvez télécharger une configuration qui est spécifique à ScreenOS version 6.1. Dans la boîtede dialogue Download Configuration, sélectionnez Juniper Networks, Inc. dans la listeVendor, SSG and ISG Series Routers dans la liste Platform et ScreenOS 6.1 dans la listeSoftware.

# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of a VPN # Connection. Each VPN Connection is assigned a VPN Connection Identifier# and is associated with two other identifiers, namely the Customer Gateway# Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961

129



## This configuration consists of two tunnels. Both tunnels must be configured# on your Customer Gateway.## This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.## --------------------------------------------------------------------------------# IPsec Tunnel #1# --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.##If the address changes, the Customer Gateway and VPN Connection must be recreated.#

set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ike-prop-vpn-44a8938f-1

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10

130



set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal ipsec-prop-vpn-44a8938f-1

# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.#

set interface tunnel.1 zone Trustset interface tunnel.1 ip 169.254.255.2/30set interface tunnel.1 mtu 1436set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.#

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0). ## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop.

set enableset neighbor 169.254.255.1 remote-as 7224set neighbor 169.254.255.1 enable

131



exitexitset interface tunnel.1 protocol bgp

# -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#

set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.## This address is configured with the setup for your Customer Gateway. If the# address changes, the Customer Gateway and VPN Connection must be recreated.#set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ike-prop-vpn-44a8938f-2

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal ipsec-prop-vpn-44a8938f-2

132



# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.

set interface tunnel.2 zone Trustset interface tunnel.2 ip 169.254.255.6/30set interface tunnel.2 mtu 1436set vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0).## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop. set enableset neighbor 169.254.255.5 remote-as 7224set neighbor 169.254.255.5 enableexitexitset interface tunnel.2 protocol bgp

133


















ping 10.0.0.4




134






Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientJuniper ScreenOS (p. 193).

135



Exemple : appareil Netgate PfSensesans protocole de passerelle frontière(BGP)


Cette rubrique présente un exemple de la façon de configurer votre routeur si votre passerelle client est unpare-feu Netgate pfSense qui exécute OS 2.2.5 ou version ultérieure.




Rubriques• Présentation globale de la passerelle client (p. 136)• Exemple de configuration (p. 137)• Comment tester la configuration de la passerelle client (p. 140)


Vous devez utiliser les véritables informations de configuration que vous recevez de la part de l'équiped'intégration et les appliquer à votre passerelle client.

136





Exemple de configurationL'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-12345678), l'ID de passerelle réseau privé virtuel (vgw-12345678) et des espaces réservés pourles points de terminaison AWS (AWS_ENDPOINT_1 et AWS_ENDPOINT_2).

Dans l'exemple de configuration suivants, vous devez remplacer les valeurs d'espace réservé indiquéespar un texte en italique coloré par des valeurs qui s'appliquent à votre configuration en particulier.

Important

Les informations de configuration suivantes sont un exemple de ce que vous pouvez espérerqu'une équipe d'intégration vous fournisse. Un grand nombre des valeurs dans l'exemple suivantsont différentes des informations de configuration réelles que vous recevez. Vous devez utiliserles valeurs réelles et non pas les exemples de valeurs présentés ici sinon votre implémentationéchoue.


! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the

137



! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway for redundancy.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_1 f. Description: Amazon-IKE-vpn-12345678-0 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password1 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration!

138



! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-0 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.

! --------------------------------------------------------------------------------

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_2 f. Description: Amazon-IKE-vpn-12345678-1 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address

139



d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password2 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-1 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.




• Dans la console Amazon VPC assurez-vous qu'une route statique a été ajoutée à la connexion VPN,de sorte que le trafic puisse revenir à votre passerelle client. Par exemple, si le préfixe de votresous-réseau local est 198.10.0.0/16, vous devez ajouter une route statique possédant cette plaged'adresses CIDR à votre connexion VPN. Veillez à ce que les deux tunnels disposent d'une routestatique vers votre VPC.

140








1. Lancez une instance à partir d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linuxsont disponibles dans le menu Quick Start lorsque vous utilisez l'assistant de lancement d'instancedans la console Amazon EC2. Pour plus d'informations, consultez la section Lancement d'une instancedans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.



ping 10.0.0.4





Note



141


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html



Exemple : périphérique réseau PaloAlto


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Palo Alto Networks PANOS 4.1.2+.







142






Dans cette section, le schéma illustre un exemple de passerelle client Palo Alto. Le schéma est suivid'un exemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.


• YOUR_UPLINK_ADDRESS— - l'adresse IP de l'interface externe routable par Internet sur la passerelleclient (qui doit être statique et peut se trouver derrière un périphérique en train d'effectuer une traductiond'adresses réseau (NAT) ; NAT-T (NAT traversal) n'est cependant pas pris en charge).




143



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!

144



!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-0 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-0 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchange-mode main set authentication pre-shared-key key plain-text-password1 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.193 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

145



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.5/30 set units tunnel.1 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-1 set auto-key ike-gateway ike-vpn-44a8938f-0 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0 set tunnel-interface tunnel.1 set anti-replay yes

! --------------------------------------------------------------------------------


edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-0 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.5/30

146



set local-address interface tunnel.1 set peer-as 7224 set peer-address ip 169.254.255.2 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.

edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-1 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-1

147



set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchange-mode main set authentication pre-shared-key key plain-text-password2 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.225 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.1/30 set units tunnel.2 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-2 set auto-key ike-gateway ike-vpn-44a8938f-1 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1 set tunnel-interface tunnel.2 set anti-replay yes

148




edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-1 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.1/30 set local-address interface tunnel.2 set peer-as 7224 set peer-address ip 169.254.255.6.113 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.


! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

149


















ping 10.0.0.4




150






Note



151



Exemple : périphérique Yamaha


Dans cette section, vous trouverez un exemple des informations de configuration fournies par votre équiped'intégration si votre passerelle client est un routeur Yamaha RT107e, RTX1200, RTX1210, RTX1500,RTX3000 ou SRT100.







152






Dans cette section, le schéma illustre un exemple de passerelle client Yamaha. Le schéma est suivi d'unexemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.



• YOUR_LOCAL_NETWORK_ADDRESS—Adresse IP attribuée à l'interface LAN connectée à votre réseaulocal (le plus probablement, une adresse privée telle que 192.168.0.1)



De plus, vous devez également :

153



• Configurer l'interface externe (appelée LAN3 dans l'exemple de configuration).• Configurer les ID d'interface du tunnel (appelés Tunnel #1 et Tunnel #2 dans l'exemple de

configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.


Warning

Les informations de configuration suivantes sont un exemple de ce que vous pouvez attendre devotre équipe d'intégration. Un grand nombre des valeurs dans l'exemple suivant sont différentesdes informations de configuration réelles que vous recevez. Vous devez utiliser les valeurs réelleset non pas les exemples de valeurs présentés ici. Sinon, votre implémentation échoue.

# Amazon Web Services # Virtual Private Cloud # AWS utilizes unique identifiers to manage the configuration of # a VPN Connection. Each VPN Connection is assigned an identifier and is # associated with two other identifiers, namely the # Customer Gateway Identifier and Virtual Private Gateway Identifier. # # Your VPN Connection ID : vpn-44a8938f # Your Virtual Private Gateway ID : vgw-8db04f81 # Your Customer Gateway ID : cgw-b4dc3961 # # # This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway. # # -------------------------------------------------------------------------------- # IPsec Tunnel #1 # --------------------------------------------------------------------------------

154



# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 1 ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha # This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 1 text plain-text-password1

# #2: IPsec Configuration # The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPSec policies, each identified by # sequence number. This policy is defined as #201, which may conflict with# an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.# ipsec tunnel 201 ipsec sa policy 201 1 esp aes-cbc sha-hmac # The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime. ipsec ike duration ipsec-sa 1 3600 ipsec ike pfs 1 on # Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

155



# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational. ipsec ike keepalive use 1 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS ipsec ike remote address 1 72.21.209.225ipsec ike local address id <id> 0.0.0.0/0ipsec ike remote address id <id> 0.0.0.0/0ip tunnel address 169.254.255.2/30 ip tunnel remote address 169.254.255.1 # This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation ip tunnel tcp mss limit 1387tunnel enable 1tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.

156



# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

# -------------------------------------------------------------------------------- # IPsec Tunnel #2 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 2 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha

# This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 2 text plain-text-password2

# #2: IPsec Configuration

# The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPsec policies, each identified by # sequence number. This policy is defined as #202, which may conflict with # an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts. #

ipsec tunnel 202ipsec sa policy 202 2 esp aes-cbc sha-hmac

157



# The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime.

ipsec ike duration ipsec-sa 2 3600ipsec ike pfs 2 on

# Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational.

ipsec ike keepalive use 2 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # Association with the IPsec security association is done through the # "tunnel protection" command. # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESSipsec ike remote address 2 72.21.209.193ipsec ike local address id <id> 0.0.0.0/0ipsec ike remote address id <id> 0.0.0.0/0ip tunnel address 169.254.255.6/30 ip tunnel remote address 169.254.255.5

# This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation

ip tunnel tcp mss limit 1387tunnel enable 2tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. #

158



# Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.## # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

bgp configure refresh











159








ping 10.0.0.4





Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientYamaha (p. 196).

160





Exemple d'une passerelle clientgénérique utilisant un BGP (BorderGateway Protocol)


Si votre passerelle client n'est pas l'un des modèles précédemment mentionnés dans ce guide, votreéquipe d'intégration peut vous fournir des informations générales que vous pouvez utiliser pour configurervotre passerelle client. Cette section contient un exemple de ces informations.







161






Dans cette section, le schéma décrit un exemple de passerelle client générique. Le schéma est suivid'un exemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.






162



Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration===============================================AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-b4dc3961

A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured.

IPsec Tunnel #1================================================

#1: Internet Key Exchange Configuration

Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key

163



- Pre-Shared Key : plain-text-password1- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption

#3: Tunnel Interface Configuration

Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.

The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.

The Customer Gateway inside IP address should be configured on your tunnelinterface.

Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.2/30- Virtual Private Gateway : 169.254.255.1/30

164



Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

#4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.1- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

IPsec Tunnel #2=====================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We

165



recommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.6/30- Virtual Private Gateway : 169.254.255.5/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

" #4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.5- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

166


















ping 10.0.0.4




167






Note




168



Exemple d'une passerelle clientgénérique sans BGP (BorderGateway Protocol)


Si votre passerelle client n'est pas l'un des modèles précédemment mentionnés dans ce guide, votreéquipe d'intégration peut vous fournir des informations générales que vous pouvez utiliser pour configurervotre passerelle client. Cette section contient un exemple de ces informations.







169






Dans cette section, le schéma illustre une passerelle client générique qui utilise le routage statique pour saconnexion VPN. Elle ne prend pas en charge le routage dynamique ou le protocole BGP (Border GatewayProtocol). Le schéma est suivi d'un exemple correspondant aux informations de configuration que l'équiped'intégration doit vous fournir. L'exemple de configuration contient un ensemble d'informations pour chacundes deux tunnels que vous devez configurer.

De plus, l'exemple de configuration fait référence à un élément que vous devez fournir :


L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de la connexionVPN (vpn-44a8938f), l'ID de la passerelle réseau privé virtuel (vgw-8db04f81) et les adresses IP de lapasserelle (72.21.209.*, 169.254.255.*). Remplacez ces exemples de valeur par les valeurs réelles desinformations de configuration que vous recevez.

170




Important

Les informations de configuration suivantes sont un exemple de ce que vous pouvez espérerqu'une équipe d'intégration vous fournisse. Un grand nombre des valeurs dans l'exemple suivantsont différentes des informations de configuration réelles que vous recevez. Vous devez utiliserles valeurs réelles et non pas les exemples de valeurs présentés ici sinon votre implémentationéchoue.

Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration================================================================================AWS utilizes unique identifiers to manipulate the configuration ofa VPN Connection. Each VPN Connection is assigned a VPN Connection Identifierand is associated with two other identifiers, namely theCustomer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-ff628496

A VPN Connection consists of a pair of IPSec tunnel security associations (SAs).It is important that both tunnel security associations be configured.

IPSec Tunnel #1================================================================================


Configure the IKE SA as follows

171



Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.


172




Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.73

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

IPSec Tunnel #2 ================================================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96

173



- Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225

Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.77

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

174






• Sur votre passerelle client, vérifiez que vous avez ajouté une route statique à l'espace d'adresse IP duCIDR VPC pour l'utilisation de l'interface tunnel.






1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontdisponibles dans le menu Quick Start lorsque vous utilisez l'assistant de lancement des instances dansAWS Management Console. Pour plus d'informations, consultez la Amazon VPC Guide de mise enroute.



PROMPT> ping 10.0.0.4Pinging 10.0.0.4 with 32 bytes of data:




Note

Si vous effectuez un test ping d'une instance depuis votre routeur de passerelle client, veillez à ceque les messages ping proviennent d'une adresse IP interne, et non d'une adresse IP de tunnel.Certaines AMI ne répondent pas aux messages ping envoyés depuis des adresses IP de tunnels.

175







176


Connectivité de la passerelle client Cisco ASA

Dépannage


Si vos tunnels ne sont pas dans un état convenable au moment où vous effectuez le test pour votrepasserelle client, utilisez les instructions de résolution des problèmes suivantes.

Rubriques• Résolution des problèmes de connectivité de la passerelle client Cisco ASA (p. 177)• Résolution des problèmes de connectivité de la passerelle client Cisco IOS (Internetwork Operating

System, système d'exploitation pour la connexion des réseaux) (p. 180)• Résolution des problèmes de connectivité de la passerelle client Cisco IOS sans connectivité BGP

(Border Gateway Protocol) (p. 185)• Résolution des problèmes de connectivité de la passerelle client Juniper JunOS (p. 190)• Résolution des problèmes de connectivité de la passerelle client Juniper ScreenOS (p. 193)• Résolution des problèmes de connectivité de la passerelle client Yamaha (p. 196)• Résolution des problèmes de connectivité de la passerelle client sur un périphérique générique utilisant

un BGP (Border Gateway Protocol) (p. 199)• Résolution des problèmes de connectivité de la passerelle client sur un périphérique générique sans

connectivité BGP (Border Gateway Protocol) (p. 202)

Résolution des problèmes de connectivité de lapasserelle client Cisco ASA


Quand vous résolvez des problèmes de connectivité d'une passerelle client Cisco, prenez en compte troiscritères : l'IKE (Internet Key Exchange), l'IPsec (Internet Protocol Security) et le routage. Vous pouvezrésoudre des problèmes dans ces domaines dans n'importe quel ordre mais nous vous recommandons decommencer avec l'IKE (en bas du stack réseau) et de remonter.

Important

Certains systèmes Cisco ASA ne prennent en charge que le mode actif/en veille. Lorsquevous utilisez ces systèmes Cisco ASA, vous ne pouvez avoir qu'un seul tunnel actif à la fois.L'autre tunnel en veille devient actif uniquement si le premier tunnel devient inaccessible. Letunnel en veille peut générer l'erreur suivante dans vos fichiers journaux, qui peut être ignorée :

177




IKE

Rejecting IPSec tunnel: no matching crypto map entry for remote proxy0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside

IKEUtilisez la commande suivante. La réponse montre une passerelle client avec un IKE configurécorrectement.

ciscoasa# show crypto isakmp sa

Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2

1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

Vous devez voir une ou plusieurs lignes contenant une valeur src pour la passerelle à distance spécifiéedans les tunnels. La valeur de state doit être MM_ACTIVE et status doit être ACTIVE. L'absence d'uneentrée, ou toute entrée dans un état différent, indique que l'IKE n'est pas correctement configuré.

Pour un dépannage plus approfondi, exécutez les commandes suivantes pour permettre la consignationdes messages qui apportent des informations de diagnostic.

router# term monrouter# debug crypto isakmp

Pour désactiver le débogage, utilisez la commande suivante:

router# no debug crypto isakmp

IPsecUtilisez la commande suivante. La réponse montre une passerelle client avec un IPsec configurécorrectement.

ciscoasa# show crypto ipsec sa

interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0

178


IPsec

local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6

inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001

Pour chaque interface du tunnel, vous devez voir inbound esp sas et outbound esp sas. Cecisuppose qu'une SA (Security Association, association de sécurité) est répertoriée (par exemple, spi:0x48B456A6), et que l'IPsec est correctement configuré.

Dans Cisco ASA, l'IPsec intervient uniquement une fois le « trafic intéressant » envoyé. Pour toujoursgarder l'IPsec actif, nous vous recommandons de configurer le moniteur SLA. Le moniteur SLA continued'envoyer le trafic intéressant en gardant l'IPsec actif.

Vous pouvez aussi utiliser la commande ping suivante pour forcer votre IPsec à démarrer les négociationset remonter:

ping ec2_instance_ip_address

Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128



Pour un dépannage plus approfondi, exécutez les commandes suivantes pour activer le débogage:

router# debug crypto ipsec


router# no debug crypto ipsec

179


Routage

RoutageEffectuez un test ping sur l'autre entrée du tunnel. Si cela fonctionne, alors votre IPsec doit êtreopérationnel et s'exécuter correctement. Si cela ne fonctionne pas, vérifiez vos listes d'accès et consultezla section IPsec précédente.

Si vous ne pouvez pas atteindre vos instances, vérifiez les points suivants :

1. Vérifiez que la liste d'accès est configurée pour autoriser le trafic associé à la carte crypto.

Vous pouvez le faire à l'aide de la commande suivante :

ciscoasa# show run crypto

crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

2. Ensuite, vérifiez la liste comme suit:

ciscoasa# show run access-list access-list-name

access-list access-list-name extended permit ip any vpc_subnet subnet_mask

Exemples :

access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

3. Vérifiez que cette liste d'accès est correcte. L'exemple de liste d'accès dans l'étape précédenteautorise tout le trafic interne vers le sous-réseau VPC 10.0.0.0/16.

4. Exécutez un traceroute depuis le périphérique Cisco ASA pour voir s'il atteint les routeurs Amazon (parexemple, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

S'il atteint le routeur Amazon, vérifiez les routes statiques que vous avez ajoutées à AWSManagement Console, ainsi que les groupes de sécurité pour les instances spécifiques.

5. Pour un dépannage plus approfondi, passez en revue la configuration.

Résolution des problèmes de connectivité de lapasserelle client Cisco IOS (Internetwork OperatingSystem, système d'exploitation pour la connexiondes réseaux)


180



IKE

Quand vous résolvez des problèmes de connectivité d'une passerelle client Cisco, prenez en comptequatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmes dans cesdomaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas dustack réseau) et de remonter.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE

Vous devez voir une ou plusieurs lignes contenant une valeur src pour la passerelle à distance spécifiéedans les tunnels. state doit être QM_IDLE et status doit être ACTIVE. L'absence d'une entrée, ou touteentrée dans un état différent, indique que l'IKE n'est pas correctement configuré.






router# show crypto ipsec sa

interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225

181


IPsec

path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838)

182


Tunnel

transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Pour chaque interface du tunnel, vous devez voir inbound esp sas et outbound esp sas. Ensupposant qu'une SA est répertoriée (spi: 0xF95D2F3C par exemple) et que Status a pour valeurACTIVE, l'IPsec est correctement configuré.

Pour un dépannage plus approfondi, exécutez les commandes suivantes pour activer le débogage.


Utilisez la commande suivante pour désactiver le débogage.


TunnelTout d'abord, vérifiez que les règles de pare-feu nécessaires sont instaurées. Pour plus d'informations,consultez Configuration d'un pare-feu entre Internet et la passerelle client (p. 11).

Si vos règles de pare-feu sont correctement configurées, alors continuez le dépannage avec la commandesuivante:

router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

183


BGP

Assurez-vous que le line protocol est opérationnel. Vérifiez que l'adresse IP source du tunnel,l'interface source et la destination correspondent respectivement à la configuration du tunnel pourl'adresse IP externe de la passerelle client, pour l'interface et pour l'adresse IP externe de la passerelleréseau privé virtuel. Assurez-vous que Tunnel protection via IPSec est présent. Assurez-vousd'exécuter la commande sur les deux interfaces du tunnel. Pour résoudre les éventuels problèmes, vérifiezla configuration et les connexions physiques à votre passerelle client.

Utilisez également la commande suivante, en remplaçant 169.254.255.1 par l'adresse IP interne devotre passerelle réseau privé virtuel.

router# ping 169.254.255.1 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Vous devez voir 5 points d'exclamation.

Pour un dépannage plus approfondi, passez en revue la configuration.

BGPUtilisez la commande suivante:

router# show ip bgp summary

BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1

Ici, les deux voisins doivent être répertoriés. Pour chacun d'entre eux, vous devez voir une valeur 1 pourState/PfxRcd.

Si l'appairage BGP est opérationnel, vérifiez que votre routeur de passerelle client publie la route par défaut(0.0.0.0/0) vers le VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes

For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale

184


Attachement de la passerelle réseau privé virtuel

Origin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i

Total number of prefixes 1

En outre, assurez-vous de recevoir le préfixe correspondant à votre VPC depuis la passerelle réseau privévirtuel.

router# show ip route bgp

10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20


Attachement de la passerelle réseau privé virtuelVérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équipe d'intégrationeffectue cette opération avec AWS Management Console.

Si vous avez des questions ou si vous avez besoin d'aide, utilisez le Amazon VPC forum.

Résolution des problèmes de connectivité de lapasserelle client Cisco IOS sans connectivité BGP(Border Gateway Protocol)


Quand vous résolvez des problèmes de connectivité d'une passerelle client Cisco, prenez en comptetrois critères : l'IKE (Internet Key Exchange), l'IPsec (Internet Protocol Security) et le tunnel. Vous pouvezrésoudre des problèmes dans ces domaines dans n'importe quel ordre mais nous vous recommandons decommencer avec l'IKE (en bas du stack réseau) et de remonter.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SA

185

https://forums.aws.amazon.com/forum.jspa?forumID=58



IPsec

dst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE

Vous devez voir une ou plusieurs lignes contenant une valeur src pour la passerelle à distance spécifiéedans les tunnels. state doit être QM_IDLE et status doit être ACTIVE. L'absence d'une entrée, ou touteentrée dans un état différent, indique que l'IKE n'est pas correctement configuré.






router# show crypto ipsec sa



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

186


IPsec

spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Pour chaque interface du tunnel, vous devez voir un esp sas entrant et un esp sas sortant. Celasuppose qu'une SA est répertoriée (par exemple, spi: 0x48B456A6), que le statut est ACTIVE et quel'IPsec est correctement configuré.


187


Tunnel




TunnelTout d'abord, vérifiez que les règles de pare-feu nécessaires sont instaurées. Pour plus d'informations,consultez Configuration d'un pare-feu entre Internet et la passerelle client (p. 11).


router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Assurez-vous que le protocole de ligne est opérationnel. Vérifiez que l'adresse IP source du tunnel,l'interface source et la destination correspondent respectivement à la configuration du tunnel pourl'adresse IP externe de la passerelle client, pour l'interface et pour l'adresse IP externe de la passerelleréseau privé virtuel. Assurez-vous que Tunnel protection through IPSec est présent. Assurez-vous d'exécuter la commande sur les deux interfaces du tunnel. Pour résoudre les éventuels problèmes,vérifiez la configuration et les connexions physiques à votre passerelle client.

Vous pouvez également utiliser la commande suivante, en remplaçant 169.254.249.18 par l'adresse IPinterne de votre passerelle réseau privé virtuel.

router# ping 169.254.249.18 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

188



Vous devez voir 5 points d'exclamation.

