AWS Site-to-Site VPNGuía del usuario

AWS Site-to-Site VPN Guía del usuario

AWS Site-to-Site VPN: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Site-to-Site VPN Guía del usuario

Table of ContentsQué es Site-to-Site VPN ...................................................................................................................... 1

Conceptos ................................................................................................................................. 1Uso de Site-to-Site VPN .............................................................................................................. 1Limitaciones de Site-to-Site VPN .................................................................................................. 2Precios ...................................................................................................................................... 2

Funcionamiento de AWS Site-to-Site VPN .............................................................................................. 3Componentes de Site-to-Site VPN ................................................................................................ 3

Gateway privada virtual ....................................................................................................... 3Gateway de tránsito ............................................................................................................ 3Gateway de cliente ............................................................................................................. 4Dispositivo de gateway de cliente ......................................................................................... 4

Categorías de Site-to-Site VPN .................................................................................................... 4Opciones de túnel de Site-to-Site VPN .......................................................................................... 5Opciones de autenticación de túneles de Site-to-Site VPN ................................................................ 8

Claves previamente compartidas ........................................................................................... 8Certificado privado de AWS Certificate Manager Private Certificate Authority ................................ 9

Opciones de gateway de cliente ................................................................................................... 9Conexiones de Site-to-Site VPN aceleradas .................................................................................. 10

Habilitación de la aceleración ............................................................................................. 11Reglas y restricciones ....................................................................................................... 11Precios ............................................................................................................................ 11

Opciones de direccionamiento de Site-to-Site VPN ........................................................................ 11Direccionamiento estático y dinámico ................................................................................... 11Tablas de enrutamiento y prioridad de rutas de VPN .............................................................. 12

Introducción ..................................................................................................................................... 14Requisitos previos ..................................................................................................................... 14Creación de una gateway de cliente ............................................................................................ 15Crear una gateway de destino .................................................................................................... 16

Creación de una gateway privada virtual .............................................................................. 16Crear una gateway de tránsito ............................................................................................ 16

Configuración del enrutamiento ................................................................................................... 17(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento ................ 17(Gateway de tránsito) Agregar una ruta a la tabla de enrutamiento ........................................... 18

Actualización de su grupo de seguridad ....................................................................................... 18Crear una conexión de Site-to-Site VPN ....................................................................................... 18Para descargar el archivo de configuración ................................................................................... 20Configurar el dispositivo de gateway de cliente ............................................................................. 20

Arquitecturas .................................................................................................................................... 21Ejemplos de conexión única y múltiple ......................................................................................... 21

Conexión única de Site-to-Site VPN .................................................................................... 21Conexión de Site-to-Site VPN única con una gateway de tránsito ............................................. 22Conexiones de Site-to-Site VPN múltiples ............................................................................. 22Conexiones de Site-to-Site VPN múltiples con una gateway de tránsito ..................................... 23

AWS VPN CloudHub ................................................................................................................. 24Información general ........................................................................................................... 24Precios ............................................................................................................................ 26

Utilización de conexiones de Site-to-Site VPN redundantes para la conmutación por error .................... 26Su dispositivo de gateway de cliente ................................................................................................... 29

Dispositivos de gateway de cliente que hemos probado .................................................................. 31Requisitos para el dispositivo de gateway del cliente ...................................................................... 31Configuración de un firewall entre Internet y el dispositivo de gateway de cliente ................................. 34Múltiples escenarios de conexión de VPN .................................................................................... 36Enrutamiento para su dispositivo de gateway de cliente .................................................................. 36Configuraciones de ejemplo de direccionamiento estático ............................................................... 36

iii

AWS Site-to-Site VPN Guía del usuario

Archivos de configuración de ejemplo .................................................................................. 37Procedimientos de interfaz de usuario para el direccionamiento estático .................................... 38Información adicional para dispositivos Cisco ........................................................................ 48Pruebas ........................................................................................................................... 49

Ejemplos de configuraciones de direccionamiento dinámico (BGP) ................................................... 49Archivos de configuración de ejemplo .................................................................................. 37Procedimientos de la interfaz de usuario para el direccionamiento dinámico ............................... 51Información adicional para dispositivos Cisco ........................................................................ 59Información adicional para dispositivos Juniper ...................................................................... 60Pruebas ........................................................................................................................... 60

Configuración de Windows Server 2008 R2 como gateway de cliente ............................................... 60Configuración del servidor de Windows ................................................................................ 61Paso 1: Crear una conexión de VPN y configurar la VPC ....................................................... 61Paso 2: Descargar el archivo de configuración de la conexión de VPN ...................................... 62Paso 3: Configurar el servidor de Windows ........................................................................... 64Paso 4: Configurar el túnel de VPN ..................................................................................... 65Paso 5: Habilitar la detección de gateways inactivas .............................................................. 72Paso 6: Comprobar la conexión de VPN .............................................................................. 72

Configuración de Windows Server 2012 R2 como dispositivo de gateway de cliente ............................ 73Configuración del servidor de Windows ................................................................................ 73Paso 1: Crear una conexión de VPN y configurar la VPC ....................................................... 74Paso 2: Descargar el archivo de configuración de la conexión de VPN ...................................... 74Paso 3: Configurar el servidor de Windows ........................................................................... 76Paso 4: Configurar el túnel de VPN ..................................................................................... 77Paso 5: Habilitar la detección de gateways inactivas .............................................................. 82Paso 6: Comprobar la conexión de VPN .............................................................................. 82

Solución de problemas .............................................................................................................. 83Dispositivo con BGP ......................................................................................................... 83Dispositivo sin BGP .......................................................................................................... 86Cisco ASA ....................................................................................................................... 88Cisco IOS ........................................................................................................................ 91Cisco IOS sin BGP ........................................................................................................... 96Juniper JunOS ................................................................................................................ 100Juniper ScreenOS ........................................................................................................... 103Yamaha ......................................................................................................................... 106

Uso de Site-to-Site VPN ................................................................................................................... 110Identificación de una conexión de Site-to-Site VPN ...................................................................... 110Migración de AWS Classic VPN a AWS VPN .............................................................................. 111

Opción 1: Migrar directamente a una nueva gateway privada virtual ........................................ 111Opción 2: Migrar utilizando una gateway de tránsito ............................................................. 113Opción 3: (Copia de seguridad de conexiones de VPN para AWS Direct Connect) Eliminar yvolver a crear la conexión de VPN .................................................................................... 115

Creación de una vinculación de la VPN de gateway de tránsito ...................................................... 116Comprobación de la conexión de Site-to-Site VPN ....................................................................... 117Eliminación de una conexión de Site-to-Site VPN ......................................................................... 118Modificación de una gateway de destino de la conexión de Site-to-Site VPN ..................................... 119

Paso 1: Crear la gateway de tránsito ................................................................................. 120Paso 2: Eliminar las rutas estáticas (obligatorio para una conexión de VPN estática al realizar lamigración a una gateway de tránsito) ................................................................................. 120Paso 3: Migrar a una nueva gateway ................................................................................. 121Paso 4: Actualizar tablas de enrutamiento de VPC ............................................................... 121Paso 5: Actualizar el direccionamiento de la gateway de tránsito (necesario cuando la nuevagateway es una gateway de tránsito) ................................................................................. 122Paso 6: Actualizar el ASN de la gateway de cliente (necesario cuando la nueva gateway tiene unASN diferente que la gateway antigua) ............................................................................... 122

Modificación de las opciones de túnel de Site-to-Site VPN ............................................................. 123Edición de las rutas estáticas de una conexión de Site-to-Site VPN ................................................ 123

iv

AWS Site-to-Site VPN Guía del usuario

Cambio de la gateway de cliente de una conexión de Site-to-Site VPN ............................................ 124Sustitución de credenciales filtradas ........................................................................................... 124Rotación de certificados de punto de enlace de túnel de Site-to-Site VPN ........................................ 125

Seguridad ...................................................................................................................................... 126Protección de los datos ............................................................................................................ 126

Privacidad del tráfico entre redes ...................................................................................... 127Administración de identidades y accesos .................................................................................... 128

Políticas de IAM para su conexión Site-to-Site VPN .............................................................. 128Función vinculada al servicio ............................................................................................ 131

Registro y monitorización ......................................................................................................... 132Validación de la conformidad .................................................................................................... 132Resiliencia .............................................................................................................................. 133

Dos túneles por conexión de VPN ..................................................................................... 133Redundancia .................................................................................................................. 133

Seguridad de la infraestructura .................................................................................................. 134Monitoreo de la conexión de Site-to-Site VPN ..................................................................................... 135

Herramientas de monitoreo ....................................................................................................... 135Herramientas de monitoreo automatizadas .......................................................................... 135Herramientas de monitoreo manuales ................................................................................ 136

Monitoreo de túneles de VPN con Amazon CloudWatch ................................................................ 136Dimensiones y métricas de túneles de VPN ........................................................................ 137Visualización de métricas de CloudWatch de túneles de VPN ................................................ 137Creación de alarmas de CloudWatch para monitorear túneles de VPN ..................................... 138

Cuotas ........................................................................................................................................... 140Historial de revisión ......................................................................................................................... 141

v

AWS Site-to-Site VPN Guía del usuarioConceptos

¿Qué es AWS Site-to-Site VPN?De manera predeterminada, las instancias que se lanzan en una Amazon VPC no pueden comunicarsecon su propia red (remota). Puede habilitar el acceso a la red remota desde la VPC creando una conexiónde AWS Site-to-Site VPN (Site-to-Site VPN) y configurando el direccionamiento para que pase el tráfico através de la conexión.

Aunque el término conexión de VPN es un término general, en esta documentación, una conexión de VPNhace referencia a la conexión entre su VPC y su red local. Site-to-Site VPN admite conexiones de VPN concifrado Internet Protocol Security (IPsec).

Su conexión de Site-to-Site VPN es una AWS Classic VPN o una AWS VPN. Para obtener másinformación, consulte Categorías de Site-to-Site VPN (p. 4).

ConceptosA continuación se enumeran los conceptos clave de Site-to-Site VPN:

• Conexión de VPN: conexión segura entre el equipo que se encuentra en las instalaciones y sus VPC.• Túnel de VPN: enlace cifrado donde los datos pueden pasar desde la red del cliente hasta AWS o salir

de allí.

Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguiralta disponibilidad.

• Gateway de cliente: recurso de AWS que proporciona información a AWS sobre su dispositivo degateway de cliente.

• Dispositivo de gateway de cliente: dispositivo físico o aplicación de software en su extremo de laconexión de Site-to-Site VPN.

Uso de Site-to-Site VPNPuede crear, acceder y administrar los recursos de Site-to-Site VPN desde cualquiera de las siguientesinterfaces:

• Consola de administración de AWS—: proporciona una interfaz web que se puede utilizar para obteneracceso a los recursos de Site-to-Site VPN.

• AWS Command Line Interface (AWS CLI) —: proporciona comandos para numerosos servicios de AWS,incluido Amazon VPC y es compatible con Windows, macOS y Linux. Para obtener más información,consulte AWS Command Line Interface.

• SDK de AWS: proporcionan API específicas de cada lenguaje y se encargan de muchos de los detallesde la conexión, tales como el cálculo de firmas, el control de reintentos de solicitud y el control deerrores. Para obtener más información, consulte SDK de AWS.

• API de consulta: proporciona acciones de API de nivel bajo a las que se llama mediante solicitudesHTTPS. Utilizar la API de consulta es la forma más directa de obtener acceso a Amazon VPC, perorequiere que la aplicación controle niveles de detalle de bajo nivel, tales como la generación del códigohash para firmar la solicitud y el control de errores. Para obtener más información, consulte la AmazonEC2 API Reference.

1

AWS Site-to-Site VPN Guía del usuarioLimitaciones de Site-to-Site VPN

Limitaciones de Site-to-Site VPNUna conexión de Site-to-Site VPN tiene las siguientes limitaciones.

• No admite tráfico IPv6.• Una conexión de VPN de AWS no es compatible con la detección de la MTU de la ruta.

PreciosPara obtener información sobre los precios, consulte los precios de VPN.

2

AWS Site-to-Site VPN Guía del usuarioComponentes de Site-to-Site VPN

Funcionamiento de AWS Site-to-SiteVPNComponentes de Site-to-Site VPN

Una conexión de Site-to-Site VPN ofrece dos túneles de la VPN entre una gateway privada virtual o unagateway de tránsito en el lado de AWS y una gateway de cliente en el lado remoto (instalaciones).

Las conexiones de Site-to-Site VPN constan de los componentes siguientes. Para obtener más informaciónacerca de las cuotas de Site-to-Site VPN, consulte Cuotas de Site-to-Site VPN (p. 140).

Contenido• Gateway privada virtual (p. 3)• Gateway de tránsito (p. 3)• Gateway de cliente (p. 4)• Dispositivo de gateway de cliente (p. 4)

Gateway privada virtualLa gateway privada virtual es el concentrador VPN que se encuentra en el extremo de Amazon de laconexión de Site-to-Site VPN. Cree una gateway privada virtual y asóciela a la VPC desde la que deseacrear una conexión de Site-to-Site VPN.

Al crear una gateway privada virtual, puede especificar el número de sistema autónomo (ASN) privado enel lado de Amazon de la gateway. Si no especifica un ASN, la gateway privada virtual se crea con el ASNpredeterminado (64 512). No se puede cambiar el ASN una vez que ha creado la gateway privada virtual.Para comprobar el ASN de su gateway privada virtual, consulte sus detalles en la pantalla Virtual PrivateGateways (Gateways privadas virtuales) en la consola de Amazon VPC o utilice el comando de la AWSCLI describe-vpn-gateways.

Note

Si crea su gateway privada virtual antes del 30-06-2018, el ASN predeterminado es 17 493 enla región Asia Pacífico (Singapur), 10 124 en la región Asia Pacífico (Tokio), 9059 en la regiónEuropa (Irlanda) y 7224 en todas las demás regiones.

Gateway de tránsitoUna gateway de tránsito es un centro de tránsito que puede utilizar para interconectar sus Virtual PrivateClouds (VPC) y las redes locales. Para obtener más información, consulte Gateways de tránsito deAmazon VPC. Puede crear una conexión de Site-to-Site VPN como datos adjuntos en una gateway detránsito.

3

AWS Site-to-Site VPN Guía del usuarioGateway de cliente

Puede modificar la gateway de destino de la conexión de Site-to-Site VPN desde una gateway privadavirtual hasta una gateway de tránsito. Para obtener más información, consulte the section called“Modificación de una gateway de destino de la conexión de Site-to-Site VPN” (p. 119).

Gateway de clienteUna gateway de cliente es un recurso de AWS que proporciona información a AWS acerca de su thesection called “Dispositivo de gateway de cliente” (p. 4). Para obtener información acerca de lasopciones de gateway de cliente, consulte the section called “Opciones de gateway de cliente” (p. 9).

Para utilizar Amazon VPC con una conexión de Site-to-Site VPN, usted o su administrador de red tambiéndeberán configurar la aplicación o el dispositivo de gateway de cliente en su red remota. Cuando se crea laconexión de Site-to-Site VPN, le facilitamos la información de configuración necesaria y el administrador dered normalmente lleva a cabo esta configuración. Para obtener información acerca de los requisitos de lagateway de cliente, consulte Su dispositivo de gateway de cliente (p. 29).

El túnel de VPN aparece cuando el tráfico se genera desde su lado de la conexión de Site-to-Site VPN. Lagateway privada virtual no es el iniciador; su gateway de cliente debe iniciar los túneles. Si su conexión deSite-to-Site VPN registra un periodo de inactividad (de unos 10 segundos, en función de su configuración),es posible que el túnel se ralentice. Para evitar este problema, utilice una herramienta de monitorización dered para generar pings keepalive como, por ejemplo, IP SLA.

Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociacionescuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviadotráfico de renegociación.

Dispositivo de gateway de clienteUn dispositivo de gateway de cliente es un dispositivo físico o aplicación de software en su extremo de laconexión de Site-to-Site VPN. Para obtener más información acerca de la configuración del dispositivo degateway de cliente, consulte Su dispositivo de gateway de cliente (p. 29).

Categorías de Site-to-Site VPNLa conexión de Site-to-Site VPN es una conexión de AWS Classic VPN o una conexión de AWS VPN.Cualquier nueva conexión de Site-to-Site VPN que cree es una conexión de AWS VPN. Las siguientescaracterísticas solo se admiten en conexiones de VPN AWS:

• Internet Key Exchange versión 2 (IKEv2)• Recorrido de NAT• ASN de 4 bytes (además del ASN de 2 bytes)• Métricas de CloudWatch• Direcciones IP reutilizables para sus gateways de cliente• Opciones de cifrado adicionales; incluido el cifrado AES de 256 bits, hash SHA-2 y grupos adicionales

Diffie-Hellman• Opciones de túnel configurables

4

AWS Site-to-Site VPN Guía del usuarioOpciones de túnel de Site-to-Site VPN

• ASN privado personalizado para el lado de Amazon de una sesión BGP• Certificado privado de una CA subordinada de AWS Certificate Manager Private Certificate Authority

Para obtener información sobre cómo identificar y migrar la conexión, consulte the section called“Identificación de una conexión de Site-to-Site VPN” (p. 110) y the section called “Migración de AWSClassic VPN a AWS VPN” (p. 111).

Opciones de túnel de Site-to-Site VPN para suconexión de Site-to-Site VPN

Utilice una conexión de Site-to-Site VPN para conectar su red remota a su VPC. Cada conexión de Site-to-Site VPN tiene dos túneles y cada uno utiliza una dirección IP pública de gateway privada virtual única.Es importante configurar ambos túneles para la redundancia. Cuando un túnel deja de estar disponible (porejemplo, para realizar tareas de mantenimiento), el tráfico de red se direcciona automáticamente al túneldisponible para dicha conexión de Site-to-Site VPN específica.

El siguiente diagrama muestra los dos túneles de la conexión de Site-to-Site VPN.

Al crear una conexión de Site-to-Site VPN, descarga un archivo de configuración específico de sudispositivo de gateway de cliente que contiene información para configurar el dispositivo, incluidainformación para configurar cada túnel. Opcionalmente puede especificar algunas de las opciones de

5

AWS Site-to-Site VPN Guía del usuarioOpciones de túnel de Site-to-Site VPN

túnel usted mismo al crear la conexión de Site-to-Site VPN. De lo contrario, AWS proporciona los valorespredeterminados.

En la siguiente tabla se describen las opciones de túnel que puede configurar.

Elemento Descripción Valores predeterminadosproporcionados por AWS

Tiempo de espera de detecciónde pares muertos (DPD)(segundos)

Período de tiempo tras el cualse producirá el agotamiento deltiempo de espera de la DPD.

Puede especificar 30 o un valorsuperior.

30

Versiones de IKE Las versiones de IKE permitidaspara el túnel de VPN. Puedeespecificar uno o varios valorespredeterminados.

ikev1, ikev2

CIDR dentro del túnel El rango de direcciones IPinteriores para el túnel de VPN.Pude especificar un bloque deCIDR de tamaño /30 desde elintervalo 169.254.0.0/16. Elbloque de CIDR debe ser únicoen todas las conexiones de Site-to-Site VPN que utilizan la mismagateway privada virtual.

Los siguientes bloques de CIDRestán reservados y no se puedenutilizar:

• 169.254.0.0/30

• 169.254.1.0/30

• 169.254.2.0/30

• 169.254.3.0/30

• 169.254.4.0/30

• 169.254.5.0/30

• 169.254.169.252/30

Un bloque de CIDR detamaño /30 desde el rango169.254.0.0/16.

Números de grupo Diffie-Hellman(DH) de fase 1

Los números del grupo DHpermitidos para el túnel de VPNpara las negociaciones IKE de lafase 1. Puede especificar uno ovarios valores predeterminados.

2, 14, 15, 16, 17, 18, 22, 23, 24

Números de grupo Diffie-Hellman(DH) de fase 2

Los números del grupo DHpermitidos para el túnel de VPNpara las negociaciones IKE de lafase 2. Puede especificar uno ovarios valores predeterminados.

2, 5, 14, 15, 16, 17, 18, 22, 23,24

Algoritmos de cifrado de la fase 1 Los algoritmos de cifradopermitidos para el túnel VPNpara las negociaciones IKE de

AES128, AES256

6

AWS Site-to-Site VPN Guía del usuarioOpciones de túnel de Site-to-Site VPN

Elemento Descripción Valores predeterminadosproporcionados por AWS

fase 1. Puede especificar uno ovarios valores predeterminados.

Algoritmos de cifrado de la fase 2 Los algoritmos de cifradopermitidos para el túnel VPNpara las negociaciones IKE defase 2. Puede especificar uno ovarios valores predeterminados.

AES128, AES256

Algoritmos de integridad de lafase 1

Los algoritmos de integridadpermitidos para el túnel VPNpara las negociaciones IKE defase 1. Puede especificar uno ovarios valores predeterminados.

SHA-1, SHA2-256

Algoritmos de integridad de lafase 2

Los algoritmos de integridadpermitidos para el túnel VPNpara las negociaciones IKE defase 2. Puede especificar uno ovarios valores predeterminados.

SHA-1, SHA2-256

Duración de la fase 1 (segundos) La duración en segundos de lafase 1 de las negociaciones IKE.Puede especificar un númerocomprendido entre 900 y 28 800.

28 800 (8 horas)

Duración de la fase 2 (segundos) La duración en segundos de lafase 2 de las negociaciones IKE.Puede especificar un númerocomprendido entre 900 y 3600.El número que especifiquedebe ser inferior al número desegundos para la duración de lafase 1.

3600 (1 hora)

Clave previamente compartida(PSK)

La clave previamente compartida(PSK) para establecer laasociación de seguridad deintercambio de claves de Internet(IKE) inicial entre la gatewayprivada virtual y la gateway decliente.

La PSK debe tener un mínimode 8 caracteres y un máximode 64 y no puede comenzar porcero (0). Se permiten caracteresalfanuméricos, puntos (.) yguiones bajos (_).

Una cadena alfanumérica de 32caracteres.

7

AWS Site-to-Site VPN Guía del usuarioOpciones de autenticación de túneles de Site-to-Site VPN

Elemento Descripción Valores predeterminadosproporcionados por AWS

Difusión de cambio de clave(porcentaje)

El porcentaje de la ventana decambio de clave (determinadopor el tiempo del margen decambio de clave) dentro del cualse selecciona aleatoriamente eltiempo de cambio de clave.

Puede especificar un valorcomprendido entre 0 y 100.

100

Tiempo de margen de cambio declave (segundos)

Tiempo de margen en segundosantes de que expire la duraciónde la fase 2, durante el cual ellado de AWS de la conexión deVPN realiza un cambio de clavede IKE.

Puede especificar un númerocomprendido entre 60 y la mitaddel valor de los segundos deduración de la fase 2.

El tiempo exacto de cambiode clave se seleccionaaleatoriamente en función delvalor de la difusión del cambio declave.

540 (9 minutos)

Tamaño de paquetes del períodode reproducción

El número de paquetes de unperíodo de reproducción de IKE.

Puede especificar un valorcomprendido entre 64 y 2048.

1024

Puede modificar las opciones de túnel después de crear la conexión de Site-to-Site VPN. No puedeconfigurar las opciones de túnel para una conexión AWS Classic VPN.

Opciones de autenticación de túneles de Site-to-Site VPN

Puede utilizar claves compartidas previamente o certificados para autenticar los puntos de enlace de túnelde Site-to-Site VPN.

Claves previamente compartidasUna clave previamente compartida es la opción de autenticación predeterminada.

Una clave previamente compartida es una opción de túnel de Site-to-Site VPN que se puede especificar alcrear un túnel de Site-to-Site VPN.

8

AWS Site-to-Site VPN Guía del usuarioCertificado privado de AWS CertificateManager Private Certificate Authority

Una clave previamente compartida es una cadena que se escribe al configurar el dispositivo de gatewayde cliente. Si no especifica una cadena, generaremos una automáticamente para usted.

Certificado privado de AWS Certificate ManagerPrivate Certificate AuthoritySi no quiere utilizar claves previamente compartidas, puede utilizar un certificado privado de AWSCertificate Manager Private Certificate Authority para autenticar la VPN.

Tiene que crear un certificado privado de una entidad emisora de certificados subordinada que use AWSCertificate Manager Private Certificate Authority (ACM Private CA). Para firmar la CA subordinada deACM, puede utilizar una CA raíz de ACM o una CA externa. Para obtener información sobre cómo crear uncertificado privado, consulte la sección sobre creación y administración de una CA privada en la Guía delusuario de AWS Certificate Manager Private Certificate Authority.

Debe crear un rol de vínculo de servicio para generar y utilizar el certificado para el extremo de AWS delpunto de enlace del túnel de Site-to-Site VPN. Para obtener más información, consulte the section called“Permisos concedidos por el rol vinculado a servicio” (p. 131).

Después de generar el certificado privado, especifique el certificado al crear la gateway de cliente y luegoaplíquelo al dispositivo de gateway de cliente.

Si no especifica la dirección IP de su dispositivo de gateway de cliente, no verificaremos la dirección IP.Esta operación le permite trasladar el dispositivo de gateway de cliente a otra dirección IP sin tener quevolver a configurar la conexión de VPN.

Opciones de gateway de cliente para su conexiónde Site-to-Site VPN

La siguiente tabla describe la información que necesitará para crear un recurso de gateway de cliente.

Elemento Descripción

(Opcional) Dirección IP direccionable de Internet(estática) de la interfaz externa de la gateway decliente.

El valor de dirección IP pública debe ser estático.Si su gateway de cliente se encuentra detrás deun dispositivo de conversión de direcciones de red(NAT) que admite NAT traversal (NAT-T), utilice ladirección IP pública de su dispositivo NAT y ajustelas reglas de su firewall para desbloquear el puertoUDP 4500.

Esto no es necesario cuando se utiliza uncertificado privado de AWS Certificate ManagerPrivate Certificate Authority.

El tipo de direccionamiento: estático o dinámico. Para obtener más información, consulte Opcionesde direccionamiento de Site-to-Site VPN (p. 11).

(Solo direccionamiento dinámico) Número desistema autónomo (ASN) para protocolo degateway fronteriza (BGP) de la gateway de cliente.

Puede utilizar un ASN existente asignado a su red.Si no tiene ninguno, puede utilizar un ASN privadoen el rango 64512–65534.

De lo contrario, el ASN predeterminado es 65 000.

9

AWS Site-to-Site VPN Guía del usuarioConexiones de Site-to-Site VPN aceleradas

Elemento Descripción

(Opcional) Certificado privado de una entidademisora de certificados subordinada que use AWSCertificate Manager (ACM)

Si quiere utilizar la autenticación basada encertificados, proporcione el ARN de un certificadoprivado ACM para usarlo en el dispositivo degateway de cliente.

Al crear una gateway de cliente, puede configurarlapara que utilice certificados privados de AWSCertificate Manager Private Certificate Authoritypara autenticar el Site-to-Site VPN.

Cuando elige utilizar esta opción, crea una entidadde certificación privada (CA) totalmente alojada enAWS para que la organización la use internamente.ACM Private CA almacena y administra tanto elcertificado de entidad de certificación raíz como laentidad de certificación subordinada.

Antes de crear la gateway de cliente, tiene quecrear un certificado privado a partir de una CAsubordinada mediante AWS Certificate ManagerPrivate Certificate Authority y luego especificael certificado al configurar la gateway de cliente.Para obtener información sobre la creación de uncertificado privado, consulte la sección de creacióny administración de una CA privada en la Guíadel usuario de AWS Certificate Manager PrivateCertificate Authority.