RoutagePour voir votre table de routage statique, utilisez la commande suivante:

router# sh ip route static

1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2

Vous devez voir que la route statique existe pour le CIDR du VPC via deux tunnels. Si elle n'existe pas,ajoutez les routes statiques comme montré ici:

router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200

Vérification du moniteur SLArouter# show ip sla statistics 100

IPSLAs Latest Operation Statistics

IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

router# show ip sla statistics 200

IPSLAs Latest Operation Statistics

IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

La valeur du « Nombre de succès » indique si le moniteur SLA a été installé avec succès.



Si vous avez des questions ou si vous avez besoin d'aide, veuillez utiliser le Amazon VPC forum.

189



Connectivité de la passerelle client Juniper JunOS

Résolution des problèmes de connectivité de lapasserelle client Juniper JunOS


Quand vous résolvez des problèmes de connectivité d'une passerelle client Juniper, prenez en comptequatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmes dans cesdomaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas dustack réseau) et de remonter.


user@router> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main

Vous devez voir une ou plusieurs lignes contenant une adresse à distance de la passerelle à distancespécifiée dans les tunnels. State doit être UP. L'absence d'une entrée, ou toute entrée dans un étatdifférent (comme DOWN), indique que l'IKE n'est pas correctement configuré.

Pour un dépannage plus approfondi, autorisez les options de suivi IKE, comme recommandé dansl'exemple des informations de configuration (consultez Exemple : dispositif J-Series JunOS (p. 107)).Exécutez ensuite la commande suivante pour imprimer différents messages de débogage sur l'écran.

user@router> monitor start kmd

Depuis un hôte externe, vous pouvez récupérer le fichier journal complet avec la commande suivante:

scp [email protected]:/var/log/kmd


user@router> show security ipsec security-associations

Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0

190



Tunnel

<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0

Vous devez notamment voir au moins deux lignes par adresse de passerelle (correspondant à la passerelleà distance). Notez les carets au début de chaque ligne (< >) qui indiquent la direction du trafic pour uneentrée en particulier. Le résultat comporte des lignes séparées pour le trafic entrant (« < », trafic de lapasserelle réseau privé virtuel vers la passerelle client) et le trafic sortant (« > »).

Pour un dépannage plus approfondi, autorisez les options de suivi IKE (pour plus d'informations, consultezla section précédente sur l'IKE).

TunnelTout d'abord, vérifiez que les règles de pare-feu nécessaires sont instaurées. Pour une liste des règles,consultez Configuration d'un pare-feu entre Internet et la passerelle client (p. 11).


user@router> show interfaces st0.1

Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2

Assurez-vous que la Security: Zone est correcte, et que l'adresse Local correspond à l'adresseinterne du tunnel de la passerelle client.

Ensuite, utilisez la commande suivante, en remplaçant 169.254.255.1 par l'adresse IP interne de votrepasserelle réseau privé virtuel. Vos résultats doivent ressembler à la réponse présentée ici.

user@router> ping 169.254.255.1 size 1382 do-not-fragment

PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms



user@router> show bgp summary

Groups: 1 Peers: 2 Down peers: 0

191


BGP

Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0

Pour un dépannage plus approfondi, utilisez la commande suivante, en remplaçant 169.254.255.1 parl'adresse IP interne de votre passerelle réseau privé virtuel.

user@router> show bgp neighbor 169.254.255.1

Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0

Ici, vous devez voir Received prefixes et Advertised prefixes avec la valeur 1 pour chacun deces champs. Ils doivent se trouver dans la section Table inet.0.

Si State n'est pas Established, vérifiez Last State et Last Error pour plus de détails sur ce quevous devez faire pour corriger le problème.


user@router> show route advertising-protocol bgp 169.254.255.1

192



inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I


user@router> show route receive-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I



Résolution des problèmes de connectivité de lapasserelle client Juniper ScreenOS


Quand vous résolvez des problèmes de connectivité d'une passerelle client basée sur Juniper ScreenOS,prenez en compte quatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmesdans ces domaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE(en bas du stack réseau) et de remonter.

IKE et IPsecUtilisez la commande suivante. La réponse montre une passerelle client avec un IKE configurécorrectement.

ssg5-serial-> get sa

total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Vous devez voir une ou plusieurs lignes contenant une adresse à distance de la passerelle à distancespécifiée dans les tunnels. La valeur de Sta doit être A/-, et SPI doit être un nombre hexadécimal autreque 00000000. Des entrées dans un état différent indiquent que l'IKE n'est pas correctement configuré.

193




Tunnel

Pour un dépannage plus approfondi, autorisez les options de suivi IKE, comme recommandé dansl'exemple des informations de configuration (consultez Exemple : dispositif Juniper ScreenOS (p. 127)).



ssg5-serial-> get interface tunnel.1

Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1

Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN

pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Assurez-vous de voir link:ready et que l'adresse IP correspond à l'adresse interne du tunnel de lapasserelle client.

Ensuite, utilisez la commande suivante, en remplaçant 169.254.255.1 par l'adresse IP interne de votrepasserelle réseau privé virtuel. Vos résultats doivent ressembler à la réponse présentée ici.

ssg5-serial-> ping 169.254.255.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms



194


BGP

ssg5-serial-> get vrouter trust-vr protocol bgp neighbor

Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

Les deux BGP pairs doivent être répertoriés comme State: ESTABLISH, ce qui signifie que la connexionBGP à la passerelle réseau privé virtuel est active.

Pour un dépannage plus approfondi, utilisez la commande suivante, en remplaçant 169.254.255.1 parl'adresse IP interne de votre passerelle réseau privé virtuel.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1

peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds

Si l'appairage BGP est opérationnel, vérifiez que votre routeur de passerelle client publie la route par défaut(0.0.0.0/0) vers le VPC. Cette commande s'applique au ScreenOS 6.2.0 et version plus récente.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1

En outre, assurez-vous de recevoir le préfixe correspondant à votre VPC depuis la passerelle réseau privévirtuel. Cette commande s'applique au ScreenOS 6.2.0 et version plus récente.

195



ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1



Résolution des problèmes de connectivité de lapasserelle client Yamaha


Quand vous résolvez des problèmes de connectivité d'une passerelle client Yamaha, prenez en comptequatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmes dans cesdomaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas dustack réseau) et de remonter.


# show ipsec sa gateway 1

sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1

Vous devez voir une ligne contenant une valeur de remote-id pour la passerelle à distance spécifiéedans les tunnels. Vous pouvez répertorier toutes les associations de sécurité (SA) en omettant le numérodu tunnel.

Pour un dépannage plus approfondi, exécutez les commandes suivantes pour permettre la consignationdes messages de niveau DEBUG qui apportent des informations de diagnostic.

# syslog debug on# ipsec ike log message-info payload-info key-info

196




IPsec

Pour annuler les éléments consignés, utilisez la commande suivante:

# no ipsec ike log# no syslog debug on


# show ipsec sa gateway 1 detail

SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------

Pour chaque interface du tunnel, vous devez voir receive sas et send sas.


# syslog debug on# ipsec ike log message-info payload-info key-info

Utilisez la commande suivante pour désactiver le débogage.

# no ipsec ike log

197


Tunnel

# no syslog debug on



# show status tunnel 1

TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]

Assurez-vous que la valeur de current status est en ligne et que Interface type est IPsec.Assurez-vous d'exécuter la commande sur les deux interfaces du tunnel. Pour résoudre tout problème seprésentant ici, passez en revue la configuration.


# show status bgp neighbor

BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:

Ici, les deux voisins doivent être répertoriés. Pour chacun d'entre eux, vous devez voir une valeur BGPstate Active.

198




# show status bgp neighbor 169.254.255.1 advertised-routes

Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP


# show ip route

Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124


Attachement de la passerelle réseau privé virtuelVérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équipe d'intégrationl'effectue avec l'AWS Management Console.


Résolution des problèmes de connectivité de lapasserelle client sur un périphérique génériqueutilisant un BGP (Border Gateway Protocol)


Le schéma et le tableau suivants fournissent des instructions générales pour la résolution de problèmes surune passerelle client qui utilise un BGP (Border Gateway Protocol) pour des périphériques autres que ceuxrépertoriés dans ce guide.

Tip

Quand vous résolvez des problèmes, il peut vous être utile d'autoriser les fonctions de débogagede votre périphérique de passerelle. Consultez le fournisseur de votre périphérique de passerellepour plus de détails.

199




Connectivité de la passerelle clientsur un périphérique générique

200


Connectivité de la passerelle clientsur un périphérique générique

Déterminez si une association de sécurité IKE existe.

Une association de sécurité IKE est nécessaire pour échanger des clés qui sont utiliséespour établir l'association de sécurité IPsec.

Si aucune association de sécurité IKE n'existe, passez en revue vos paramètres deconfiguration IKE. Vous devez configurer le chiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode comme répertoriés dans la configuration de lapasserelle client.

Si une association de sécurité IKE existe, continuez vers l'IPsec.

Déterminez si une association de sécurité IPsec existe.

Une association de sécurité IPsec est le tunnel lui-même. Interrogez votre passerelleclient pour déterminer sur une association de sécurité IPsec est active. Une configurationcorrecte de l'association de sécurité IPsec est essentielle. Vous devez configurer lechiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode commerépertoriés dans la configuration de la passerelle client.

Si aucune association de sécurité IPsec n'existe, passez en revue votre configurationIPsec.

Si une association de sécurité IPsec existe, continuez vers le tunnel.

Vérifiez que les règles de pare-feu nécessaires sont configurées (pour une liste des règles,consultez Configuration d'un pare-feu entre Internet et la passerelle client (p. 11)). Si c'estle cas, continuez.

Déterminez s'il existe une connectivité IP via le tunnel.

Chaque côté du tunnel possède une adresse IP comme spécifié dans la configuration dela passerelle client. L'adresse de la passerelle réseau privé virtuel est l'adresse utiliséecomme l'adresse du voisin BGP. Depuis votre passerelle client, effectuez un test ping decette adresse pour déterminer si le trafic IP est correctement chiffré et déchiffré.

Si le test ping n'est pas réussi, passez en revue la configuration de votre interface detunnel pour vérifier qu'une adresse IP correcte est configurée.

Si le test ping est réussi, continuez vers le BGP.

Déterminez si l'appairage BGP est actif.

Pour chaque tunnel, procédez de la façon suivante :

• Sur votre passerelle client, déterminez si l'état du BGP est Active ou Established. Ilpeut se passer environ 30 secondes avant que l'appairage BGP devienne actif.

• Vérifiez que la passerelle client publie la route par défaut (0.0.0.0/0) vers la passerelleréseau privé virtuel.

Si les tunnels ne sont pas dans cet état, passez en revue la configuration de votre BGP.

Si l'appairage BGP est instauré, que vous recevez un préfixe et que vous publiez unpréfixe, alors votre tunnel est configuré correctement. Assurez-vous que les deux tunnelssont dans cet état et vous avez terminé.

Vérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équiped'intégration effectue cette opération avec AWS Management Console.

201


Connectivité de la passerelle client surun périphérique générique (sans BGP)

Pour des instructions de test général applicables à toutes les passerelles client, consultez Comment testerla configuration de la passerelle client (p. 167).


Résolution des problèmes de connectivité de lapasserelle client sur un périphérique génériquesans connectivité BGP (Border Gateway Protocol)


Le schéma et le tableau suivants fournissent des instructions générales pour la résolution de problèmes surun périphérique de passerelle client qui n'utilise pas de BGP (Border Gateway Protocol).

Tip

Quand vous résolvez des problèmes, il peut vous être utile d'autoriser les fonctions de débogagede votre périphérique de passerelle. Consultez le fournisseur de votre périphérique de passerellepour plus de détails.

202





203



Déterminez si une association de sécurité IKE existe.

Une association de sécurité IKE est nécessaire pour échanger des clés qui sont utiliséespour établir l'association de sécurité IPsec.

Si aucune association de sécurité IKE n'existe, passez en revue vos paramètres deconfiguration IKE. Vous devez configurer le chiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode comme répertoriés dans la configuration de lapasserelle client.

Si une association de sécurité IKE existe, continuez vers l'IPsec.