Conexiones de Site-to-Site VPN aceleradasOpcionalmente, puede habilitar la aceleración para su conexión de Site-to-Site VPN. Una conexión de Site-to-Site VPN acelerada (conexión de VPN acelerada) utiliza AWS Global Accelerator para direccionar eltráfico de la red de las instalaciones a la ubicación de borde de AWS que esté más cerca del dispositivode gateway de cliente. AWS Global Accelerator optimiza la ruta de red, utilizando la red global de AWSsin congestión para direccionar el tráfico al punto de enlace que proporcione el mejor rendimiento de laaplicación (para obtener más información, consulte AWS Global Accelerator). Puede utilizar una conexiónde VPN acelerada para evitar las interrupciones en la red que podrían producirse cuando el tráfico sedirecciona a través del Internet público.

Cuando usted crea una conexión de VPN acelerada, nosotros creamos y administramos dos aceleradoresen su nombre, uno para cada túnel de VPN.

Las conexiones de VPN aceleradas se admiten en las siguientes regiones de AWS: US East (N. Virginia),EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), EE.UU. Oeste (Norte de California), Europa (Irlanda), Europa(Fráncfort), Europa (Londres), Europa (París), Asia Pacífico (Singapur), Asia Pacífico (Tokio), Asia Pacífico(Sídney), Asia Pacífico (Seúl), Asia Pacífico (Mumbai) y Canadá (Central).

Temas• Habilitación de la aceleración (p. 11)• Reglas y restricciones (p. 11)• Precios (p. 11)

10

AWS Site-to-Site VPN Guía del usuarioHabilitación de la aceleración

Habilitación de la aceleraciónDe forma predeterminada, cuando se crea una conexión de Site-to-Site VPN, la aceleración estádeshabilitada. Opcionalmente, puede habilitar la aceleración al crear una nueva asociación de Site-to-SiteVPN en una gateway de tránsito. Para obtener más información y ver los pasos, consulte Creación de unavinculación de la VPN de gateway de tránsito (p. 116).

Las conexiones de VPN aceleradas utilizan un grupo independiente de direcciones IP para las direccionesIP del punto de enlace del túnel. Las direcciones IP de los dos túneles de VPN se seleccionan en doszonas de red distintas.

Reglas y restriccionesPara utilizar una conexión de VPN acelerada, se aplican las siguientes reglas:

• La aceleración solo se admite para conexiones de Site-to-Site VPN asociadas a una gateway de tránsito.Las gateway privadas virtuales no admiten conexiones de VPN aceleradas.

• No se puede habilitar ni deshabilitar la aceleración para una conexión de Site-to-Site VPN existente.En su lugar, puede crear una nueva conexión de Site-to-Site VPN con la aceleración habilitada odeshabilitada, según sea necesario. A continuación, configure su dispositivo de gateway de cliente paraque utilice la nueva conexión de Site-to-Site VPN y elimine la conexión de Site-to-Site VPN antigua.

• Se requiere NAT-Traversal (NAT-T) para una conexión de VPN acelerada y está habilitado de formapredeterminada.

• Los cambios de clave de IKE para túneles de VPN acelerados deben iniciarse desde el dispositivo degateway de cliente para mantener los túneles activos.

PreciosSe aplican cargos por hora para una conexión de Site-to-Site VPN. Para obtener más información,consulte la sección sobre precios de AWS. Cuando usted crea una conexión de VPN acelerada, nosotroscreamos y administramos dos aceleradores en su nombre. Se le cobrará una tarifa por hora y los costos detransferencia de datos para cada acelerador. Para obtener más información, consulte los precios de AWSGlobal Accelerator.

Opciones de direccionamiento de Site-to-Site VPNCuando cree una conexión de Site-to-Site VPN, debe hacer lo siguiente:

• Especifique el tipo de direccionamiento que va a usar (estático o dinámico)• Actualice la tabla de enrutamiento de la subred

No hay ninguna cuota en el número de rutas que puede agregar a una tabla de enrutamiento. Para obtenermás información, consulte la sección de tablas de enrutamiento en Cuotas de Amazon VPC en la Guía delusuario de Amazon VPC.

Direccionamiento estático y dinámicoEl tipo de enrutamiento seleccionado puede depender del fabricante y el modelo de su dispositivo degateway de cliente. Si el dispositivo de gateway de cliente admite el protocolo de gateway fronteriza(BGP), especifique el enrutamiento dinámico al configurar la conexión de Site-to-Site VPN. Si el dispositivo

11

AWS Site-to-Site VPN Guía del usuarioTablas de enrutamiento y prioridad de rutas de VPN

de gateway de cliente no admite BGP, especifique un enrutamiento estático. Para obtener una lista dedispositivos de enrutamiento estático y dinámico que se han probado con Site-to-Site VPN, consulteDispositivos de gateway de cliente que hemos probado (p. 31).

Si utiliza un dispositivo que admite publicidad BGP, no será necesario especificar ninguna ruta estática ala conexión de Site-to-Site VPN, puesto que el dispositivo utiliza BGP para anunciar sus rutas a la gatewayprivada virtual. Si utiliza un dispositivo que no admite publicidad BGP, debe seleccionar el enrutamientoestático y escribir las rutas (prefijos IP) de su red que deben comunicarse a la gateway privada virtual.

Se recomienda utilizar dispositivos que admitan BGP, siempre que estén disponibles, ya que el protocoloBGP ofrece comprobaciones de detección de conexión que pueden ayudar en la conmutación por erroral segundo túnel de VPN en caso de error en el primero. Los dispositivos que no admiten BGP tambiénpueden realizar comprobaciones de estado para ayudar en la conmutación por error al segundo túnelsiempre que sea necesario.

Debe configurar el dispositivo de gateway del cliente para enrutar el tráfico desde la red local a la conexiónde Site-to-Site VPN. La configuración depende del fabricante y el modelo del dispositivo. Para obtener másinformación, consulte Su dispositivo de gateway de cliente (p. 29).

Tablas de enrutamiento y prioridad de rutas de VPNLas tablas de enrutamiento determinan dónde se dirige el tráfico de red de la VPC. En la tabla deenrutamiento de la VPC, tiene que agregar una ruta para su red remota y especificar la gateway privadavirtual como destino. Esto permite que el tráfico desde su VPC que está dirigido a su red remota seenrute a través de la gateway privada virtual y a través de uno de los túneles de VPN. Puede habilitar lapropagación de rutas para que su tabla de ruteo propague automáticamente las rutas de red a la tabla.

Para determinar cómo dirigir tráfico, se utiliza la ruta más específica de su tabla de ruteo que coincidacon el tráfico en cuestión (coincidencia del prefijo más largo). Si la tabla de enrutamiento tiene rutassuperpuestas o coincidentes, se aplican las siguientes reglas:

• En el caso de que las rutas propagadas de una conexión de Site-to-Site VPN o AWS Direct Connect sesuperpongan con la ruta local de su VPC, se preferirá la ruta local aunque las rutas propagadas seanmás específicas.

• Si las rutas propagadas desde una conexión de Site-to-Site VPN o AWS Direct Connect tiene el mismobloque de CIDR de destino que otras rutas estáticas (cuando no sea posible aplicar la coincidencia deprefijo más largo), se dará prioridad a las rutas estáticas cuyos objetivos sean gateways de Internet,gateways privadas virtuales, interfaces de red, ID de instancia, interconexiones de VPC, gateways NAT,una gateway de tránsito o puntos de enlace de la VPC de gateway.

Por ejemplo, la siguiente tabla de enrutamiento tiene una ruta estática a una gateway de Internet y una rutapropagada a una gateway privada virtual. Ambas rutas tienen el destino 172.31.0.0/24. En este caso,todo el tráfico con destino 172.31.0.0/24 se dirige a la gateway de Internet, ya que se trata de una rutaestática con prioridad sobre la ruta propagada.

Destino Objetivo

10.0.0.0/16 Local

172.31.0.0/24 vgw-11223344556677889 (propagada)

172.31.0.0/24 igw-12345678901234567 (estática)

Solo los prefijos IP que la gateway privada virtual conozca, ya sea mediante anuncios de BGP o porintroducción de una ruta estática, podrán recibir tráfico de su VPC. La gateway privada virtual no direcciona

12

AWS Site-to-Site VPN Guía del usuarioTablas de enrutamiento y prioridad de rutas de VPN

el tráfico cuyo destino no sea el mencionado en los anuncios de BGP recibidos, las entradas de rutaestática o los CIDR de VPC asociados.

Cuando una gateway privada virtual recibe información de direccionamiento, usa la selección de rutas paradeterminar cómo debe dirigir el tráfico de las rutas. Se aplica la coincidencia de prefijo más larga. Si losprefijos son los mismos, la gateway privada virtual da prioridad a las rutas de la siguiente manera, desde lamás preferida a la menos preferida:

• Rutas propagadas de BGP desde una conexión de AWS Direct Connect• Rutas estáticas añadidas manualmente para una conexión de Site-to-Site VPN• Rutas propagadas de BGP desde una conexión de Site-to-Site VPN• Para los prefijos que coinciden en los que cada conexión de Site-to-Site VPN utiliza BGP, se compara

la ruta AS PATH, y se prefiere el prefijo con la ruta AS PATH más corta. También puede anexarpreviamente AS_PATH para que la ruta no tenga preferencia.

• Cuando los AS PATH tengan la misma longitud y si el primer AS de AS_SEQUENCE es el mismo enmúltiples rutas, se comparan los discriminadores de salida múltiple (MED). Se prefiere la ruta con elvalor de MED más bajo.

La prioridad de ruta se ve afectada durante las actualizaciones del punto de enlace del túnel de laVPN (p. 13).

Recomendamos anunciar las rutas de BGP más específicas para influir en las decisiones de enrutamientode la gateway privada virtual.

Enrutamiento durante las actualizaciones de punto de enlace deltúnel de VPNUna conexión de Site-to-Site VPN consta de dos túneles de VPN entre un dispositivo de gateway de clientey una gateway privada virtual o una gateway de tránsito. Recomendamos configurar ambos túneles parala redundancia. Su conexión de VPN puede experimentar una breve pérdida de redundancia cuandorealicemos actualizaciones de punto de enlace de túnel en uno de los dos túneles. Las actualizaciones delos puntos de enlace de un túnel pueden producirse por varios motivos como, por ejemplo, mantenimiento,actualizaciones de software o retirada de hardware subyacente.

Cuando realizamos actualizaciones en un túnel de VPN, establecemos un valor más bajo de discriminadorde salida múltiple (MED) saliente en el otro túnel. Si ha configurado su dispositivo de gateway de clientepara que utilice ambos túneles, la conexión de VPN utilizará el otro túnel (activo) durante el proceso deactualización del punto de enlace del túnel.

Note

Para asegurarse de que se prefiere el túnel activo con el MED inferior, asegúrese de que sudispositivo de gateway de cliente utilice los mismos valores de peso y preferencia local paraambos túneles (el peso y la preferencia local tienen mayor prioridad que el MED).

13

AWS Site-to-Site VPN Guía del usuarioRequisitos previos

IntroducciónUtilice los procedimientos siguientes para configurar manualmente la conexión de AWS Site-to-Site VPN.Puede crear una conexión Site-to-Site VPN con una gateway privada virtual o una gateway de tránsitocomo gateway de destino.

Para configurar una conexión Site-to-Site VPN, siga los pasos siguientes:

• Requisitos previos (p. 14)• Paso 1: Creación de una gateway de cliente (p. 15)• Paso 2: Crear una gateway de destino (p. 16)• Paso 3: Configuración del enrutamiento (p. 17)• Paso 4: Actualización de su grupo de seguridad (p. 18)• Paso 5: Crear una conexión de Site-to-Site VPN (p. 18)• Paso 6: Para descargar el archivo de configuración (p. 20)• Paso 7: Configurar el dispositivo de gateway de cliente (p. 20)

En este procedimiento se supone que dispone de una VPC con una o varias subredes.

Para ver los pasos para crear una conexión Site-to-Site VPN en una gateway de tránsito, consulteCreación de una vinculación de la VPN de gateway de tránsito (p. 116).

Requisitos previosNecesita la siguiente información para establecer y configurar los componentes de una conexión Site-to-Site VPN.

Elemento Información

Dispositivo de gateway de cliente El dispositivo físico o de software del lado de laconexión de VPN. Necesita el proveedor (porejemplo, Cisco Systems), la plataforma (porejemplo, ISR Series Routers) y la versión desoftware (por ejemplo, IOS 12.4).

Gateway de cliente Para crear el recurso de gateway de cliente enAWS, necesita la siguiente información:

• La dirección IP direccionable de Internet para lainterfaz externa del dispositivo

• El tipo de direccionamiento: estático odinámico (p. 11)

• Para el direccionamiento dinámico: el númerode sistema autónomo (ASN) para protocolo degateway fronteriza (BGP)

• (Opcional) Certificado privado de AWSCertificate Manager Private Certificate Authoritypara autenticar su VPN

14

AWS Site-to-Site VPN Guía del usuarioCreación de una gateway de cliente

Elemento InformaciónPara obtener más información, consulte Opcionesde gateway de cliente para su conexión de Site-to-Site VPN (p. 9).

(Opcional) El ASN para el lado de AWS de unasesión BGP

Debe especificarse al crear una gateway privadavirtual o una gateway de tránsito. Si no especificaun valor, se aplica el ASN predeterminado. Paraobtener más información, consulte Gatewayprivada virtual (p. 3).

conexión de VPN Para crear una conexión de VPN, necesita lasiguiente información:

• Para el enrutamiento estático, los prefijos IP parala red privada.