Déterminez si une association de sécurité IPsec existe.

Une association de sécurité IPsec est le tunnel lui-même. Interrogez votre passerelleclient pour déterminer sur une association de sécurité IPsec est active. Une configurationcorrecte de l'association de sécurité IPsec est essentielle. Vous devez configurer lechiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode commerépertoriés dans la configuration de la passerelle client.

Si aucune association de sécurité IPsec n'existe, passez en revue votre configurationIPsec.

Si une association de sécurité IPsec existe, continuez vers le tunnel.

Vérifiez que les règles de pare-feu nécessaires sont configurées (pour une liste des règles,consultez Configuration d'un pare-feu entre Internet et la passerelle client (p. 11)). Si c'estle cas, continuez.

Déterminez s'il existe une connectivité IP via le tunnel.

Chaque côté du tunnel possède une adresse IP comme spécifié dans la configuration dela passerelle client. L'adresse de la passerelle réseau privé virtuel est l'adresse utiliséecomme l'adresse du voisin BGP. Depuis votre passerelle client, effectuez un test ping decette adresse pour déterminer si le trafic IP est correctement chiffré et déchiffré.

Si le test ping n'est pas réussi, passez en revue la configuration de votre interface detunnel pour vérifier qu'une adresse IP correcte est configurée.

Si le test ping est réussi, continuez vers le routage.

Routesstatiques

Routage :

Pour chaque tunnel, procédez de la façon suivante :

• Vérifiez que vous avez ajouté une route statique au CIDR de votre VPC avec les tunnelscomme prochain saut.

• Vérifiez que vous avez ajouté une route statique dans AWS Management Console pourdemander à la VGW (passerelle VPN) de renvoyer le trafic vers vos réseaux internes.

Si les tunnels ne sont pas dans cet état, passez en revue la configuration de votrepériphérique.

Assurez-vous que les deux tunnels sont dans cet état et vous avez terminé.

Vérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équiped'intégration effectue cette opération dans AWS Management Console.

204




205



Configuration de votre serveur Windows

Configuration deWindows Server 2008 R2 en tant quepasserelle client


Vous pouvez configurer Windows Server 2008 R2 en tant que passerelle client pour votre VPC. Utilisez laprocédure suivante, que vous exécutiez Windows Server 2008 R2 sur une instance EC2 dans un VPC ousur votre propre serveur.

Rubriques• Configuration de votre serveur Windows (p. 206)• Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 207)• Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN (p. 208)• Étape 3 : Configuration du serveur Windows (p. 210)• Étape 4 : Configuration du tunnel VPN (p. 211)• Étape 5 : Activation de la détection de passerelle inactive (p. 218)• Étape 6 : Test de la connexion VPN (p. 218)

Configuration de votre serveur WindowsPour configurer Windows Server en tant que passerelle client, vérifiez que vous avezWindows Server 2008 R2 sur votre propre réseau, ou sur une instance EC2 dans un VPC. Si vous utilisezune instance EC2 que vous avez lancée à partir d'une AMI Windows, procédez comme suit :

• Désactivez la source/destination checking pour l'instance:1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sélectionnez votre instance Windows Server, puis choisissez Actions, Networking, Change Source/

Dest. Check. Choisissez Yes, Disable.• Mettez à jour les paramètres de votre adaptateur pour pouvoir router le trafic depuis d'autres instances :

1. Connectez-vous à votre instance Windows. Pour plus d'informations, consultez la page Connexion àvotre instance Windows.

2. Ouvrez le Panneau de configuration, puis lancez le Gestionnaire de périphériques.3. Développez le nœud Cartes réseau.4. Ouvrez le menu contextuel (clic droit) de la carte réseau Citrix ou AWS PV et choisissez Propriétés.5. Dans l'onglet Avancé, désactivez les propriétés IPv4 Checksum Offload, TCP Checksum Offload

(IPv4) et UDP Checksum Offload (IPv4), puis choisissez OK.

206


https://console.aws.amazon.com/ec2/

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Étape 1: Création d'une connexionVPN et configuration de votre VPC

• Associez une adresse IP Elastic à l'instance:1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, sélectionnez Elastic IPs. Choisissez Allouer une nouvelle adresse.3. Sélectionnez l'adresse IP Elastic, puis choisissez Actions, Associer l'adresse.4. Pour Instance, sélectionnez votre instance Windows Server. Choisissez Associate.

Notez cette adresse — vous en aurez besoin lors de la création de la passerelle client dans votre VPC.• Assurez-vous que les règles du groupe de sécurité de l'instance autorisent le trafic IPsec sortant. Par

défaut, un groupe de sécurité autorise tout le trafic sortant. Toutefois, si les règles sortantes du groupede sécurité ont été modifiées par rapport à leur état d'origine, vous devez créer les règles sortantespersonnalisées suivantes pour le trafic IPsec : protocole IP 50, protocole IP 51 et UDP 500.

Notez la plage d'adresses CIDR pour votre réseau dans lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Étape 1: Création d'une connexion VPN etconfiguration de votre VPC

Pour créer une connexion VPN à partir de votre VPC, vous devez d'abord créer une passerelle réseauprivé virtuel et l'attacher à votre VPC. Vous pouvez ensuite créer une connexion VPN et configurer votreVPC. Vous devez également connaître la plage d'adresses CIDR pour votre réseau dans lequel le serveurWindows est situé (par exemple, 172.31.0.0/16).

Créer une passerelle réseau privé virtuel

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Virtual Private Gateways, puis Create Virtual Private Gateway.3. Vous pouvez entrer un nom pour votre passerelle réseau privé virtuel si vous le souhaitez, puis

choisissez Yes, Create.4. Sélectionnez la passerelle réseau privé virtuel que vous avez créée, puis choisissez Attach to VPC.5. Dans la boîte de dialogue Attach to VPC, sélectionnez votre VPC dans la liste, puis choisissez Yes,

Attach.

Pour créer une connexion VPN :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPN Connections, puis Create VPN Connection.3. Sélectionnez la passerelle réseau privé virtuel dans la liste.4. Pour Customer Gateway, choisissez New. Pour IP address, spécifiez l'adresse IP publique de votre

Windows Server.

Note

L'adresse IP doit être statique et peut se trouver derrière un périphérique exécutant uneconversion d'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puissefonctionner, vous devez ajuster vos règles de pare-feu pour débloquer le port UDP 4500. Sivotre passerelle client est une instance Windows Server EC2, utilisez son adresse IP Elastic.

5. Sélectionnez l'option de routage Static, saisissez les valeurs Static IP Prefixes pour votre réseau ennotation CIDR, puis choisissez Yes, Create.

207


https://console.aws.amazon.com/vpc/



Étape 2 : Téléchargement du fichier deconfiguration pour la connexion VPN

Pour configurer votre VPC

• Créez un sous-réseau privé dans votre VPC (si ce n'est déjà fait) pour lancer les instances quicommuniqueront avec le serveur Windows. Pour plus d'informations, consultez la section Ajout d'unsous-réseau à votre VPC.

Note

Un sous-réseau privé est un sous-réseau qui ne comporte pas de route vers une passerelleInternet. Le routage pour ce sous-réseau est décrit dans l'élément suivant.

• Mettez à jour vos tables de routage pour la connexion VPN :• Ajoutez une route à la table de routage de votre sous-réseau privé, en définissant la passerelle réseau

privé virtuel comme cible et le réseau du serveur Windows (plage CIDR) comme destination.• Activez la propagation de routes pour la passerelle réseau privé virtuel. Pour plus d'informations,

consultez la section Tables de routage dans le manuel Amazon VPC Guide de l'utilisateur.• Créez une configuration de groupe de sécurité pour vos instances, qui autorise la communication entre

votre VPC et le réseau :• Ajoutez des règles autorisant l'accès SSH ou RDP entrant depuis votre réseau. Cela vous permet

de vous connecter aux instances de votre VPC depuis votre réseau. Par exemple, pour autoriser lesordinateurs de votre réseau à accéder aux instances Linux dans votre VPC, créez une règle entranteavec le type SSH et la source définie sur la plage d'adresses CIDR de votre réseau (par exemple,172.31.0.0/16). Pour plus d'informations, consultez la section Groupes de sécurité pour votre VPCdans le manuel Amazon VPC Guide de l'utilisateur.

• Ajoutez une règle autorisant l'accès ICMP entrant depuis votre réseau. Cela vous permet de testervotre connexion VPN en effectuant un test ping de l'instance dans votre VPC à partir de votre serveurWindows.


Vous pouvez utiliser la console Amazon VPC afin de télécharger un fichier de configurationWindows Server pour votre connexion VPN.

Pour télécharger le fichier de configuration :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPN Connections.3. Sélectionnez votre connexion VPN, puis choisissez Download Configuration (Télécharger la

configuration).4. Sélectionnez le fournisseur Microsoft, la plate-forme Windows Server et le logiciel 2008 R2. Choisissez

Yes, Download. Vous pouvez ouvrir le fichier ou l'enregistrer.

Le fichier de configuration contient une section d'informations similaire à l'exemple ci-dessous. Cesinformations seront affichées deux fois (une pour chaque tunnel). Elles vous serviront lors de laconfiguration du serveur Windows Server 2008 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]

208

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#AddaSubnet


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html




Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

Adresse IP de la passerelle client (dans ce cas, votre Windows Server) interrompant la connexionVPN du côté de votre réseau. Si votre passerelle client est une instance Windows Server, il s'agit del'adresse IP privée de cette dernière.

Remote Tunnel Endpoint

Une des deux adresses IP de la passerelle réseau privé virtuel qui interrompt la connexion VPN côtéAWS.

Endpoint 1

Préfixe IP que vous avez spécifié comme route statique lors de la création de la connexion VPN. Ils'agit des adresses IP de votre réseau qui sont autorisées à utiliser la connexion VPN pour accéder àvotre VPC.

Endpoint 2

Plage d'adresses IP (bloc d'adresse CIDR) du VPC associé à la passerelle réseau privé virtuel (parexemple, 10.0.0.0/16).

Preshared key

Clé pré partagée qui permet d'établir la connexion VPN IPsec entre Local Tunnel Endpoint etRemote Tunnel Endpoint.

Nous vous recommandons de configurer les deux tunnels dans le cadre de la connexion VPN. Chaquetunnel se connecte à un concentrateur VPN distinct du côté Amazon de la connexion VPN. Même si lesdeux tunnels ne peuvent pas être actifs simultanément, le deuxième tunnel s'établit automatiquement sile premier s'arrête. L'utilisation de tunnels redondants garantit une disponibilité continue en cas de panned'un périphérique. Sachant qu'un seul tunnel est disponible à la fois, la console Amazon VPC indique qu'untunnel est arrêté. Ce comportement étant attendu, aucune action de votre part n'est requise.

Les deux tunnels sont configurés. Par conséquent, en cas de dysfonctionnement d'un périphérique dansAWS, votre connexion VPN bascule automatiquement vers le deuxième tunnel de la passerelle réseauprivé virtuel AWS en quelques minutes. Lorsque vous configurez votre passerelle client, vous devezconfigurer les deux tunnels.

Note

De temps en temps, AWS effectue des opérations de maintenance habituelles sur la passerelleréseau privé virtuel. Il est possible que cette opération désactive l'un des deux tunnels de votreconnexion VPN pendant une brève période. Votre connexion VPN bascule automatiquement versle deuxième tunnel lors de ces opérations de maintenance.

Le fichier de configuration téléchargé contient des informations supplémentaires sur les associations desécurité (SA) IKE (Internet Key Exchange) et IPsec. Les paramètres recommandés pour le VPN VPC sontidentiques aux paramètres de configuration IPsec par défaut de Windows Server 2008 R2. Par conséquent,les tâches que vous avez à effectuer sont minimes.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2

209


Étape 3 : Configuration du serveur Windows

MainModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IKE. Il s'agit des paramètres recommandéspour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2008 R2.

MainModeKeyLifetime

Durée de vie de la clé de la SA IKE. Il s'agit du paramètre recommandé pour la connexion VPN et duparamètre par défaut pour les connexions VPN IPsec de Windows Server 2008 R2.

QuickModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IPsec. Il s'agit des paramètresrecommandés pour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2008 R2.

QuickModePFS

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pour vossessions IPsec.

Étape 3 : Configuration du serveur WindowsAvant de configurer le tunnel VPN, vous devez installer et configurer les services de routage et d'accèsdistant sur votre serveur Windows. Ceci permet aux utilisateurs distants d'accéder aux ressources sur votreréseau.

Pour installer les services de routage et d'accès distant sur Windows Server 2008 R2

1. Connectez-vous au serveur Windows Server 2008 R2.2. Choisissez Démarrer, Tous les programmes, Outils d'administration, Gestionnaire de serveur.3. Installez les services de routage et d'accès distant :

a. Dans le panneau de navigation Gestionnaire de serveur, choisissez Rôles.b. Dans le panneau Rôles, choisissez Ajouter des rôles.c. Sur la page Avant de commencer, vérifiez si votre serveur respecte les conditions requises et

choisissez Suivant.d. Sur la page Sélectionner des rôles de serveurs, choisissez Services de stratégie et d'accès

réseau, Suivant.e. Sur la page Services de stratégie et d'accès réseau, choisissez Suivant.f. Sur la page Sélectionner les services de rôle, choisissez Services de routage et d'accès distant,

laissez les options Service d'accès à distance et Routage sélectionnées, puis choisissez Suivant.

210


Étape 4 : Configuration du tunnel VPN

g. Sur la page Confirmer les sélections d'installation, choisissez Installer.h. À la fin de l'assistant, choisissez Fermer.

Pour configurer et activer le serveur de Routage et d'accès à distance :

1. Dans le panneau de navigation Gestionnaire de serveur, choisissez Rôles, Stratégie et accès réseau.2. Dans le menu contextuel Serveur de Routage et accès à distance, choisissez Configurer et activer le

routage et l'accès à distance.3. Sur la page Bienvenue de l'Assistant Configuration du routage et de l'accès distant, choisissez Suivant.4. Sur la page Configuration, choisissez Configuration personnalisée, Suivant.5. Choisissez Routage réseau, Suivant.6. Choisissez Finish.7. Lorsque vous y êtes invité par la boîte de dialogue Routage et accès distant, choisissez Démarrer le

service.

Étape 4 : Configuration du tunnel VPNVous pouvez configurer le tunnel VPN en exécutant les scripts netsh inclus dans le fichier de configurationtéléchargé ou à l'aide de l'Assistant Nouvelle règle de sécurité de connexion sur le serveur Windows.

Important

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pourvos sessions IPsec. Toutefois, vous ne pouvez pas activer PFS via l'interface utilisateur deWindows Server 2008 R2. Pour activer ce paramètre, la seule solution consiste à exécuter lescript netsh avec qmpfs=dhgroup2. Par conséquent, vous devez tenir compte de vos besoinsavant de choisir une option.

211


Option 1 : Exécuter le script netsh

Option 1 : Exécuter le script netshCopiez le script netsh dans le fichier de configuration téléchargé et remplacez les variables. Voici unexemple de script.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix Êndpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name : vous pouvez remplacer le nom proposé (VGW-1a2b3c4d Tunnel 1) par celui de votre choix.

LocalTunnelEndpoint : saisissez l'adresse IP privée du serveur Windows sur votre réseau.

Endpoint1 : bloc d'adresse CIDR de votre réseau sur lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Endpoint2 : bloc d'adresse CIDR de votre VPC ou d'un sous-réseau de votre VPC (par exemple,10.0.0.0/16).

Exécutez le script mis à jour dans une fenêtre d'invite de commande (le caractère ^ vous permet de couper-coller le texte renvoyé à la ligne dans la ligne de commande). Pour configurer le deuxième tunnel VPN pourcette connexion VPN, répétez la procédure avec le deuxième script netsh du fichier de configuration.

Lorsque vous avez terminé, passez à la section 2.4 : Configuration du pare-feu Windows (p. 216).

Pour plus d'informations sur les paramètres netsh, accédez à la page Netsh AdvFirewall ConsecCommands dans la Bibliothèque Microsoft TechNet.

Option 2 : Utiliser l'interface utilisateur deWindows ServerPour configurer le tunnel VPN, vous pouvez également utiliser l'interface utilisateur du serveur Windows.Cette section décrit la marche à suivre.

Important

Vous ne pouvez pas activer la fonction PFS (Perfect Forward Secrecy) de la clé principale vial'interface utilisateur de Windows Server 2008 R2. Par conséquent, si vous décidez d'utiliser PFS,vous devez utiliser les scripts netsh décrits dans l'option 1 au lieu de l'interface utilisateur décritedans cette option.

• 2.1 : Configurer une règle de sécurité pour un tunnel VPN (p. 212)• 2.3 : Valider la configuration des tunnels (p. 216)• 2.4 : Configuration du pare-feu Windows (p. 216)

2.1 : Configurer une règle de sécurité pour un tunnel VPNDans cette section, vous configurez une règle de sécurité sur votre serveur Windows afin de créer untunnel VPN.

212

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set


Option 2 : Utiliser l'interface utilisateur de Windows Server

Pour configurer une règle de sécurité pour un tunnel VPN :

1. Dans le volet de navigation Gestionnaire de serveur, développez Configuration, puis Pare-feuWindows avec fonctions avancées de sécurité.

2. Dans le menu contextuel (clic droit) Connection Security Rules choisissez Nouvelle règle.3. Dans l'assistant Nouvelle règle de sécurité de connexion, sur la page Type de règle, choisissez

Tunnel, Suivant.4. Sur la page Type de tunnel, sous Quel type de tunnel voulez-vous créer ?, choisissez Configuration

personnalisée. Sous Voulez-vous exempter les connexions protégées par IPsec de ce tunnel ?,conservez la valeur par défaut (Non. Envoyer tout le trafic réseau qui satisfait à cette règle de sécuritéde connexion à travers le tunnel). Sélectionnez ensuite Suivant.

5. Sur la page Configuration requise, choisissez Exiger l’authentification pour les connexions entrantes.Ne pas établir de tunnel pour les connexions sortantes, puis Suivant.

6. Sur la page Points de terminaison du tunnel, sous Quels ordinateurs se trouvent au point determinaison 1 ?, choisissez Ajouter. Saisissez la plage CIDR de votre réseau (derrière votre passerelleclient Windows Server), puis choisissez OK. La plage peut inclure l'adresse IP de votre passerelleclient.

7. Sous Quel est le point de terminaison du tunnel local (le plus proche des ordinateurs du point determinaison 1) ?, choisissez Modifier. Saisissez l'adresse IP privée de votre serveur Windows, puischoisissez OK.

8. Sous Quel est le point de terminaison du tunnel distant (le plus proche des ordinateurs du point determinaison 2) ?, choisissez Modifier. Saisissez l'adresse IP de la passerelle réseau privé virtuel pourle tunnel 1 provenant du fichier de configuration (cf. Remote Tunnel Endpoint), puis choisissezOK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner le point determinaison pour le tunnel 2.

213



9. Sous Quels ordinateurs se trouvent au point de terminaison 2 ?, choisissez Ajouter. Saisissez le blocd'adresse CIDR de votre VPC, puis choisissez OK.

Important

Vous devez faire défiler la boîte de dialogue jusqu'à la section Quels ordinateurs se trouventau point de terminaison 2 ?. Ne choisissez pas Suivant avant d'avoir terminé cette étape, carvous ne pourriez pas vous connecter à votre serveur.

10. Assurez-vous que tous les paramètres que vous avez spécifiés sont corrects et choisissez Suivant.11. Sur la page Méthode d'authentification, sélectionnez Avancé, puis Personnaliser.12. Sous Premières méthodes d'authentification, choisissez Ajouter.13. Sélectionnez Clé prépartagée, saisissez la valeur de la clé pré partagée provenant du fichier de

configuration, puis cliquez sur OK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner la clé prépartagée correspondante.

214



14. Assurez-vous que l'option La première authentification est facultative n'est pas sélectionnée, puischoisissez OK.

15. Sur la page Méthode d'authentification, choisissez Suivant.16. Sur la page Profil, cochez les trois cases : Domaine, Privé et Public. Choisissez Suivant.17. Sur la page Nom, saisissez le nom de votre règle de connexion, puis choisissez Terminer.

Répétez la procédure ci-dessus, en spécifiant les données pour le tunnel 2 provenant du fichier deconfiguration.

215



Une fois l'opération terminée, vous disposez de deux tunnels configurés pour votre connexion VPN.

2.3 : Valider la configuration des tunnelsPour valider la configuration des tunnels :

1. Dans le panneau de navigation Gestionnaire de serveur, développez le nœud Configuration,développez Pare-feu Windows avec fonctions avancées de sécurité, puis choisissez Règles desécurité de connexion.

2. Effectuez les vérifications suivantes pour les deux tunnels :

• Activé est défini sur Yes.• Mode d'authentification est défini sur Require inbound and clear outbound.• Méthode d'authentification est défini sur Custom.• Port du point de terminaison 1 est défini sur Any.• Port du point de terminaison 2 est défini sur Any.• Protocole est défini sur Any.

3. Double-cliquez sur la règle de sécurité pour votre premier tunnel.4. Dans l'onglet Ordinateurs, effectuez les vérifications suivantes :

• Sous Point de terminaison 1, la plage indiquée pour le bloc d'adresse CIDR correspond à celle devotre réseau.

• Sous Point de terminaison 2, la plage indiquée pour le bloc d'adresse CIDR correspond à celle devotre VPC.

5. Sous l'onglet Authentification, sous Méthode, choisissez Personnaliser, puis vérifiez que Premièresméthodes d’authentification contient la clé pré partagée appropriée provenant du fichier deconfiguration pour le tunnel. Choisissez OK.

6. Dans l'onglet Avancé, assurez-vous que les options Domaine, Privé et Public sont toutessélectionnées.

7. Sous Tunneling IPsec, choisissez Personnaliser. Vérifiez les paramètres suivants concernant letunneling IPSec.

• L'option Utiliser le tunneling IPSec est sélectionnée.• Point de terminaison du tunnel local (le plus proche du point de terminaison 1) contient l'adresse IP

de votre serveur. Si votre passerelle client est une instance Windows Server, il s'agit de l'adresse IPprivée de cette dernière.

• Point de terminaison du tunnel distant (le plus proche du point de terminaison 2) contientl'adresse IP de la passerelle réseau privé virtuel pour ce tunnel.

8. Double-cliquez sur la règle de sécurité pour votre deuxième tunnel. Répétez les étapes 4 à 7 pour cetunnel.

2.4 : Configuration du pare-feu WindowsAprès avoir configuré vos règles de sécurité sur votre serveur, configurez les paramètres IPsec de basepour qu'ils fonctionnent avec la passerelle réseau privé virtuel.

Pour configurer le pare-feu Windows :

1. Dans le panneau de navigation Gestionnaire de serveur, dans le menu contextuel (clic droit) Pare-feuWindows avec fonctions avancées de sécurité, choisissez Propriétés.

2. Choisissez Paramètres IPsec.3. Sous Exemptions IPsec, assurez-vous que l'option Exempter ICMP d'IPsec est définie sur Non (par

défaut). Assurez-vous que l'option Autorisation de tunnel IPsec est définie sur Aucune.

216



4. Sous Valeurs par défaut IPsec, choisissez Personnaliser.5. Dans la boîte de dialogue Personnaliser les paramètres IPsec, sous Échange de clé (mode principal),

sélectionnez Avancé, puis choisissez Personnaliser.6. Dans Personnaliser les paramètres avancés d'échange de clés, sous Méthodes de sécurité, assurez-

vous que ces valeurs par défaut sont utilisées comme première entrée.

• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Algorithme d'échange de clés : Groupe Diffie-Hellman 2• Sous Durée de vie des clés, assurez-vous que Minutes est défini sur 480 et que Sessions est défini

sur 0.

Ces paramètres correspondent aux entrées suivantes dans le fichier de configuration :

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

7. Sous Options d’échange de clés, sélectionnez Utiliser Diffie-Hellman pour une sécurité accrue, puischoisissez OK.

8. Sous Protection des données (mode rapide), choisissez Avancé, Personnaliser.9. Choisissez Demander le chiffrement de toutes les règles de sécurité de connexion qui utilisent ces

paramètres.10. Sous Algorithmes d'intégrité et de chiffrement des données, conservez les valeurs par défaut :

• Protocole : ESP• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Durée de vie : 60 minutes

Ces valeurs correspondent aux entrées suivantes du fichier de configuration.

217


Étape 5 : Activation de la détection de passerelle inactive

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb

11. Pour retourner à la boîte de dialogue Personnaliser les paramètres IPsec, choisissez OK. ChoisissezOK.

Étape 5 : Activation de la détection de passerelleinactive

Ensuite, configurez TCP pour détecter quand une passerelle devient indisponible. Pour ce faire, vouspouvez modifier cette clé de registre : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. N'effectuez pas cette opération avant d'avoir terminé la procédure indiquée dans lessections précédentes. Une fois que vous avez modifié la clé de registre, vous devez redémarrer le serveur.

Pour activer la détection de passerelle inactive :

1. Sur le serveur, choisissez Démarrer, puis tapez regedit pour lancer l'Éditeur du Registre.2. Développez HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip, puis enfin

Parameters.3. Dans l'autre panneau, dans le menu contextuel (clic droit) Nouveau, sélectionnez Valeur DWORD

32 bits.4. Saisissez le nom EnableDeadGWDetect.5. Ouvrez le menu contextuel (clic droit) sur EnableDeadGWDetect et choisissez Modifier.6. Dans Données de la valeur, saisissez 1 et choisissez OK.7. Fermez l'Éditeur du Registre, puis redémarrez le serveur.

Pour plus d'informations, accédez à la page EnableDeadGWDetect dans la Bibliothèque MicrosoftTechNet.

Étape 6 : Test de la connexion VPNPour vérifier si la connexion VPN fonctionne correctement, lancez une instance dans votre VPC et assurez-vous qu'elle n'est associée à aucune connexion Internet. Après avoir lancé l'instance, effectuez un test pingsur son adresse IP privée à partir de votre serveur Windows. Le tunnel VPN intervient lorsque le trafic estgénéré depuis la passerelle client. Par conséquent, la commande ping initie également la connexion VPN.

Pour lancer une instance dans votre VPC et obtenir son adresse IP privée :

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Launch Instances (Lancer les instances).3. Sélectionnez une AMI Amazon Linux, puis un type d'instance.4. Sur la page Étape 3 : Configurer les détails de l'instance, sélectionnez votre VPC dans le champ

Réseau. Pour Sous-réseau (subnet), sélectionnez un sous-réseau. Veillez à sélectionner le sous-réseau privé que vous avez configuré lors de l'étape Étape 1: Création d'une connexion VPN etconfiguration de votre VPC (p. 207).

5. Dans la liste Auto-assign Public IP, assurez-vous que le paramètre est défini sur Disable.6. Choisissez Next jusqu'à ce que vous atteigniez la page Step 6: Configure Security Group. Vous

pouvez sélectionner un groupe de sécurité que vous avez configuré dans Étape 1: Création d'une

218

http://technet.microsoft.com/en-us/library/cc960464.aspx



Étape 6 : Test de la connexion VPN

connexion VPN et configuration de votre VPC (p. 207). Vous pouvez également créer un nouveaugroupe de sécurité et vérifier qu'il comporte une règle autorisant tout le trafic ICMP à partir de l'adresseIP de votre serveur Windows.

7. Terminez les étapes restantes de l'assistant, puis lancez votre instance.8. Sur la page Instances, sélectionnez votre instance. Dans le volet des détails, obtenez l'adresse IP

privée dans le champ Private IPs.

Connectez-vous à votre serveur Windows, ouvrez l'invite de commande, puis utilisez la commande pingpour effectuer un test ping sur votre instance avec son adresse IP privée. Par exemple :

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Si la commande ping échoue, vérifiez les informations suivantes :

• Assurez-vous d'avoir configuré vos règles de groupe de sécurité pour autoriser le trafic ICMP versl'instance dans votre VPC. Si votre serveur Windows est une instance EC2, assurez-vous que lesrègles sortantes de son groupe de sécurité autorisent le trafic IPsec. Pour plus d'informations, consultezConfiguration de votre serveur Windows (p. 206).

• Assurez-vous que le système d'exploitation est configuré pour répondre à ICMP, sur l'instance faisantl'objet de votre test ping. Nous vous recommandons d'utiliser une des AMI Amazon Linux.

• Si l'instance sur laquelle vous effectuez un test ping est une instance Windows, connectez-vous àl'instance et autorisez l'accès ICMPv4 entrant sur le pare-feu Windows.

• Assurez-vous d'avoir correctement configuré les tables de routage pour votre VPC ou votre sous-réseau.Pour plus d'informations, consultez Étape 1: Création d'une connexion VPN et configuration de votreVPC (p. 207).

• Si votre passerelle client est une instance Windows Server, assurez-vous d'avoir désactivé la vérificationorigine/destination pour celle-ci. Pour plus d'informations, consultez Configuration de votre serveurWindows (p. 206).

Sur la page VPN Connections de la console Amazon VPC, sélectionnez votre connexion VPN. Le premiertunnel est à l'état « UP ». Le second tunnel doit être configuré, mais il ne sera utilisé que si le premiertunnel s'arrête. L'établissement des tunnels chiffrés peut prendre quelques instants.

219


Configuration de votre serveur Windows

Configuration deWindows Server 2012 R2 en tant quepasserelle client


Vous pouvez configurer Windows Server 2012 R2 en tant que passerelle client pour votre VPC. Utilisez laprocédure suivante, que vous exécutiez Windows Server 2012 R2 sur une instance EC2 dans un VPC ousur votre propre serveur.

Rubriques• Configuration de votre serveur Windows (p. 220)• Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 221)• Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN (p. 222)• Étape 3 : Configuration du serveur Windows (p. 224)• Étape 4 : Configuration du tunnel VPN (p. 225)• Étape 5 : Activation de la détection de passerelle inactive (p. 230)• Étape 6 : Test de la connexion VPN (p. 230)

Configuration de votre serveur WindowsPour configurer Windows Server en tant que passerelle client, vérifiez que vous avezWindows Server 2012 R2 sur votre propre réseau, ou sur une instance EC2 dans un VPC. Si vous utilisezune instance EC2 que vous avez lancée à partir d'une AMI Windows, procédez comme suit :

• Désactivez la source/destination checking pour l'instance:1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sélectionnez votre instance Windows Server, puis choisissez Actions, Networking, Change Source/

Dest. Check. Choisissez Yes, Disable.• Mettez à jour les paramètres de votre adaptateur pour pouvoir router le trafic depuis d'autres instances :

1. Connectez-vous à votre instance Windows. Pour plus d'informations, consultez la page Connexion àvotre instance Windows.

2. Ouvrez le Panneau de configuration, puis lancez le Gestionnaire de périphériques.3. Développez le nœud Cartes réseau.4. Sélectionnez l'appareil réseau AWS PV, puis choisissez Action, Properties.5. Dans l'onglet Avancé, désactivez les propriétés IPv4 Checksum Offload, TCP Checksum Offload

(IPv4) et UDP Checksum Offload (IPv4), puis choisissez OK.

220






Étape 1: Création d'une connexionVPN et configuration de votre VPC

• Associez une adresse IP Elastic à l'instance:1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, sélectionnez Elastic IPs. Choisissez Allouer une nouvelle adresse.3. Sélectionnez l'adresse IP Elastic, puis choisissez Actions, Associer l'adresse.4. Pour Instance, sélectionnez votre instance Windows Server. Choisissez Associate.

Notez cette adresse — vous en aurez besoin lors de la création de la passerelle client dans votre VPC.• Assurez-vous que les règles du groupe de sécurité de l'instance autorisent le trafic IPsec sortant. Par

défaut, un groupe de sécurité autorise tout le trafic sortant. Toutefois, si les règles sortantes du groupede sécurité ont été modifiées par rapport à leur état d'origine, vous devez créer les règles sortantespersonnalisées suivantes pour le trafic IPsec : protocole IP 50, protocole IP 51 et UDP 500.

Notez la plage d'adresses CIDR pour votre réseau dans lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Étape 1: Création d'une connexion VPN etconfiguration de votre VPC

Pour créer une connexion VPN à partir de votre VPC, vous devez d'abord créer une passerelle réseauprivé virtuel et l'attacher à votre VPC. Vous pouvez ensuite créer une connexion VPN et configurer votreVPC. Vous devez également connaître la plage d'adresses CIDR pour votre réseau dans lequel le serveurWindows est situé (par exemple, 172.31.0.0/16).

Créer une passerelle réseau privé virtuel

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Passerelles réseau privé virtuel, puis Créer une passerelle

réseau privé virtuel.3. Vous pouvez entrer un nom pour votre passerelle réseau privé virtuel si vous le souhaitez, puis

choisissez Yes, Create (Oui, créer).4. Sélectionnez la passerelle privée virtuelle que vous avez créée, puis choisissez Attach to VPC

(Attacher au VPC).5. Dans la boîte de dialogue Attach to VPC (Attacher au VPC), sélectionnez votre VPC dans la liste, puis

choisissez Yes, Attach (Oui, attacher).

Pour créer une connexion VPN :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Connexions VPN, puis Créer une connexion VPN.3. Sélectionnez la passerelle réseau privé virtuel dans la liste.4. Pour Customer Gateway, choisissez New. Pour IP address, spécifiez l'adresse IP publique de votre

Windows Server.

Note

L'adresse IP doit être statique et peut se trouver derrière un périphérique exécutant uneconversion d'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puissefonctionner, vous devez ajuster vos règles de pare-feu pour débloquer le port UDP 4500. Sivotre passerelle client est une instance Windows Server EC2, utilisez son adresse IP Elastic.

221






5. Sélectionnez l'option de routage Static, saisissez les valeurs Static IP Prefixes pour votre réseau ennotation CIDR, puis choisissez Yes, Create.

Pour configurer votre VPC

• Créez un sous-réseau privé dans votre VPC (si ce n'est déjà fait) pour lancer les instances quicommuniqueront avec le serveur Windows. Pour plus d'informations, consultez la section Ajout d'unsous-réseau à votre VPC.

Note

Un sous-réseau privé est un sous-réseau qui ne comporte pas de route vers une passerelleInternet. Le routage pour ce sous-réseau est décrit dans l'élément suivant.

• Mettez à jour vos tables de routage pour la connexion VPN :• Ajoutez une route à la table de routage de votre sous-réseau privé, en définissant la passerelle réseau

privé virtuel comme cible et le réseau du serveur Windows (plage CIDR) comme destination.• Activez la propagation de routes pour la passerelle réseau privé virtuel. Pour plus d'informations,

consultez la section Tables de routage dans le manuel Amazon VPC Guide de l'utilisateur.• Créez une configuration de groupe de sécurité pour vos instances, qui autorise la communication entre

votre VPC et le réseau :• Ajoutez des règles autorisant l'accès SSH ou RDP entrant depuis votre réseau. Cela vous permet

de vous connecter aux instances de votre VPC depuis votre réseau. Par exemple, pour autoriser lesordinateurs de votre réseau à accéder aux instances Linux dans votre VPC, créez une règle entranteavec le type SSH et la source définie sur la plage d'adresses CIDR de votre réseau (par exemple,172.31.0.0/16). Pour plus d'informations, consultez la section Groupes de sécurité pour votre VPCdans le manuel Amazon VPC Guide de l'utilisateur.