• (Opcional) Opciones de túnel para cada túnelVPN. Para obtener más información, consulteOpciones de túnel de Site-to-Site VPN para suconexión de Site-to-Site VPN (p. 5).

Creación de una gateway de clienteUna gateway de cliente proporciona información a AWS acerca de su dispositivo de gateway de cliente oaplicación de software. Para obtener más información, consulte Gateway de cliente (p. 4).

Si tiene previsto usar un certificado privado para autenticar la VPN, cree un certificado privado a partirde una CA subordinada mediante AWS Certificate Manager Private Certificate Authority. Para obtenerinformación sobre la creación de un certificado privado, consulte la sección de creación y administración deuna CA privada en la Guía del usuario de AWS Certificate Manager Private Certificate Authority.

Note

Tiene que especificar una dirección IP o el nombre de recurso de Amazon del certificado privado.

Para crear una gateway de cliente con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Customer Gateways y, a continuación, elija Create Customer

Gateway.3. Complete la siguiente información y, a continuación, elija Create Customer Gateway:

• (Opcional) En Name (Nombre), escriba un nombre para la gateway de cliente. Esta acción crearáuna etiqueta con una clave de Name y el valor que especifique.

• Para Routing, seleccione el tipo de direccionamiento.• Para direccionamiento dinámico, para BGP ASN, escriba el número de sistema autónomo (ASN)

para protocolo de gateway fronteriza (BGP).• (Opcional) para la IP Address (Dirección IP), escriba la dirección IP direccionable de Internet

estática del dispositivo de gateway de cliente. Si su gateway de cliente se encuentra detrás de undispositivo NAT habilitado para NAT-T, utilice la dirección IP pública del dispositivo NAT.

• (Opcional) Si desea utilizar un certificado privado, para Certificate ARN (ARN de certificado), elija elnombre de recurso de Amazon del certificado privado.

15

AWS Site-to-Site VPN Guía del usuarioCrear una gateway de destino

Para crear una gateway de cliente mediante la línea de comando o API

• CreateCustomerGateway (API de consulta de Amazon EC2)• create-customer-gateway (AWS CLI)• New-EC2CustomerGateway (Herramientas de AWS para Windows PowerShell)

Crear una gateway de destinoPara establecer una conexión de VPN entre la VPC y la red de las instalaciones, tiene que crear unagateway de destino en el lado de AWS de la conexión. La gateway de destino puede ser una gatewayprivada virtual o una gateway de tránsito.

Creación de una gateway privada virtualAl crear una gateway privada virtual, puede especificar opcionalmente el número de sistema autónomo(ASN) privado en el lado de Amazon de la gateway. Este ASN tiene que ser distinto del BGP ASNespecificado para la gateway de cliente.

Después de crear una gateway privada virtual, debe adjuntarla a su VPC.

Para crear una gateway privada virtual y adjuntarla a su VPC.

1. En el panel de navegación, elija Virtual Private Gateways, Create Virtual Private Gateway.2. (Opcional) Escriba un nombre para la gateway privada virtual. Esta acción creará una etiqueta con una

clave de Name y el valor que especifique.3. Para ASN, deje la selección predeterminada para utilizar el ASN de Amazon predeterminado. De lo

contrario, elija Custom ASN (ASN personalizado) y escriba un valor. Para un ASN de 16 bits ASN,el valor debe estar dentro del rango de 64 512 a 65 534. Para un ASN de 32 bits ASN, el valor debeestar dentro del rango de 4 200 000 000 a 4 294 967 294.

4. Elija Create Virtual Private Gateway.5. Seleccione la gateway privada virtual que ha creado y, a continuación, elija Actions, Attach to VPC.6. Seleccione la VPC en la lista y elija Yes, Attach.

Para crear una gateway privada virtual mediante la línea de comando o API

• CreateVpnGateway (API de consulta de Amazon EC2)• create-vpn-gateway (AWS CLI)• New-EC2VpnGateway (Herramientas de AWS para Windows PowerShell)

Para adjuntar una gateway privada virtual a una VPC mediante la línea de comando o API

• AttachVpnGateway (API de consulta de Amazon EC2)• attach-vpn-gateway (AWS CLI)• Add-EC2VpnGateway (Herramientas de AWS para Windows PowerShell)

Crear una gateway de tránsitoPara obtener más información acerca de cómo crear una gateway de tránsito, consulte la sección degateways de tránsito en la Gateways de tránsito de Amazon VPC.

16

AWS Site-to-Site VPN Guía del usuarioConfiguración del enrutamiento

Configuración del enrutamientoPara que las instancias de su VPC puedan conectarse con la gateway de cliente, debe configurar sutabla de enrutamiento para que incluya las rutas que utilicen su conexión de Site-to-Site VPN y hacer queapunten a su gateway privada virtual o a la gateway de tránsito.

(Gateway privada virtual) Habilitar la propagación derutas en la tabla de enrutamientoPuede habilitar la propagación de rutas para que su tabla de enrutamiento propague automáticamenterutas de Site-to-Site VPN.

Para el direccionamiento estático, los prefijos de IP estática que especifique en la configuración de su Site-to-Site VPN se propagarán a la tabla de ruteo cuando el estado de la conexión de VPN sea UP. Del mismomodo, para el direccionamiento dinámico, las rutas anunciadas mediante GBP desde su gateway de clientese propagarán a la tabla de ruteo cuando el estado de la conexión de Site-to-Site VPN sea UP.

Note

Si la conexión se interrumpe pero la conexión de VPN permanece ACTIVA, las rutas propagadasque se encuentren en la tabla de enrutamiento no se eliminarán automáticamente. Téngalo encuenta si, por ejemplo, desea que el tráfico se conmute por error a una ruta estática. En dichocaso, es posible que tenga que deshabilitar la propagación de rutas para eliminar las rutaspropagadas.

Para habilitar la propagación de rutas utilizando la consola

1. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo asociadaa la subred. De forma predeterminada, esta es la tabla de enrutamiento principal de la VPC.

2. En la pestaña Route Propagation (Propagación de rutas) del panel de detalles, elija Edit (Editar),seleccione la gateway privada virtual que creó en el procedimiento anterior y, a continuación, elijaSave (Guardar).

Note

Para el direccionamiento estático, si no habilita la propagación de rutas, deberá escribirmanualmente las rutas estáticas que utiliza su conexión de Site-to-Site VPN. Para ello, seleccionesu tabla de ruteo y elija Routes (Rutas), Edit (Editar). En Destination (Destino), agregue la rutaestática utilizada por su conexión de Site-to-Site VPN. En Target (Objetivo), seleccione el ID degateway privada virtual y elija Save (Guardar).

Para deshabilitar la propagación de rutas utilizando la consola

1. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo asociadaa la subred.

2. Elija Route Propagation, Edit. Elimine la selección de la casilla de verificación Propagate de la gatewayprivada virtual y elija Save.

Para habilitar la propagación de rutas mediante la línea de comando o un API

• EnableVgwRoutePropagation (API de consulta de Amazon EC2)• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (Herramientas de AWS para Windows PowerShell)

17

AWS Site-to-Site VPN Guía del usuario(Gateway de tránsito) Agregar una

ruta a la tabla de enrutamiento

Para deshabilitar la propagación de rutas mediante la línea de comando o un API

• DisableVgwRoutePropagation (API de consulta de Amazon EC2)• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (Herramientas de AWS para Windows PowerShell)

(Gateway de tránsito) Agregar una ruta a la tabla deenrutamientoSi ha habilitado la propagación de la tabla de enrutamiento para la gateway de tránsito, las rutas de losdatos adjuntos de VPN se propagarán a la tabla de rutas de la gateway de tránsito. Para obtener másinformación, consulte la sección de enrutamiento en la Gateways de tránsito de Amazon VPC.

Si asocia una VPC a la gateway de tránsito y desea habilitar recursos de la VPC para llegar a la gatewayde cliente, tiene que agregar una ruta a la tabla de enrutamiento de subred para apuntar a la gateway detránsito.

Para añadir una ruta a una tabla de ruteo de VPC

1. En el panel de navegación, elija Route Tables (Tablas de ruteo).2. Elija la tabla de enrutamiento asociada a su VPC.3. Elija la pestaña Routes (Rutas) y, a continuación, Edit routes (Editar rutas).4. Seleccione Add route (Añadir ruta).5. Introduzca el rango de direcciones IP de destino en la columna Destination (Destino). En Target

(Destino), elija la gateway de tránsito.6. Elija Save routes (Guardar rutas) y, a continuación, elija Close (Cerrar).

Actualización de su grupo de seguridadPara permitir el acceso a instancias en su VPC desde su red, debe actualizar las reglas del grupo deseguridad para habilitar acceso SSH, RDP e ICMP entrante.

Para añadir reglas a su grupo de seguridad para habilitar el acceso SSH, RDP e ICMP entrante

1. En el panel de navegación, elija Security Groups y, a continuación, seleccione el grupo de seguridadpredeterminado para la VPC.

2. En la pestaña Inbound del panel de detalles, añada reglas que permitan el acceso SSH, RDP e ICMPentrante desde su red y, a continuación, elija Save. Para obtener más información acerca de cómoagregar reglas entrantes, consulte Adición, eliminación y actualización de reglas en la Guía del usuariode Amazon VPC.

Para obtener más información acerca del uso de grupos de seguridad utilizando la AWS CLI, visite Gruposde seguridad de su VPC en la Guía del usuario de Amazon VPC.

Crear una conexión de Site-to-Site VPNCree la conexión Site-to-Site VPN mediante la gateway de cliente y la gateway privada virtual o la gatewayde tránsito que creó anteriormente.

18

AWS Site-to-Site VPN Guía del usuarioCrear una conexión de Site-to-Site VPN

Para crear una conexión de Site-to-Site VPN

1. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones de Site-to-Site VPN),Create VPN Connection (Crear conexión de VPN).

2. (Opcional) En Name tag (Etiqueta de nombre), escriba el nombre de la conexión de Site-to-Site VPN.Esta acción creará una etiqueta con una clave de Name y el valor que especifique.

3. Para Target Gateway Type (Tipo de gateway de destino), elija Virtual Private Gateway (Gatewayprivada virtual) o Transit Gateway (Gateway de tránsito). A continuación, elija la gateway privadavirtual o la gateway de tránsito que ha creado anteriormente.

4. Para el Customer Gateway ID (ID de gateway de cliente), seleccione el gateway de cliente que hacreado anteriormente.

5. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway decliente da soporte al protocolo de gateway fronteriza (BGP):

• Si el dispositivo de gateway de cliente da soporte a BGP, elija Dynamic (requires BGP) (Dinámico[requiere BGP]).

• Si el dispositivo de gateway de cliente no da soporte a BGP, elija Static (Estático). En Static IPPrefixes (Prefijos de IP estática), especifique cada prefijo de IP para la red privada de su conexiónde Site-to-Site VPN.

6. (Opcional) En Tunnel Options (Opciones de túnel), puede especificar la siguiente información paracada túnel:

• Un bloque de CIDR de tamaño /30 desde el rango 169.254.0.0/16 para las direcciones IP detúnel interior.

• La clave previamente compartida de IKE (PSK). Las siguientes versiones son compatibles: IKEv1 oIKEv2.

• Información avanzada del túnel, que incluye lo siguiente:• Algoritmos de cifrado para las fases 1 y 2 de las negociaciones IKE• Algoritmos de integridad para las fases 1 y 2 de las negociaciones IKE• Grupos Diffie-Hellman para las fases 1 y 2 de las negociaciones IKE• Versión IKE• Duración de las fases 1 y 2• Tiempo de margen de cambio de clave• Difusión de cambio de clave• Reproducción de tamaño de ventana• Intervalo de detección de pares muertos

Para obtener más información sobre estas opciones, consulte Opciones de túnel de Site-to-Site VPNpara su conexión de Site-to-Site VPN (p. 5).

7. Elija Create VPN Connection (Crear conexión de VPN). Es posible que la conexión de Site-to-SiteVPN tarde unos minutos en crearse.

Para crear una conexión de Site-to-Site VPN mediante la línea de comandos o la API

• CreateVpnConnection (API de consulta de Amazon EC2)• create-vpn-connection (AWS CLI)• New-EC2VpnConnection (Herramientas de AWS para Windows PowerShell)

19

AWS Site-to-Site VPN Guía del usuarioPara descargar el archivo de configuración

Para descargar el archivo de configuraciónDespués de crear la conexión de Site-to-Site VPN, descargue la información de configuración y utilícelapara configurar el dispositivo de gateway de cliente o la aplicación de software.

Important

El archivo de configuración es solo un ejemplo y es posible que no coincida con la configuraciónde conexión de VPN prevista. Por ejemplo, especifica los requisitos mínimos de IKE versión 1,AES128, SHA1 y DH grupo 2 en la mayoría de las regiones de AWS, e IKE versión 1, AES128,SHA2 y DH grupo 14 en las regiones de AWS GovCloud. También especifica claves previamentecompartidas para la autenticación (p. 8). Tiene que modificar el archivo de configuración deejemplo para aprovechar IKE versión 2, AES256, SHA256, otros grupos de DH como 2, 14-18, 22,23 y 24, y certificados privados.Si ha especificado opciones de túnel personalizadas al crear o modificar la conexión de Site-to-Site VPN, modifique el archivo de configuración de ejemplo para que coincida con la configuraciónpersonalizada de los túneles.El archivo también contiene el valor de la dirección IP externa de la gateway privada virtual. Estevalor es estático a menos que recree la conexión de VPN en AWS.

Para descargar el archivo de configuración

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).4. Seleccione el proveedor, la plataforma y el software que corresponda al dispositivo o software de

la gateway de cliente. Si su dispositivo no aparece en la lista, seleccione Generic (Genérico). ElijaDownload (Descargar).

Configurar el dispositivo de gateway de clienteUtilice el archivo de configuración para configurar su dispositivo de gateway de cliente. El dispositivo degateway de cliente es un dispositivo físico o de software en su lado de la conexión de Site-to-Site VPN.Para obtener más información, consulte Su dispositivo de gateway de cliente (p. 29).

20

AWS Site-to-Site VPN Guía del usuarioEjemplos de conexión única y múltiple

Arquitecturas de Site-to-Site VPNEstas son las arquitecturas comunes de Site-to-Site VPN:

• the section called “Ejemplos de conexión única y múltiple” (p. 21)• the section called “Utilización de conexiones de Site-to-Site VPN redundantes para la conmutación por

error” (p. 26)• the section called “AWS VPN CloudHub” (p. 24)

Ejemplos de conexión única y múltiple de Site-to-Site VPN

Los diagramas siguientes muestran conexiones de Site-to-Site VPN sencillas y múltiples.

Conexión única de Site-to-Site VPNLa VPC dispone de una gateway privada virtual asociada y su red remota incluye un dispositivo degateway de cliente que deberá configurar para habilitar la conexión de Site-to-Site VPN. Configure eldireccionamiento para que el tráfico procedente de la VPC vinculada a su red se direccione a la gatewayprivada virtual.

Para ver los pasos para configurar esta situación, consulte Introducción (p. 14).

21

AWS Site-to-Site VPN Guía del usuarioConexión de Site-to-Site VPN

única con una gateway de tránsito

Conexión de Site-to-Site VPN única con una gatewayde tránsitoLa VPC dispone de una gateway de tránsito asociada y su red remota incluye un dispositivo de gateway decliente que deberá configurar para habilitar la conexión de Site-to-Site VPN. Configure el direccionamientopara que el tráfico procedente de la VPC vinculada a su red se direccione a la gateway de tránsito.

Para ver los pasos para configurar esta situación, consulte Introducción (p. 14).

Conexiones de Site-to-Site VPN múltiplesLa VPC dispone de una gateway privada virtual asociada y su red remota incluye una gateway de clienteque deberá configurar para habilitar la conexión de Site-to-Site VPN. Configure el direccionamiento paraque el tráfico procedente de la VPC vinculada a su red se direccione a la gateway privada virtual.

También puede utilizar esta situación para crear conexiones de Site-to-Site VPN a varias ubicacionesgeográficas y proporcionar una comunicación segura entre sitios. Para obtener más información, consulteComunicaciones seguras entre sitios mediante VPN CloudHub (p. 24).

22

AWS Site-to-Site VPN Guía del usuarioConexiones de Site-to-Site VPN

múltiples con una gateway de tránsito

Cuando cree múltiples conexiones de Site-to-Site VPN a una única VPC, podrá configurar una segundagateway de cliente para que cree una conexión redundante a la misma ubicación externa. Para obtenermás información, consulte Utilización de conexiones de Site-to-Site VPN redundantes para la conmutaciónpor error (p. 26).

Conexiones de Site-to-Site VPN múltiples con unagateway de tránsitoLa VPC dispone de una gateway de tránsito asociada y su red remota incluye un dispositivo de gateway decliente que deberá configurar para habilitar la conexión de Site-to-Site VPN. Configure el direccionamientopara que el tráfico procedente de la VPC vinculada a su red se direccione a la gateway de tránsito.

También puede utilizar esta situación para crear conexiones de Site-to-Site VPN a varias ubicacionesgeográficas y proporcionar una comunicación segura entre sitios.

23

AWS Site-to-Site VPN Guía del usuarioAWS VPN CloudHub

Cuando cree múltiples conexiones de Site-to-Site VPN a una única VPC, podrá configurar una segundagateway de cliente para que cree una conexión redundante a la misma ubicación externa.

Comunicaciones seguras entre sitios mediante VPNCloudHub

Si tiene varias conexiones de AWS Site-to-Site VPN, puede proporcionar seguridad en la comunicaciónentre sitios gracias a AWS VPN CloudHub. Esto permite que los sitios remotos puedan comunicarse entresí y no solo con la VPC. VPN CloudHub funciona con un modelo radial sencillo que puede utilizar con osin VPC. Este diseño es perfecto si tiene varias sucursales y conexiones a Internet existentes y deseaimplementar un sistema radial cómodo y potencialmente de bajo costo para la conectividad principal oauxiliar entre sus sucursales remotas.

Los sitios no pueden tener rangos de IP solapados.

Información generalEl diagrama siguiente muestra la arquitectura de VPN CloudHub. Las líneas discontinuas azules indican eltráfico de red entre los sitios que se direcciona a través de sus conexiones de Site-to-Site VPN.

24

AWS Site-to-Site VPN Guía del usuarioInformación general

En esta situación, haga lo siguiente:

1. Cree una única gateway privada virtual.2. Cree varias gateway de cliente, cada una con la dirección IP pública de la gateway. Debe utilizar un

Número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) único para cadagateway de cliente.

3. Cree una conexión de Site-to-Site VPN enrutada dinámicamente desde cada gateway de cliente a unagateway privada virtual común.

4. Configure los dispositivos de gateway de cliente para que indiquen un prefijo específico del sitio (como10.0.0.0/24, 10.0.1.0/24) a la gateway privada virtual. Estos anuncios de direccionamiento se reciben yse vuelven a anunciar a cada parte de BGP, lo que permite que cada sitio pueda enviar y recibir datosde otros sitios. Esto se realiza utilizando las instrucciones de red de los archivos de configuración de laconexión de Site-to-Site VPN. Las instrucciones de red varían en función del tipo de router que utilice.

5. Configure las rutas en las tablas de enrutamiento de subred para permitir que las instancias de la VPCse comuniquen con los sitios. Para obtener más información, consulte (Gateway privada virtual) Habilitarla propagación de rutas en la tabla de enrutamiento (p. 17). Puede configurar una ruta agregada en latabla de enrutamiento (por ejemplo, 10.0.0.0/16). Utilice prefijos más específicos entre los dispositivosde gateway de cliente y la gateway privada virtual.

Los sitios que utilizan las conexiones de AWS Direct Connect a la gateway privada virtual también puedenser parte de AWS VPN CloudHub. Por ejemplo, su sede corporativa de Nueva York puede tener unaconexión de AWS Direct Connect a la VPC y sus sucursales pueden utilizar las conexiones de Site-to-SiteVPN a la VPC. De este modo, las sucursales de Los Ángeles y Miami podrán enviar y recibir datos a lasede corporativa y entre ellas mismas gracias a AWS VPN CloudHub.

25

AWS Site-to-Site VPN Guía del usuarioPrecios

PreciosCuando utilice AWS VPN CloudHub, deberá pagar las tarifas de conexión normales de AmazonVPCSite-to-Site VPN. De este modo, se le facturará las tasas de conexión por cada hora que cada VPNpermanezca conectada a la gateway privada virtual. Al enviar datos de un sitio a otro mediante AWS VPNCloudHub, no incurrirá en ningún costo para el envío de datos desde su sitio a la gateway privada virtual.Solo pagará tasas de transferencia de datos de AWS estándar de los datos que se reenvíen desde lagateway privada virtual al punto de conexión.

Por ejemplo, si tiene un sitio en Los Ángeles y un segundo sitio en Nueva York y ambos sitios tienen unaconexión de Site-to-Site VPN a la gateway privada virtual, debe pagar la tarifa por hora por cada conexiónde Site-to-Site VPN (por lo que si la tarifa fuera de 0,05 USD por hora, equivaldría a un total de 0,10 USDpor hora). También paga las tarifas estándar de transferencia de datos de AWS para todos los datos queenvíe de Los Ángeles a Nueva York (y viceversa) que atraviesan cada conexión de Site-to-Site VPN. Eltráfico de red que se envía a través de la conexión de Site-to-Site VPN a la gateway privada virtual esgratuito, pero el tráfico de red que se envía a través de la conexión de Site-to-Site VPN desde la gatewayprivada virtual al punto de enlace se factura según la tarifa de transferencia de datos estándar de AWS.

Para obtener más información, consulte Precios de las conexiones de Site-to-Site VPN.

Utilización de conexiones de Site-to-Site VPNredundantes para la conmutación por error

Para ofrecer protección frente a la pérdida de conectividad en caso de que su dispositivo de gatewayde cliente deje de estar disponible, puede configurar otra conexión de Site-to-Site VPN a su VPC y a lagateway privada virtual mediante otro dispositivo de gateway de cliente. El uso de dispositivos de gatewayde cliente y conexiones de Site-to-Site VPN redundantes permite realizar tareas de mantenimiento en unode los dispositivos y, a la vez, mantener el flujo de tráfico a través de la conexión de gateway de Site-to-Site VPN de la otra gateway de cliente.

El siguiente diagrama muestra los dos túneles de cada conexión de Site-to-Site VPN y las dos gateways decliente.

26

AWS Site-to-Site VPN Guía del usuarioUtilización de conexiones de Site-to-Site VPN

redundantes para la conmutación por error

27

AWS Site-to-Site VPN Guía del usuarioUtilización de conexiones de Site-to-Site VPN

redundantes para la conmutación por error

En esta situación, haga lo siguiente:

• Configure otra conexión de Site-to-Site VPN; para ello, use la misma gateway privada virtual y cree unagateway de cliente nueva. La dirección IP de la gateway de cliente de la segunda conexión de Site-to-Site VPN debe estar disponible para el público.

• Configure el otro dispositivo de gateway de cliente. Ambos dispositivos deben anunciar los mismosrangos de IP a la gateway privada virtual. Utilizamos el direccionamiento de BGP para determinar la rutadel tráfico. Si se produce un error en un dispositivo de gateway de cliente, la gateway privada virtualdirigirá todo el tráfico al dispositivo de gateway de cliente que sí funciona.

Las conexiones de Site-to-Site VPN de direccionamiento dinámico utilizan el protocolo de gatewayfronteriza (BGP) para intercambiar la información de direccionamiento entre las gateways de cliente y lasgateways privadas virtuales. Las conexiones de Site-to-Site VPN con direccionamiento estático requierenescribir las rutas estáticas de la red remota en su extremo de la gateway de cliente. La informaciónacerca de las rutas que se especifica manualmente y que anuncia mediante BGP permite a las gatewaysde ambos extremos determinar qué túneles están disponibles para, de este modo, redireccionar eltráfico en caso de error. Por lo tanto, se recomienda configurar su red para que utilice la informaciónde direccionamiento que proporciona BGP (si está disponible) y seleccionar una ruta alternativa. Laconfiguración exacta dependerá de la arquitectura de su red.

Para obtener más información sobre cómo crear y configurar una gateway de cliente y una conexión deSite-to-Site VPN, consulte Introducción (p. 14).

28

AWS Site-to-Site VPN Guía del usuario

Su dispositivo de gateway de clienteUn dispositivo de gateway de cliente es un dispositivo físico o de software en su lado de la conexión deSite-to-Site VPN. Usted o su administrador de red tienen que configurar el dispositivo para que funcionecon la conexión de Site-to-Site VPN.

En el siguiente diagrama se muestra su red, la gateway de cliente y la conexión de VPN que va a unagateway privada virtual (asociada a su VPC). Las dos líneas entre el dispositivo de gateway de cliente yla gateway privada virtual representan los túneles para la conexión de VPN. Si se produce un error deldispositivo en AWS, su conexión de VPN cambiará automáticamente al segundo túnel para que su accesono se vea interrumpido. Cada cierto tiempo, AWS también lleva a cabo un mantenimiento rutinario en lagateway privada virtual, lo que podría deshabilitar uno de los dos túneles de su conexión de VPN duranteun breve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundo túnelmientras duren las tareas de mantenimiento. Por lo tanto, al configurar el dispositivo de gateway de cliente,es importante que configure ambos túneles.

29

AWS Site-to-Site VPN Guía del usuario

Para ver los pasos para configurar una conexión de VPN, consulte Introducción (p. 14). Durante esteproceso, crea un recurso de gateway de cliente en AWS, que proporciona información a AWS sobre eldispositivo como, por ejemplo, su dirección IP pública.

Después de crear la conexión de VPN, descargue el archivo de configuración (p. 20) de la consola dela Amazon VPC, que contiene información específica de la conexión de VPN. Utilice esta informaciónpara configurar el dispositivo de gateway de cliente. En algunos casos, hay archivos de configuraciónespecíficos del dispositivo disponibles para los dispositivos que hemos probado. De lo contrario, puededescargar el archivo de configuración genérico.

30

AWS Site-to-Site VPN Guía del usuarioDispositivos de gateway de cliente que hemos probado

Dispositivos de gateway de cliente que hemosprobado

El dispositivo de gateway de cliente puede ser un dispositivo físico o de software. Hemos probado yproporcionado información de configuración para los siguientes dispositivos:

• Software Check Point Security Gateway con la versión R77.10 (o posterior)• Software Cisco ASA con la versión Cisco ASA 8.2 (o posterior)• Software Cisco IOS con la versión Cisco IOS 12.4 (o posterior)• Software SonicWALL con la versión SonicOS 5.9 (o posterior)• Software Fortinet Fortigate 40+ Series con la versión FortiOS 4.0 (o posterior)• Software Juniper J-Series con la versión JunOS 9.5 (o posterior)• Software Juniper SRX con la versión JunOS 11.0 (o posterior)• Software Juniper SSG con la versión ScreenOS 6.1 o 6.2 (o posterior)• Software Juniper ISG con la versión ScreenOS 6.1 o 6.2 (o posterior)• Netgate pfSense con la versión OS 2.2.5 (o posterior).• Software Palo Alto Networks PANOS 4.1.2 (o posterior)• Enrutadores Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 y SRT100• Software Microsoft Windows Server 2008 R2 (o posterior)• Software Microsoft Windows Server 2012 R2 (o posterior)• Software Zyxel Zywall Series 4.20 (o una versión posterior) para conexiones de VPN direccionadas

estáticamente o software 4.30 (o una versión posterior) para conexiones de VPN direccionadasdinámicamente

Si tiene uno de estos dispositivos, pero lo configura para IPsec de una forma distinta a la presentada en elarchivo de configuración, puede cambiar la configuración que sugerimos en función de sus necesidades.