• Ajoutez une règle autorisant l'accès ICMP entrant depuis votre réseau. Cela vous permet de testervotre connexion VPN en effectuant un test ping de l'instance dans votre VPC à partir de votre serveurWindows.


Vous pouvez utiliser la console Amazon VPC afin de télécharger un fichier de configurationWindows Server pour votre connexion VPN.

Pour télécharger le fichier de configuration :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPN Connections.3. Sélectionnez votre connexion VPN, puis choisissez Download Configuration (Télécharger la

configuration).4. Sélectionnez le fournisseur Microsoft, la plate-forme Windows Server et le logiciel 2012 R2. Choisissez

Yes, Download. Vous pouvez ouvrir le fichier ou l'enregistrer.

Le fichier de configuration contient une section d'informations similaire à l'exemple ci-dessous. Cesinformations seront affichées deux fois (une pour chaque tunnel). Elles vous serviront lors de laconfiguration du serveur Windows Server 2012 R2.

vgw-1a2b3c4d Tunnel1

222



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html




-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

Adresse IP de la passerelle client (—dans ce cas, votre serveur Windows—) qui interrompt laconnexion VPN du côté de votre réseau. Si votre passerelle client est une instance Windows Server, ils'agit de l'adresse IP privée de l'instance.

Remote Tunnel Endpoint

Une des deux adresses IP de la passerelle réseau privé virtuel qui interrompt la connexion VPN côtéAWS de la connexion.

Endpoint 1

Préfixe IP que vous avez spécifié comme route statique lors de la création de la connexion VPN. Ils'agit des adresses IP de votre réseau qui sont autorisées à utiliser la connexion VPN pour accéder àvotre VPC.

Endpoint 2

Plage d'adresses IP (bloc d'adresse CIDR) du VPC associé à la passerelle réseau privé virtuel (parexemple, 10.0.0.0/16).

Preshared key

Clé pré partagée qui permet d'établir la connexion VPN IPsec entre Local Tunnel Endpoint etRemote Tunnel Endpoint.

Nous vous recommandons de configurer les deux tunnels dans le cadre de la connexion VPN. Chaquetunnel se connecte à un concentrateur VPN distinct du côté Amazon de la connexion VPN. Même si lesdeux tunnels ne peuvent pas être actifs simultanément, le deuxième tunnel s'établit automatiquement sile premier s'arrête. L'utilisation de tunnels redondants garantit une disponibilité continue en cas de panned'un périphérique. Sachant qu'un seul tunnel est disponible à la fois, la console Amazon VPC indique qu'untunnel est arrêté. Ce comportement étant attendu, aucune action de votre part n'est requise.

Les deux tunnels sont configurés. Par conséquent, en cas de dysfonctionnement d'un périphérique dansAWS, votre connexion VPN bascule automatiquement vers le deuxième tunnel de la passerelle réseauprivé virtuel AWS en quelques minutes. Lorsque vous configurez votre passerelle client, vous devezconfigurer les deux tunnels.

Note

De temps en temps, AWS effectue des opérations de maintenance habituelles sur la passerelleréseau privé virtuel. Il est possible que cette opération désactive l'un des deux tunnels de votreconnexion VPN pendant une brève période. Votre connexion VPN bascule automatiquement versle deuxième tunnel lors de ces opérations de maintenance.

Le fichier de configuration téléchargé contient des informations supplémentaires sur les associations desécurité (SA) IKE (Internet Key Exchange) et IPsec. Les paramètres recommandés pour le VPN VPC sontidentiques aux paramètres de configuration IPsec par défaut de Windows Server 2012 R2. Par conséquent,les tâches que vous avez à effectuer sont minimes.

MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

223


Étape 3 : Configuration du serveur Windows

QuickModePFS: DHGroup2

MainModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IKE. Il s'agit des paramètres recommandéspour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2012 R2.

MainModeKeyLifetime

Durée de vie de la clé de la SA IKE. Il s'agit du paramètre recommandé pour la connexion VPN et duparamètre par défaut pour les connexions VPN IPsec de Windows Server 2012 R2.

QuickModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IPsec. Il s'agit des paramètresrecommandés pour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2012 R2.

QuickModePFS

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pour vossessions IPsec.

Étape 3 : Configuration du serveur WindowsAvant de configurer le tunnel VPN, vous devez installer et configurer les services de routage et d'accèsdistant sur votre serveur Windows. Ceci permet aux utilisateurs distants d'accéder aux ressources sur votreréseau.

Pour installer les services de routage et d'accès distant sur Windows Server 2012 R2 :

1. Connectez-vous au serveur Windows Server 2012 R2.2. Accédez au menu Start et choisissez Server Manager.3. Installez les services de routage et d'accès distant :

a. Depuis le menu Gérer, choisissez Ajouter des rôles et fonctionnalités.b. Sur la page Avant de commencer, vérifiez si votre serveur respecte les conditions requises, puis

choisissez Suivant.c. Choisissez Installation basée sur un rôle ou une fonctionnalité, puis Suivant.d. Choisissez Sélectionner un serveur du pool de serveurs, sélectionnez votre serveur Windows

2012 R2, puis choisissez Suivant.e. Sélectionnez Services de stratégie et d'accès réseau dans la liste. Dans la boîte de dialogue

qui s'affiche, choisissez Ajouter des fonctionnalités afin de confirmer les fonctions qui sontnécessaires pour ce rôle.

f. Dans cette même liste, choisissez Remote Access (Accès distant), puis Next (Suivant).g. Sur la page Sélectionner les fonctionnalités, choisissez Suivant.h. Sur la page Services de stratégie et d'accès réseau, choisissez Suivant. Ne désélectionnez pas

Serveur NPS (Network Policy Server) et choisissez Suivant.i. Sur la page Accès distant, choisissez Suivant. Sur la page suivante, sélectionnez DirectAccess

et VPN (RAS). Dans la boîte de dialogue qui s'affiche, choisissez Ajouter des fonctionnalités afinde confirmer les fonctions qui sont nécessaires pour ce service de rôle. Dans cette même liste,sélectionnez Routage, puis choisissez Suivant.

j. Sur la page Rôle Serveur Web (IIS), choisissez Suivant. Conservez la sélection par défaut, puischoisissez Suivant.

224


Étape 4 : Configuration du tunnel VPN

k. Choisissez Installer. Une fois l'installation terminée, choisissez Fermer.

Pour configurer et activer le serveur de Routage et d'accès à distance :

1. Sur le tableau de bord, choisissez Notifications (icône de drapeau). Une tâche doit être effectuée avantde terminer la configuration de post-déploiement. Choisissez le lien Ouvrir l’Assistant Mise en route.

2. Choisissez Déployer VPN uniquement.3. Dans la boîte de dialogue Routage et accès distant, choisissez le nom de serveur, sélectionnez Action,

puis Configurer et activer le routage et l'accès à distance.4. Dans la section Assistant Installation d’un serveur Routage et accès distant, sur la première page,

choisissez Suivant.5. Sur la page Configuration, choisissez Configuration personnalisée, Suivant.6. Choisissez LAN routing (Routage réseau), Next (Suivant), puis Finish (Terminer).7. Lorsque vous y êtes invité par la boîte de dialogue Routage et accès distant, choisissez Démarrer le

service.

Étape 4 : Configuration du tunnel VPNVous pouvez configurer le tunnel VPN en exécutant les scripts netsh inclus dans le fichier de configurationtéléchargé ou à l'aide de l'assistant Nouvelle règle de sécurité de connexion sur le serveur Windows.

Important

Nous vous recommandons d'utiliser la fonction PFS (Perfect Forward Secrecy) de la clé principalepour vos sessions IPsec. Si vois choisissez d'exécuter le script netsh, ce dernier inclut unparamètre pour activer PFS (qmpfs=dhgroup2). Vous ne pouvez pas activer la clé PFS vial'interface utilisateur de Windows Server 2012 R2 — vous devez l'activer à partir de la ligne decommande.

Option 1 : Exécuter le script netshCopiez le script netsh dans le fichier de configuration téléchargé et remplacez les variables. Voici unexemple de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" Ênable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix Êndpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name : vous pouvez remplacer le nom proposé (vgw-1a2b3c4d Tunnel 1) par celui de votre choix.

LocalTunnelEndpoint : saisissez l'adresse IP privée du serveur Windows sur votre réseau.

Endpoint1 : bloc d'adresse CIDR de votre réseau sur lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Endpoint2 : bloc d'adresse CIDR de votre VPC ou d'un sous-réseau de votre VPC (par exemple,10.0.0.0/16).

Exécutez le script mis à jour dans une fenêtre d'invite de commande sur votre serveur Windows. (lecaractère ^ vous permet de couper-coller le texte renvoyé à la ligne dans la ligne de commande). Pour

225



configurer le deuxième tunnel VPN pour cette connexion VPN, répétez la procédure avec le deuxièmescript netsh du fichier de configuration.

Lorsque vous avez terminé, passez à la section 2.4 : Configuration du pare-feu Windows (p. 229).

Pour plus d'informations sur les paramètres netsh, accédez à la page Netsh AdvFirewall ConsecCommands dans la Bibliothèque Microsoft TechNet.

Option 2 : Utiliser l'interface utilisateur deWindows ServerPour configurer le tunnel VPN, vous pouvez également utiliser l'interface utilisateur du serveur Windows.Cette section décrit la marche à suivre.

Important

Vous ne pouvez pas activer la fonction PFS (Perfect Forward Secrecy) de la clé principalevia l'interface utilisateur de Windows Server 2012 R2. Vous devez activer PFS à partir de laligne de commande, comme décrit à la section Activer la clé principale PFS (Perfect ForwardSecrecy) (p. 229).

Rubriques• 2.1 : Configurer une règle de sécurité pour un tunnel VPN (p. 226)• 2.3 : Valider la configuration des tunnels (p. 228)• Activer la clé principale PFS (Perfect Forward Secrecy) (p. 229)

2.1 : Configurer une règle de sécurité pour un tunnel VPNDans cette section, vous configurez une règle de sécurité sur votre serveur Windows afin de créer untunnel VPN.

Pour configurer une règle de sécurité pour un tunnel VPN :

1. Ouvrez Server Manager, choisissez Outils, puis sélectionnez Pare-feu Windows avec fonctionsavancées de sécurité.

2. Sélectionnez Règles de sécurité de connexion, choisissez Action, puis Nouvelle règle.3. Dans l'assistant Nouvelle règle de sécurité de connexion, sur la page Type de règle, choisissez

Tunnel, puis Suivant.4. Sur la page Type de tunnel, sous Quel type de tunnel voulez-vous créer ?, choisissez Configuration

personnalisée. Sous Voulez-vous exempter les connexions protégées par IPsec de ce tunnel ?,conservez la valeur par défaut (Non. Envoyer tout le trafic réseau qui satisfait à cette règle de sécuritéde connexion à travers le tunnel). Sélectionnez ensuite Suivant.

5. Sur la page Configuration requise, choisissez Exiger l’authentification pour les connexions entrantes.Ne pas établir de tunnel pour les connexions sortantes, puis Suivant.

6. Sur la page Points de terminaison du tunnel, sous Quels ordinateurs se trouvent au point determinaison 1 ?, choisissez Ajouter. Saisissez la plage CIDR de votre réseau (derrière votre passerelleclient Windows Server, par exemple : 172.31.0.0/16), puis choisissez OK. La plage peut inclurel'adresse IP de votre passerelle client.

7. Sous Quel est le point de terminaison du tunnel local (le plus proche des ordinateurs du point determinaison 1) ?, choisissez Modifier. Dans le champ Adresse IPv4, entrez l'adresse IP privée de votreserveur Windows, puis choisissez OK.

8. Sous Quel est le point de terminaison du tunnel distant (le plus proche des ordinateurs du pointde terminaison 2) ?, choisissez Modifier. Dans le champ Adresse IPv4, entrez l'adresse IP de la

226

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx



passerelle réseau privé virtuel pour le Tunnel 1 du fichier de configuration (voir Remote TunnelEndpoint), puis choisissez OK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner le point determinaison pour le tunnel 2.