Requisitos para el dispositivo de gateway del clienteSi tiene un dispositivo que no está en la lista anterior de dispositivos probados, esta sección describe losrequisitos que debe cumplir su dispositivo para poder utilizarlo con una conexión Site-to-Site VPN.

Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientessímbolos representan cada parte de la configuración.

Asociación de seguridad de intercambio de claves de Internet (IKE). Necesaria paraintercambiar claves utilizadas para establecer la asociación de seguridad de IPsec.

Asociación de seguridad IPsec. Gestiona el cifrado del túnel, la autenticación, etc.

Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel.

(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Paradispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente yla gateway privada virtual.

31

AWS Site-to-Site VPN Guía del usuarioRequisitos para el dispositivo de gateway del cliente

En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFCrelacionado (a modo de referencia) y comentarios acerca de los requisitos.

Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación deseguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitaciónes de una única pareja de asociación de seguridad (SA) por túnel (un entrante y uno saliente) y, por lotanto, dos únicas parejas de SA en total para los dos túneles (cuatro SA). Algunos dispositivos utilizan unaVPN basada en políticas y crean tantas SA como entradas de ACL. Por lo tanto, es posible que necesiteconsolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.

El túnel de VPN aparece cuando el tráfico se genera desde su lado de la conexión de VPN. El punto deenlace de AWS no es el iniciador; el dispositivo de gateway de cliente debe iniciar los túneles.

Requisito RFC Comentarios

Establecimiento de unaasociación de seguridad deIKE

RFC 2409

RFC 7296

La asociación de seguridad de IKE se establece primeroentre la gateway privada virtual y el dispositivo de gatewayde cliente mediante una clave compartida previamente oun certificado privado que usen AWS Certificate ManagerPrivate Certificate Authority como autenticador. Cuando seestablece, IKE negocia una clave efímera para protegerlos mensajes futuros de IKE. Tiene que haber un acuerdocompleto entre los parámetros, incluidos los parámetros decifrado y autenticación.

Al crear una conexión de VPN en AWS, puede especificarsu propia clave previamente compartida para cada túnelo puede dejar que AWS genere una automáticamente.Como opción alternativa, puede especificar el certificadoprivado mediante AWS Certificate Manager PrivateCertificate Authority para utilizarlo para el dispositivo degateway de cliente. Para obtener más información sobrela configuración de túneles VPN, consulte Opciones detúnel de Site-to-Site VPN para su conexión de Site-to-SiteVPN (p. 5).

Las siguientes versiones son compatibles: IKEv1 e IKEv2.El modo principal solo se admite con IKEv1.

Establecimiento deasociaciones de seguridadde IPsec en modo de túnel

RFC 4301 Mediante la clave efímera de IKE, se establecen lasclaves entre la gateway privada virtual y el dispositivo degateway de cliente para crear una asociación de seguridad(SA) de IPsec. El tráfico entre las gateways se cifra y sedescifra mediante esta SA. IKE cambia automáticamentelas claves efímeras utilizadas para cifrar el tráfico dentrode la SA de IPsec de forma periódica para garantizar laconfidencialidad de las comunicaciones.

Uso del cifrado AES de 128bits o la función de cifradoAES de 256 bits

RFC 3602 La función de cifrado se utiliza para garantizar laprivacidad entre las asociaciones de seguridad de IKE y deIPsec.

Uso de la función de hashSHA-1 o SHA-2 (256)

RFC 2404 Esta función de hash se utiliza para autenticarasociaciones de seguridad de IKE y de IPsec.

Uso de la confidencialidaddirecta total Diffie-Hellman

RFC 2409 IKE utiliza Diffie-Hellman para establecer claves efímeraspara proteger todas las comunicaciones entre losdispositivos de gateway de cliente y las gateways privadasvirtuales.

32

AWS Site-to-Site VPN Guía del usuarioRequisitos para el dispositivo de gateway del cliente

Requisito RFC ComentariosSe admiten los siguientes grupos:

• Grupos de fase 1: 2, 14-18, 22, 23 y 24• Grupos de fase 2: 2, 5, 14-18, 22, 23 y 24

Fragmentación de paquetesIP antes del cifrado

RFC 4459 Cuando los paquetes son demasiado grandes paratransmitirse, deben fragmentarse. No vuelva a ensamblarlos paquetes cifrados fragmentados. Por lo tanto, sudispositivo VPN debe fragmentar los paquetes antesde encapsularse con los encabezados de VPN. Losfragmentos se transmiten individualmente al host remoto,que los vuelve a unir.

(Conexiones de VPNenrutadas dinámicamente)Uso de la detección depares muertos de IPsec

RFC 3706 La detección de pares muertos permite a los dispositivosde VPN identificar rápidamente cuándo una condiciónde red impide la entrega de paquetes a través deInternet. Cuando esto sucede, las gateways eliminanlas asociaciones de seguridad e intentan crear nuevasasociaciones. Durante este proceso, se utiliza el túnelIPsec alternativo, si es posible.

(Conexiones de VPNenrutadas dinámicamente)Vincular el túnel a la interfazlógica (VPN basada enrutas)

Ninguno El dispositivo debe poder vincular el túnel IPSec a unainterfaz lógica. La interfaz lógica contiene una dirección IPutilizada para establecer el intercambio de tráfico BGP conla gateway privada virtual. Esta interfaz lógica no deberíarealizar ninguna encapsulación adicional (por ejemplo,GRE o IP en IP). Su interfaz debería configurarse en unaunidad de transmisión máxima (MTU) de 1399 bytes.

(Conexiones de VPNenrutadas dinámicamente)Establecimiento deintercambio de tráfico BGP

RFC 4271 BGP se utiliza para intercambiar rutas entre el dispositivode gateway de cliente y la gateway privada virtual paradispositivos que utilizan BGP. Todo el tráfico BGP secifra y se transmite mediante la asociación de seguridadde IPsec. BGP es necesario para que ambas gatewaysintercambien los prefijos IP, a los que se obtiene accesomediante la SA de IPsec.

Puesto que la conexión encapsula los paquetes con encabezados de red adicionales (incluido IPsec),se reduce la cantidad de datos que se pueden transmitir en un solo paquete. Recomendamos utilizar lastécnicas incluidas en la siguiente tabla como ayuda para minimizar los problemas relacionados con lacantidad de datos que se pueden transmitir mediante el túnel IPsec.

Técnica RFC Comentarios

Ajuste del tamaño máximode segmento de lospaquetes TCP que entranen el túnel de VPN

RFC 4459 Los paquetes TCP suelen ser el tipo más común depaquetes en los túneles IPsec. Algunas gateways puedencambiar el parámetro de tamaño de segmento máximode TCP. Esto hace que los puntos de conexión TCP(clientes, servidores) reduzcan la cantidad de datosenviados con cada paquete. Este es un enfoque ideal,ya que los paquetes que llegan a los dispositivos VPN

33

AWS Site-to-Site VPN Guía del usuarioConfiguración de un firewall entre Internet

y el dispositivo de gateway de cliente

Técnica RFC Comentariosson lo suficientemente pequeños para encapsularse ytransmitirse.

Restablecimiento de lamarca "Don't Fragment" enlos paquetes

RFC 791 Algunos paquetes llevan una marca, conocida como lamarca "Don't Fragment" (DF), que indica que el paqueteno debe fragmentarse. Si los paquetes llevan la marca,las gateways generan un mensaje "ICMP Path MTUExceeded". En algunos casos, las aplicaciones nocontienen los mecanismos suficientes para procesar estosmensajes ICMP y reducir la cantidad de datos transmitidosen cada paquete. Algunos dispositivos VPN puedenanular la marca DF y fragmentar los paquetes de formaincondicional según sea necesario. Si el dispositivo degateway de cliente tiene esta capacidad, recomendamosque la utilice según corresponda.

Una conexión de VPN de AWS no es compatible con la detección de la MTU de la ruta (RFC 1191).

Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Configuración de unfirewall entre Internet y el dispositivo de gateway de cliente (p. 34).

Configuración de un firewall entre Internet y eldispositivo de gateway de cliente

Debe tener una dirección IP direccionable de Internet para utilizarla como punto de enlace para los túnelesIPsec que conectan el dispositivo de gateway de cliente a la gateway privada virtual. Si hay un firewallentre Internet y su gateway, se deben aplicar las reglas de las siguientes tablas para establecer los túnelesIPsec. Las direcciones de gateway privada virtual están en el archivo de configuración.

Entrante (de Internet)

Regla de entrada I1

IP de origen Gateway privada virtual 1

IP destino Gateway de cliente

Protocolo UDP

Puerto de origen 500

Destino 500

Regla de entrada I2

IP de origen Gateway privada virtual 2

IP destino Gateway de cliente

Protocolo UDP

Puerto de origen 500

Puerto de destino 500

34

AWS Site-to-Site VPN Guía del usuarioConfiguración de un firewall entre Internet

y el dispositivo de gateway de cliente

Regla de entrada I3

IP de origen Gateway privada virtual 1

IP destino Gateway de cliente

Protocolo IP 50 (ESP)

Regla de entrada I4

IP de origen Gateway privada virtual 2

IP destino Gateway de cliente

Protocolo IP 50 (ESP)

Saliente (a Internet)

Regla de salida O1

IP de origen Gateway de cliente

IP destino Gateway privada virtual 1

Protocolo UDP

Puerto de origen 500

Puerto de destino 500

Regla de salida O2

IP de origen Gateway de cliente

IP destino Gateway privada virtual 2

Protocolo UDP

Puerto de origen 500

Puerto de destino 500

Regla de salida O3

IP de origen Gateway de cliente

IP destino Gateway privada virtual 1

Protocolo IP 50 (ESP)

Regla de salida O4

IP de origen Gateway de cliente

IP destino Gateway privada virtual 2

Protocolo IP 50 (ESP)

Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten latransmisión de paquetes IPsec que contienen el tráfico de red cifrado.

35

AWS Site-to-Site VPN Guía del usuarioMúltiples escenarios de conexión de VPN

Si va a utilizar NAT Traversal (NAT-T) en su dispositivo, tiene que incluir reglas que permitan el acceso deUDP a través del puerto 4500. Compruebe si su dispositivo anuncia NAT-T.

Múltiples escenarios de conexión de VPNA continuación, presentamos varios escenarios en los que puede crear varias conexiones de VPN con unoo varios dispositivos de gateway de cliente.

Varias conexiones de VPN que utilizan el mismo dispositivo de gateway de cliente

Puede crear conexiones de VPN adicionales desde la ubicación de las instalaciones a otras VPC con elmismo dispositivo de gateway de cliente. Puede reutilizar la misma dirección IP de gateway de cliente paracada una de estas conexiones de VPN.

Conexión de VPN redundante que usa otro dispositivo de gateway de cliente

Para protegerse contra la pérdida de conectividad en caso de que el dispositivo de gateway de cliente dejede estar disponible, puede configurar otra conexión de VPN que use otro dispositivo de gateway de cliente.Para obtener más información, consulte Utilización de conexiones de Site-to-Site VPN redundantes para laconmutación por error (p. 26). Al establecer dispositivos de gateway de cliente redundantes en una únicaubicación, ambos dispositivos deberían anunciar los mismos rangos IP.

Varios dispositivos de gateway de cliente a una única gateway privada virtual (AWS VPN CloudHub)

Puede establecer varias conexiones de VPN a una única gateway privada virtual desde varios dispositivosde gateway de cliente. Esto le permite tener varias ubicaciones conectadas a AWS VPN CloudHub. Paraobtener más información, consulte Comunicaciones seguras entre sitios mediante VPN CloudHub (p. 24).Si tiene dispositivos de gateway de cliente en distintas ubicaciones geográficas, cada dispositivo deberíaanunciar un único conjunto de rangos IP específicos de la ubicación.

Enrutamiento para su dispositivo de gateway decliente

AWS recomienda anunciar rutas de BGP específicas para influir en las decisiones de enrutamientode la gateway privada virtual. Compruebe la documentación de su proveedor acerca de los comandosespecíficos de su dispositivo.

Al crear varias conexiones de VPN, la gateway privada virtual envía el tráfico de red a la conexión de VPNapropiada utilizando las rutas asignadas estáticamente o anuncios de ruta de BGP, La ruta depende decómo se haya configurado la conexión de VPN. Las rutas asignadas estáticamente son preferibles frente alas rutas anunciadas de BGP en los casos en los que existen rutas idénticas en la gateway privada virtual.Si selecciona la opción de utilizar el anuncio de BGP, no podrá especificar rutas estáticas.

Para obtener más información acerca de la prioridad de una ruta, consulte Tablas de enrutamiento yprioridad de rutas de VPN (p. 12).

Ejemplos de configuraciones de dispositivosde gateway de cliente para el direccionamientoestático

Temas

36

AWS Site-to-Site VPN Guía del usuarioArchivos de configuración de ejemplo

• Archivos de configuración de ejemplo (p. 37)• Procedimientos de interfaz de usuario para el direccionamiento estático (p. 38)• Información adicional para dispositivos Cisco (p. 48)• Pruebas (p. 49)

Archivos de configuración de ejemploPuede descargar static-routing-examples.zip para ver archivos de configuración de ejemplo para lossiguientes dispositivos de gateway de cliente:

• Cisco ASA con Cisco ASA 8.2 y posteriores• Cisco ASA con Cisco ASA 9.7.1 y posteriores• Cisco IOS con Cisco IOS• Cisco Meraki MX Series con 9.0 y posteriores• Citrix Netscaler CloudBridge con NS 11 y posteriores• Cyberoam CR15iNG con V 10.6.5 MR-1• F5 Networks BIG-IP con v12.0.0 y posteriores• Fortinet Fortigate 40+ Series con FortiOS 4.0 y posteriores• Configuración genérica para el direccionamiento estático• H3C MSR800 con la versión 5.20• IIJ SEIL/B1 con SEIL/B1 3.70 y posteriores• Mikrotik RouterOS con 6.36• Openswan con 2.6.38 y posteriores• pfSense con OS 2.2.5 y posteriores• SonicWALL con SonicOS 5.9 o 6.2• Strongswan Ubuntu 16.04 con Strongswan 5.5.1 y posteriores• WatchGuard XTM, Firebox con Fireware OS 11.11.4• Zyxel Zywall con Zywall 4.20 y posteriores

Los archivos utilizan valores de marcadores de posición para algunos componentes. Por ejemplo, usan:

• Valores de ejemplo para el ID de conexión de VPN y el ID de gateway privada virtual• Marcadores de posición para los puntos de enlace de AWS de direcciones IP remotas (externas)

(AWS_ENDPOINT_1 y AWS_ENDPOINT_2)• Un marcador de posición de posición para la dirección IP de la interfaz externa direccionable a Internet

en el dispositivo de gateway de cliente (su-dirección-ip-cgw).• Valores de ejemplo de direcciones IP interiores para el túnel.

Además de proporcionar valores de marcadores de posición, en los archivos se especifican los requisitosmínimos de IKE versión 1, AES128, SHA1 y grupo 2 de DH en la mayoría de las regiones de AWS.También se especifican claves previamente compartidas para la autenticación (p. 8). Debe modificar elarchivo de configuración de ejemplo para utilizar IKE versión 2, AES256, SHA256, otros grupos de DHcomo 2, 14-18, 22, 23 y 24, y certificados privados.

En el siguiente diagrama se ofrece una descripción general de los diferentes componentes que seconfiguran en el dispositivo de gateway de cliente. Incluye valores de ejemplo para las direcciones IP de lainterfaz del túnel.

37

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

Para descargar un archivo de configuración con valores específicos de la configuración de la conexión deVPN, utilice la consola Amazon VPC. Para obtener más información, consulte Para descargar el archivo deconfiguración (p. 20).

Procedimientos de interfaz de usuario para eldireccionamiento estáticoA continuación, se presentan algunos procedimientos de ejemplo para configurar un dispositivo degateway de cliente a través de su interfaz de usuario (si está disponible).

38

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

Check Point

Estos son los pasos para configurar su dispositivo de gateway de cliente si su dispositivo es undispositivo Check Point Security Gateway que ejecuta R77.10 o una versión posterior utilizando elsistema operativo Gaia y Check Point SmartDashboard. También puede consultar el artículo CheckPoint Security Gateway IPsec VPN to Amazon Web Services VPC en el centro de soporte técnico deCheck Point.

Para configurar la interfaz de túnel

El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) dela gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice lainformación proporcionada en la sección IPSec Tunnel #1 del archivo de configuración. Para crearel segundo túnel, utilice los valores proporcionados en la sección IPSec Tunnel #2 del archivo deconfiguración.

1. Abra el portal de Gaia de su dispositivo Check Point Security Gateway.2. Elija Network Interfaces, Add, VPN tunnel.3. En el cuadro de diálogo, configure los ajustes tal como se muestra y elija OK cuando haya

terminado:

• Para VPN Tunnel ID, escriba cualquier valor único, como 1.• Para Peer, escriba un nombre único para cada túnel, como AWS_VPC_Tunnel_1 oAWS_VPC_Tunnel_2.

• Asegúrese de que la opción Numbered (Numerado) esté seleccionada y, en Local Address(Dirección local), escriba la dirección IP especificada para CGW Tunnel IP en el archivo deconfiguración; por ejemplo: 169.254.44.234.

• Para Remote Address, escriba la dirección IP especificada para VGW Tunnel IP en el archivode configuración; por ejemplo: 169.254.44.233.

39

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

4. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell nopredeterminado, cambie a clish ejecutando el siguiente comando: clish.

5. Para el túnel 1, ejecute el siguiente comando:

set interface vpnt1 mtu 1436

Para el túnel 2, ejecute el siguiente comando:

set interface vpnt2 mtu 1436

6. Repita estos pasos para crear un segundo túnel, utilizando la información de la sección IPSecTunnel #2 del archivo de configuración.

Para configurar las rutas estáticas

En este paso, debe especificar la ruta estática de la subred en la VPC para que cada túnel le permitaenviar tráfico a través de las interfaces del túnel. El segundo túnel permite la conmutación por error encaso de que haya un problema con el primer túnel. Si se detecta un problema, la ruta estática basadaen políticas se quitará de la tabla de ruteo y se activará la segunda ruta. También debe habilitar lagateway de Check Point para hacer ping al otro extremo del túnel y comprobar si el túnel está activo.

40

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

1. En el portal de Gaia, elija IPv4 Static Routes, Add.2. Especifique el CIDR de su subred; por ejemplo: 10.28.13.0/24.3. Elija Add Gateway, IP Address.4. Escriba la dirección IP especificada para VGW Tunnel IP en el archivo de configuración (por

ejemplo: 169.254.44.233) y especifique una prioridad de 1.5. Seleccione Ping.6. Repita los pasos 3 y 4 para el segundo túnel, utilizando el valor VGW Tunnel IP de la sección

IPSec Tunnel #2 del archivo de configuración. Especifique una prioridad de 2.

7. Elija Save (Guardar).

Si va a utilizar un clúster, repita los pasos anteriores para los demás miembros del clúster.

Para definir un nuevo objeto de red

En este paso, creará un objeto de red para cada túnel de VPN, especificando las direcciones IPpúblicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como

41

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

gateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúecomo marcador de posición para el dominio de VPN.

1. Abra Check Point SmartDashboard.2. Para Groups, abra el menú contextual y elija Groups, Simple Group. Puede utilizar el mismo

grupo para cada objeto de red.3. Para Network Objects, abra el menú contextual (clic con el botón derecho) y elija New,

Interoperable Device.4. Para Name (Nombre), escriba el nombre que ha proporcionado para cada túnel, por ejemplo:

AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.5. Para IPv4 Address, escriba la dirección IP externa de la gateway privada virtual proporcionada

en el archivo de configuración; por ejemplo: 54.84.169.196. Guarde la configuración y cierre elcuadro de diálogo.

6. En SmartDashboard, abra las propiedades de su gateway y, en el panel Category, elija Topology.7. Para recuperar la configuración de la interfaz, elija Get Topology.8. En la sección VPN Domain (Dominio de VPN), elija Manually defined (Definido manualmente),

desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione OK.

Note

Puede conservar cualquier dominio de VPN existente que haya configurado. Noobstante, asegúrese de que los hosts y las redes utilizados o servidos por la nuevaconexión de VPN no estén declarados en ese dominio de VPN, especialmente si eldominio de VPN se obtiene automáticamente.

9. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la secciónIPSec Tunnel #2 del archivo de configuración.

Note

Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster.Utilice las direcciones IP especificadas en el archivo de configuración.

42

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

Para crear y configurar los ajustes de comunidad de VPN, IKE e IPsec

En este paso, creará una comunidad de VPN en su gateway de Check Point, a la que agregará losobjetos de red (dispositivos interoperables) para cada túnel. También configurará los ajustes deintercambio de claves por Internet (IKE) y de IPsec.

1. En las propiedades de su gateway, elija IPSec VPN en el panel Category.2. Elija Communities, New, Star Community.3. Proporcione un nombre para su comunidad (por ejemplo, AWS_VPN_Star) y, a continuación, elija

Center Gateways en el panel Category.4. Elija Add y agregue su gateway o clúster a la lista de gateways participantes.5. En el panel Category (Categoría), elija Satellite Gateways (Gateways satélite), Add (Agregar), y

luego agregue los dispositivos interoperables que creó anteriormente (AWS_VPC_Tunnel_1 yAWS_VPC_Tunnel_2) a la lista de gateways participantes.

6. En el panel Category, elija Encryption. En la sección Encryption Method, elija IKEv1 only. En lasección Encryption Suite, elija Custom, Custom Encryption.

7. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija OKcuando haya terminado:

• Propiedades de asociación de seguridad de IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA-1

• Propiedades de asociación de seguridad de IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1

8. En el panel Category, elija Tunnel Management. Elija Set Permanent Tunnels, On all tunnels inthe community. En la sección VPN Tunnel Sharing, elija One VPN tunnel per Gateway pair.

9. En el panel Category, expanda Advanced Settings y elija Shared Secret.10. Seleccione el nombre homólogo para el primer túnel, elija Edit (Editar) y escriba la clave

previamente compartida según lo especificado en la sección IPSec Tunnel #1 del archivo deconfiguración.

11. Seleccione el nombre homólogo para el segundo túnel, elija Edit (Editar) y escriba la clavepreviamente compartida según lo especificado en la sección IPSec Tunnel #2 del archivo deconfiguración.

43

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

12. Aún en la categoría Advanced Settings (Configuración avanzada), elija Advanced VPN Properties(Propiedades avanzadas de VPN), configure las propiedades según se indica y elija OK (Aceptar)cuando haya terminado:

• IKE (fase 1):• Use Diffie-Hellman group (Usar el grupo Diffie-Hellman): Group 2• Renegotiate IKE security associations every 480 minutes

• IPsec (fase 2):• Elija Use Perfect Forward Secrecy• Use Diffie-Hellman group (Usar el grupo Diffie-Hellman): Group 2• Renegotiate IPsec security associations every 3600 seconds

Para crear reglas de firewall

En este paso, configurará una política con reglas de firewall y reglas de coincidencia direccional quepermitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.

1. En SmartDashboard, elija Global Properties para su gateway. En el panel Category, expanda VPNy elija Advanced.

2. Elija Enable VPN Directional Match in VPN Column y guarde los cambios.3. En SmartDashboard, elija Firewall y cree una política con las siguientes reglas:

44

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

• Permitir que la subred de VPC se comunique con la red local a través de los protocolosnecesarios.

• Permitir que la red local se comunique con la subred de VPC a través de los protocolosnecesarios.

4. Abra el menú contextual para la celda de la columna de VPN, y elija Edit Cell.5. En el cuadro de diálogo VPN Match Conditions, elija Match traffic in this direction only. Cree las

siguientes reglas de coincidencia direccional; para ello, elija Add para cada una, y seleccione OKcuando haya terminado:

• internal_clear > VPN community (Comunidad VPN) (la comunidad Star de VPN que creóantes; por ejemplo: AWS_VPN_Star)

• VPN community > VPN community• VPN community > internal_clear

6. En SmartDashboard, elija Policy, Install.7. En el cuadro de diálogo, elija su gateway y seleccione OK para instalar la política.

Para modificar la propiedad tunnel_keepalive_method

Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificarcuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnelpermanente debe configurarse en la comunidad de VPN de AWS (consulte el paso 8).

De forma predeterminada, la propiedad tunnel_keepalive_method de una gateway de VPNestá configurada como tunnel_test. Debe cambiar el valor a dpd. Cada gateway de VPN dela comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedadtunnel_keepalive_method, incluida cualquier gateway de VPN de terceros. No puede configurarmecanismos de monitorización distintos para la misma gateway.

Puede actualizar la propiedad tunnel_keepalive_method utilizando la herramienta GuiDBedit.

1. Abra Check Point SmartDashboard, y elija Security Management Server, Domain ManagementServer.

2. Elija File, Database Revision Control..., y cree una instantánea de revisión.3. Cierre todas las ventanas de SmartConsole, como SmartDashboard, SmartView Tracker y

SmartView Monitor.4. Inicie la herramienta GuiBDedit. Para obtener más información, consulte el artículo Check Point

Database Tool, en el centro de soporte técnico de Check Point.5. Elija Security Management Server, Domain Management Server.6. En el panel superior izquierdo, elija Table, Network Objects, network_objects.7. En el panel superior derecho, seleccione el objeto de Security Gateway, Cluster correspondiente.8. Presione CTRL+F, o utilice el menú Search para buscar lo siguiente:

tunnel_keepalive_method.9. En el panel inferior, abra el menú contextual de tunnel_keepalive_method y seleccione Edit...

(Editar...). Elija dpd y luego OK (Aceptar).10. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de VPN de AWS.11. Elija File, Save All.12. Cierre la herramienta GuiDBedit.13. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management

Server.14. Instale la política en el objeto Security Gateway, Cluster correspondiente.

45

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

Para obtener más información, consulte el artículo New VPN features in R77.10, en el centro desoporte técnico de Check Point.

Para habilitar el bloqueo TCP MSS

El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar lafragmentación de los paquetes.

1. Vaya al siguiente directorio: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra la herramienta Check Point Database ejecutando el archivo GuiDBEdit.exe.3. Elija Table, Global Properties, properties.4. Para fw_clamp_tcp_mss, elija Edit. Cambie el valor a true y elija OK.

Para verificar el estado del túnel

Puede verificar el estado del túnel ejecutando el siguiente comando desde la herramienta de línea decomandos en el modo experto.

vpn tunnelutil

En las opciones que aparecen, elija 1 para verificar las asociaciones de IKE y 2 para verificar lasasociaciones de IPsec.

También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexiónse están cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado através del túnel 1 y se ha cifrado.

46

AWS Site-to-Site VPN Guía del usuarioProcedimientos de interfaz de usuario

para el direccionamiento estático

SonicWALL

El procedimiento siguiente muestra cómo configurar los túneles de VPN en el dispositivo SonicWALLutilizando la interfaz de gestión SonicOS.