9. Sous Quels ordinateurs se trouvent au point de terminaison 2 ?, choisissez Ajouter. Dans le champCette adresse IP ou ce sous-réseau, entrez le bloc d'adresse CIDR de votre VPC, puis choisissez OK.

Important

Vous devez faire défiler la boîte de dialogue jusqu'à la section Quels ordinateurs se trouventau point de terminaison 2 ?. Ne choisissez pas Suivant avant d'avoir terminé cette étape, carvous ne pourriez pas vous connecter à votre serveur.

227



10. Assurez-vous que tous les paramètres que vous avez spécifiés sont corrects et choisissez Suivant.11. Sur la page Authentication Method (Méthode d'authentification), sélectionnez Advanced (Avancé), puis

choisissez Customize (Personnaliser).12. Sous Premières méthodes d'authentification, choisissez Ajouter.13. Sélectionnez Preshared key (Clé prépartagée), saisissez la valeur de la clé prépartagée provenant du

fichier de configuration, puis cliquez sur OK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner la clé prépartagée correspondante.

14. Assurez-vous que l'option La première authentification est facultative n'est pas sélectionnée, puischoisissez OK.

15. Choisissez Suivant.16. Sur la page Profil, cochez les trois cases : Domaine, Privé et Public. Choisissez Suivant.17. Sur la page Nom, entrez un nom pour votre règle de connexion ; par exemple, VPN to AWS Tunnel

1, puis choisissez Terminer.

Répétez la procédure ci-dessus, en spécifiant les données pour le tunnel 2 provenant du fichier deconfiguration.

Une fois l'opération terminée, vous disposez de deux tunnels configurés pour votre connexion VPN.

2.3 : Valider la configuration des tunnelsPour valider la configuration des tunnels :

1. Ouvrez Server Manager, choisissez Outils, sélectionnez Pare-feu Windows avec fonctions avancéesde sécurité, puis sélectionnez Règles de sécurité de connexion.

2. Effectuez les vérifications suivantes pour les deux tunnels :

• Activé est défini sur Yes.• Point de terminaison 1 est le bloc d'adresse CIDR pour votre réseau• Point de terminaison 2 est le bloc d'adresse CIDR pour votre VPC• Mode d'authentification est défini sur Require inbound and clear outbound.• Méthode d'authentification est défini sur Custom.• Port du point de terminaison 1 est défini sur Any.• Port du point de terminaison 2 est défini sur Any.• Protocole est défini sur Any

3. Sélectionnez la première règle et choisissez Propriétés.4. Sous l'onglet Authentification, sous Méthode, choisissez Personnaliser, puis vérifiez que Premières

méthodes d’authentification contient la clé pré partagée appropriée provenant du fichier deconfiguration pour le tunnel, puis choisissez OK.

5. Dans l'onglet Avancé, assurez-vous que les options Domaine, Privé et Public sont toutessélectionnées.

6. Sous Tunneling IPsec, choisissez Personnaliser. Vérifiez les paramètres de tunneling IPsec ci-après,puis choisissez OK et de nouveau OK pour fermer la boîte de dialogue.

• L'option Utiliser le tunneling IPSec est sélectionnée.• Point de terminaison du tunnel local (le plus proche du point de terminaison 1) contient l'adresse IP

de votre serveur Windows. Si votre passerelle client est une instance EC2, il s'agit de l'adresse IPprivée de cette dernière.

228


2.4 : Configuration du pare-feu Windows

• Point de terminaison du tunnel distant (le plus proche du point de terminaison 2) contient l'adresseIP de la passerelle réseau privé virtuel pour ce tunnel.

7. Affichez les propriétés de votre second tunnel. Répétez les étapes 4 à 7 pour ce tunnel.

Activer la clé principale PFS (Perfect Forward Secrecy)Vous pouvez activer la clé principale PFS à partir de la ligne de commande. Vous ne pouvez pas activercette fonction à partir de l'interface utilisateur.

Pour activer la fonction PFS de la clé principale

1. Sur votre serveur Windows, ouvrez une nouvelle fenêtre d'invite de commande.2. Entrez la commande suivante, en remplaçant rule_name par le nom que vous avez attribué à la

première règle de connexion.

netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Reprenez l'étape 2 pour le second tunnel, en remplaçant cette fois rule_name par le nom que vousavez attribué à la seconde règle de connexion.

2.4 : Configuration du pare-feu WindowsAprès avoir configuré vos règles de sécurité sur votre serveur, configurez les paramètres IPsec de basepour qu'ils fonctionnent avec la passerelle réseau privé virtuel.

Pour configurer le pare-feu Windows :

1. Ouvrez Server Manager, choisissez Outils, sélectionnez Pare-feu Windows avec fonctions avancéesde sécurité, puis choisissez Propriétés.

2. Sous l'onglet Paramètres IPSec, sous Exemptions IPsec, vérifiez que Exempter ICMP d'IPsec estdéfini sur Non (par défaut). Assurez-vous que l'option Autorisation de tunnel IPsec est définie surAucune.

3. Sous Valeurs par défaut IPsec, choisissez Personnaliser.4. Sous Échange de clé (mode principal), sélectionnez Avancé, puis choisissez Personnaliser.5. Dans Personnaliser les paramètres avancés d'échange de clés, sous Méthodes de sécurité, assurez-

vous que ces valeurs par défaut sont utilisées comme première entrée.

• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Algorithme d'échange de clés : Groupe Diffie-Hellman 2• Sous Durée de vie des clés, assurez-vous que Minutes est défini sur 480 et que Sessions est défini

sur 0.

Ces paramètres correspondent aux entrées suivantes dans le fichier de configuration :

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

6. Sous Options d’échange de clés, sélectionnez Utiliser Diffie-Hellman pour une sécurité accrue, puischoisissez OK.

7. Sous Protection des données (mode rapide), sélectionnez Avancé, puis choisissez Personnaliser.

229


Étape 5 : Activation de la détection de passerelle inactive

8. Sélectionnez Demander le chiffrement de toutes les règles de sécurité de connexion qui utilisent cesparamètres.

9. Sous Intégrité de données et chiffrement, conservez les valeurs par défaut:

• Protocole : ESP• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Durée de vie : 60 minutes

Ces valeurs correspondent à l'entrée suivante du fichier de configuration.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

10. Choisissez OK pour revenir dans la boîte de dialogue Customize IPsec Settings (Personnaliser lesparamètres IPsec) et choisissez de nouveau OK pour enregistrer la configuration.

Étape 5 : Activation de la détection de passerelleinactive

Ensuite, configurez TCP pour détecter quand une passerelle devient indisponible. Pour ce faire, vouspouvez modifier cette clé de registre : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. N'effectuez pas cette opération avant d'avoir terminé la procédure indiquée dans lessections précédentes. Une fois que vous avez modifié la clé de registre, vous devez redémarrer le serveur.

Pour activer la détection de passerelle inactive :

1. Depuis votre serveur Windows, lancez l'invite de commande ou une session PowerShell, puis tapezregedit afin de lancer l'éditeur de registre.

2. Développez HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip, puisParameters.

3. Dans le menu Editer, sélectionnez Nouveau et sélectionnez Valeur DWORD 32 bits.4. Saisissez le nom EnableDeadGWDetect.5. Sélectionnez EnableDeadGWDetect, puis choisissez Edit (Éditer) et Modify (Modifier).6. Dans Données de la valeur, saisissez 1, puis choisissez OK.7. Fermez l'Éditeur du Registre, puis redémarrez le serveur.

Pour plus d'informations, consultez EnableDeadGWDetect dans la Bibliothèque Microsoft TechNet.

Étape 6 : Test de la connexion VPNPour vérifier si la connexion VPN fonctionne correctement, lancez une instance dans votre VPC et assurez-vous qu'elle n'est associée à aucune connexion Internet. Après avoir lancé l'instance, effectuez un test pingsur son adresse IP privée à partir de votre serveur Windows. Le tunnel VPN intervient lorsque le trafic estgénéré depuis la passerelle client. Par conséquent, la commande ping initie également la connexion VPN.

Pour lancer une instance dans votre VPC et obtenir son adresse IP privée :

1. Ouvrez la console Amazon EC2, puis choisissez Launch Instance.

230

http://technet.microsoft.com/en-us/library/cc960464.aspx


Étape 6 : Test de la connexion VPN

2. Sélectionnez une AMI Amazon Linux, puis un type d'instance.3. Sur la page Step 3: Configure Instance Details, sélectionnez votre VPC dans la liste Network et un

sous-réseau dans la liste Subnet. Veillez à sélectionner le sous-réseau privé que vous avez configurélors de l'étape Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 221).

4. Dans la liste Auto-assign Public IP, assurez-vous que le paramètre est défini sur Disable.5. Choisissez Next jusqu'à ce que vous atteigniez la page Step 6: Configure Security Group. Vous

pouvez sélectionner un groupe de sécurité que vous avez configuré dans Étape 1: Création d'uneconnexion VPN et configuration de votre VPC (p. 221). Vous pouvez également créer un nouveaugroupe de sécurité et vérifier qu'il comporte une règle autorisant tout le trafic ICMP à partir de l'adresseIP de votre serveur Windows.

6. Terminez les étapes restantes de l'assistant, puis lancez votre instance.7. Sur la page Instances, sélectionnez votre instance. Pour Private IPs (IP privées), notez l'adresse IP

privée dans le volet des détails.

Connectez-vous à votre serveur Windows, ouvrez l'invite de commande, puis utilisez la commande pingpour effectuer un test ping sur votre instance avec son adresse IP privée. Par exemple :

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Si la commande ping échoue, vérifiez les informations suivantes :

• Assurez-vous d'avoir configuré vos règles de groupe de sécurité pour autoriser le trafic ICMP versl'instance dans votre VPC. Si votre serveur Windows est une instance EC2, assurez-vous que lesrègles sortantes de son groupe de sécurité autorisent le trafic IPsec. Pour plus d'informations, consultezConfiguration de votre serveur Windows (p. 220).

• Assurez-vous que le système d'exploitation est configuré pour répondre à ICMP, sur l'instance faisantl'objet de votre test ping. Nous vous recommandons d'utiliser une des AMI Amazon Linux.

• Si l'instance sur laquelle vous effectuez un test ping est une instance Windows, connectez-vous àl'instance et autorisez l'accès ICMPv4 entrant sur le pare-feu Windows.

• Assurez-vous d'avoir correctement configuré les tables de routage pour votre VPC ou votre sous-réseau.Pour plus d'informations, consultez Étape 1: Création d'une connexion VPN et configuration de votreVPC (p. 221).

• Si votre passerelle client est une instance Windows Server, assurez-vous d'avoir désactivé la vérificationorigine/destination pour celle-ci. Pour plus d'informations, consultez Configuration de votre serveurWindows (p. 220).

Sur la page VPN Connections de la console Amazon VPC, sélectionnez votre connexion VPN. Le premiertunnel est à l'état « UP ». Le second tunnel doit être configuré, mais il ne sera utilisé que si le premiertunnel s'arrête. L'établissement des tunnels chiffrés peut prendre quelques instants.

231


Historique du documentCe guide (le Guide de l'administrateur réseau) a été fusionné dans le Guide de l'utilisateur AWS Site-to-Site VPN et n'est plus tenu à jour. Pour de plus amples informations sur la configuration de votrepériphérique de passerelle client, veuillez consulter Guide de l'utilisateur AWS Site-to-Site VPN.

Pour plus d'informations sur les modifications importantes apportées à chaque version du Guide del'administrateur réseau AWS Site-to-Site VPN, consultez la section Historique du document dans leAmazon VPC Guide de l'utilisateur.

232


https://docs.aws.amazon.com/vpc/latest/userguide/WhatsNew.html

Documents

Amazon Virtual Private Cloud · Amazon Virtual Private Cloud Guide de l'administrateur réseau Bienvenue Ce guide (le Guide de l'administrateur réseau) a été fusionné dans le