Para configurar los túneles

1. Abra la interfaz de gestión SonicWALL SonicOS.2. En el panel izquierdo, elija VPN, Settings. En VPN Policies, elija Add....3. En la ventana de política de VPN de la pestaña General , complete la información siguiente:

• Policy Type (Tipo de política): seleccione Tunnel Interface (Interfaz de túnel).• Authentication Method: elija IKE using Preshared Secret.• Name: escriba un nombre para la política de VPN. Le recomendamos utilizar el nombre del ID

de VPN tal como se indica en el archivo de configuración.• IPsec Primary Gateway Name or Address Nombre o dirección de gateway principal de IPsec):

escriba la dirección IP de la gateway privada virtual (punto de enlace de AWS) tal como seindica en el archivo de configuración (por ejemplo, 72.21.209.193).

• IPsec Secondary Gateway Name or Address: deje el valor predeterminado.

47

AWS Site-to-Site VPN Guía del usuarioInformación adicional para dispositivos Cisco

• Shared Secret: escriba la clave previamente compartida tal como se indica en el archivo deconfiguración y vuelva a escribirla en Confirm Shared Secret.

• Local IKE ID: escriba la dirección IPv4 de la gateway de cliente (dispositivo SonicWALL).• Peer IKE ID: escriba la dirección IPv4 de la gateway privada virtual (punto de conexión de

AWS).4. En la pestaña Network, complete la información siguiente:

• En Local Networks, elija Any address. Se recomienda utilizar esta opción para evitar problemasde conectividad en su red local.

• En Remote Networks, elija Choose a destination network from list. Cree un objeto de direccióncon el CIDR de su VPC en AWS.

5. En la pestaña Proposals (Propuestas), complete la información siguiente:

• En IKE (Phase 1) Proposal, haga lo siguiente:• Exchange: elija Main Mode.• DH Group (Grupo de DH): escriba un valor para el grupo Diffie-Hellman (por ejemplo, 2).• Encryption: elija AES-128 o AES-256.• Authentication: elija SHA1 o SHA256.• Life Time: escriba 28800.

• En IKE (Phase 2) Proposal, haga lo siguiente:• Protocol: elija ESP.• Encryption: elija AES-128 o AES-256.• Authentication: elija SHA1 o SHA256.• Seleccione la casilla de verificación Enable Perfect Forward Secrecy y elija el grupo Diffie-

Hellman.• Life Time: escriba 3600.

Important

Si creó su gateway privada virtual antes de octubre de 2015, debe especificar el grupo 2de Diffie-Hellman, AES-128 y SHA1 para ambas fases.

6. En la pestaña Advanced, complete la información siguiente:

• Seleccione Enable Keep Alive.• Seleccione Enable Phase2 Dead Peer Detection y escriba lo siguiente:

• En Dead Peer Detection Interval, escriba 60 (este es el valor mínimo que puede aceptar eldispositivo SonicWALL).

• En Failure Trigger Level, escriba 3.• En VPN Policy bound to, seleccione Interface X1. Esta es la interfaz que suele designarse para

las direcciones IP públicas.7. Seleccione OK. En la página Settings, debe seleccionar la casilla de verificación Enable para el

túnel de manera predeterminada. El punto verde indica que el túnel está activo.

Información adicional para dispositivos CiscoAlgunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA, solo puede tener untúnel activo cada vez. El otro túnel en espera se activará si el primer túnel se vuelve no disponible. Conesta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

48

AWS Site-to-Site VPN Guía del usuarioPruebas

Cisco ASA a partir de la versión 9.7.1 y posteriores admiten el modo Activo/Activo. Al utilizar estos CiscoASA, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tenerconectividad a su VPC a través de uno de los túneles.

Para los dispositivos Cisco, debe hacer lo siguiente:

• Configurar la interfaz externa.• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que el número de secuencia de política de Crypto List es único.• Asegurarse de que Crypto IPsec Transform Set y la secuencia de política de Crypto ISAKMP son

coherentes con los demás túneles IPsec que están configurados en el dispositivo.• Asegurarse de que el número de monitorización de SLA es único.• Configurar todo el direccionamiento interno que mueve el tráfico entre el dispositivo de gateway de

cliente y su red local.

PruebasPara obtener más información sobre cómo probar la conexión de Site-to-Site VPN, consulte Comprobaciónde la conexión de Site-to-Site VPN (p. 117).

Ejemplos de configuraciones de dispositivosde gateway de cliente para el direccionamientodinámico (BGP)

Temas• Archivos de configuración de ejemplo (p. 37)• Procedimientos de la interfaz de usuario para el direccionamiento dinámico (p. 51)• Información adicional para dispositivos Cisco (p. 59)• Información adicional para dispositivos Juniper (p. 60)• Pruebas (p. 60)

Archivos de configuración de ejemploPuede descargar dynamic-routing-examples.zip para ver archivos de configuración de ejemplo para lossiguientes dispositivos de gateway de cliente:

• Barracuda NextGen Firewall serie F con 6.2 y posteriores• Cisco ASA con Cisco ASA 9.7.1 y posteriores• Cisco IOS con Cisco IOS 12.4 y posteriores• F5 Networks BIG-IP con v12.0.0 y posteriores• Fortinet Fortigate 40 y posteriores• Configuración genérica para el direccionamiento dinámico• H3C MSR800 con la versión 5.20

49

AWS Site-to-Site VPN Guía del usuarioArchivos de configuración de ejemplo

• IIJ SEIL/B1 con SEIL/B1 3.70 y posteriores• Juniper J-Series con JunOS 9.5 y posteriores• Juniper SRX con JunOS 11.0 y posteriores• Juniper SSG o serie Netscreen con Juniper ScreenOS 6.1 y posteriores• Mikrotik RouterOS con 6.36• Palo Alto Networks con PANOS 4.1.2 y posteriores• SonicWALL con SonicOS 5.9 o 6.2• Sophos ASG con V8.300+• Vyatta con Network OS 6.5 y posteriores• WatchGuard XTM, Firebox con Fireware OS 11.12.2 y posteriores• Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 o SRT100• Zyxel ZyWALL con ZLD 4.3 y posteriores

Los archivos utilizan valores de marcadores de posición para algunos componentes. Por ejemplo, usan:

• Valores de ejemplo para el ID de conexión de VPN y el ID de gateway privada virtual• Marcadores de posición para los puntos de enlace de AWS de direcciones IP remotas (externas)

(AWS_ENDPOINT_1 y AWS_ENDPOINT_2)• Marcadores de posición para la dirección IP de la interfaz externa de direccionamiento a Internet en el

dispositivo de gateway de cliente (su-dirección-ip-cgw) y el BGP ASN.• Valores de ejemplo de direcciones IP interiores para el túnel.

Además de proporcionar valores de marcadores de posición, en los archivos se especifican los requisitosmínimos de IKE versión 1, AES128, SHA1 y grupo 2 de DH en la mayoría de las regiones de AWS.También se especifican claves previamente compartidas para la autenticación (p. 8). Debe modificar elarchivo de configuración de ejemplo para utilizar IKE versión 2, AES256, SHA256, otros grupos de DHcomo 2, 14-18, 22, 23 y 24, y certificados privados.

En el siguiente diagrama se ofrece una descripción general de los diferentes componentes que seconfiguran en el dispositivo de gateway de cliente. Incluye valores de ejemplo para las direcciones IP de lainterfaz del túnel.

50

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

Para descargar un archivo de configuración con valores específicos de la configuración de la conexión deVPN, debe utilizar la consola Amazon VPC. Para obtener más información, consulte Para descargar elarchivo de configuración (p. 20).

Procedimientos de la interfaz de usuario para eldireccionamiento dinámicoA continuación, se presentan algunos procedimientos de ejemplo para configurar un dispositivo degateway de cliente a través de su interfaz de usuario (si está disponible).

51

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

Check Point

Estos son los pasos para configurar un dispositivo Check Point Security Gateway con R77.10 oversiones posteriores utilizando el portal web de Gaia y Check Point SmartDashboard. También puedeconsultar el artículo Amazon Web Services (AWS) VPN BGP en el centro de soporte técnico de CheckPoint.

Para configurar la interfaz de túnel

El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) dela gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice lainformación proporcionada en la sección IPSec Tunnel #1 del archivo de configuración. Para crearel segundo túnel, utilice los valores proporcionados en la sección IPSec Tunnel #2 del archivo deconfiguración.

1. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell nopredeterminado, cambie a clish ejecutando el siguiente comando: clish.

2. Configure el ASN de la gateway de cliente (ASN que se proporcionó al crear la gateway de clienteen AWS) ejecutando el comando siguiente.

set as 65000

3. Cree la interfaz del primer túnel utilizando la información que se proporciona en la sección IPSecTunnel #1 del archivo de configuración. Especifique un nombre exclusivo para su túnel como,por ejemplo, AWS_VPC_Tunnel_1.

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436

4. Repita estos comandos para crear el segundo túnel utilizando la información que se proporcionaen la sección IPSec Tunnel #2 del archivo de configuración. Especifique un nombre exclusivopara su túnel como, por ejemplo, AWS_VPC_Tunnel_2.

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436

5. Establezca el ASN de la gateway privada virtual.

set bgp external remote-as 7224 on

6. Configure BGP para el primer túnel utilizando la información que se proporciona en la secciónIPSec Tunnel #1 del archivo de configuración.

set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. Configure BGP para el segundo túnel utilizando la información que se proporciona en la secciónIPSec Tunnel #2 del archivo de configuración.

set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

52

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

8. Guarde la configuración.

save config

Para crear una política de BGP

A continuación, cree una política de BGP que permita importar las rutas que anuncia AWS. Acontinuación, configurará la gateway de cliente para anunciar estas rutas locales a AWS.

1. En Gaia WebUI, elija Advanced Routing, Inbound Route Filters. Elija Add y seleccione Add BGPPolicy (Based on AS).

2. En Add BGP Policy (Añadir política de BGP), seleccione un valor entre 512 y 1024 en el primercampo y escriba el ASN de la gateway privada virtual en el segundo campo (por ejemplo, 7224).

3. Elija Save (Guardar).

Para anunciar rutas locales

A continuación se presentan los pasos para distribuir rutas de interfaces locales. También puederedistribuir rutas desde distintos orígenes (por ejemplo, rutas estáticas o rutas obtenidas medianteprotocolos de direccionamiento dinámico). Para obtener más información, consulte la Gaia AdvancedRouting R77 Versions Administration Guide.

1. En Gaia WebUI, elija Advanced Routing, Routing Redistribution. Elija Add Redistribution From(Añadir redistribución desde) y luego seleccione Interface (Interfaz).

2. En To Protocol (A protocolo), seleccione el ASN de la gateway privada virtual (por ejemplo, 7224).3. En Interface, seleccione una interfaz interna. Seleccione Save.

Para definir un nuevo objeto de red

A continuación, cree un objeto de red para cada túnel de VPN, especificando las direcciones IPpúblicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red comogateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúecomo marcador de posición para el dominio de VPN.

1. Abra Check Point SmartDashboard.2. Para Groups, abra el menú contextual y elija Groups, Simple Group. Puede utilizar el mismo

grupo para cada objeto de red.3. Para Network Objects, abra el menú contextual (clic con el botón derecho) y elija New,

Interoperable Device.4. En Name (Nombre), escriba el nombre que ha proporcionado para el túnel en el paso 1, por

ejemplo: AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.5. Para IPv4 Address, escriba la dirección IP externa de la gateway privada virtual proporcionada

en el archivo de configuración; por ejemplo: 54.84.169.196. Guarde la configuración y cierre elcuadro de diálogo.

53

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

6. En el panel de categorías izquierdo, elija Topology.7. En la sección VPN Domain (Dominio de VPN), elija Manually defined (Definido manualmente),

desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione OK.8. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección

IPSec Tunnel #2 del archivo de configuración.9. Vaya a su objeto de red de gateway, abra el objeto de clúster o gateway y elija Topology.10. En la sección VPN Domain (Dominio de VPN), elija Manually defined (Definido manualmente),

desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione OK.

Note

Puede conservar cualquier dominio de VPN existente que haya configurado. Noobstante, asegúrese de que los hosts y las redes utilizados o servidos por la nuevaconexión de VPN no estén declarados en ese dominio de VPN, especialmente si eldominio de VPN se obtiene automáticamente.

Note

Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster.Utilice las direcciones IP especificadas en el archivo de configuración.

Para crear y configurar los ajustes de comunidad de VPN, IKE e IPsec

A continuación, cree una comunidad de VPN en su gateway de Check Point, a la que agregará losobjetos de red (dispositivos interoperables) para cada túnel. También configurará los ajustes deintercambio de claves por Internet (IKE) y de IPsec.

1. En las propiedades de su gateway, elija IPSec VPN en el panel Category.2. Elija Communities, New, Star Community.3. Proporcione un nombre para su comunidad (por ejemplo, AWS_VPN_Star) y, a continuación, elija

Center Gateways en el panel Category.4. Elija Add y agregue su gateway o clúster a la lista de gateways participantes.5. En el panel Category (Categoría), elija Satellite Gateways (Gateways satélite), Add (Agregar),

y agregue los dispositivos interoperables que creó anteriormente (AWS_VPC_Tunnel_1 yAWS_VPC_Tunnel_2) a la lista de gateways participantes.

54

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

6. En el panel Category, elija Encryption. En la sección Encryption Method, elija IKEv1 for IPv4 andIKEv2 for IPv6. En la sección Encryption Suite, elija Custom, Custom Encryption.

Note

Debe seleccionar la opción IKEv1 para IPv4 e IKEv2 para IPv6 para la funcionalidadIKEv1. Esta es la opción correcta aunque actualmente no se admitan IKEv2 ni IPv6.

7. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija OK(Aceptar) cuando haya terminado:

• Propiedades de asociación de seguridad de IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA-1

• Propiedades de asociación de seguridad de IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1

8. En el panel Category, elija Tunnel Management. Elija Set Permanent Tunnels, On all tunnels inthe community. En la sección VPN Tunnel Sharing, elija One VPN tunnel per Gateway pair.

9. En el panel Category, expanda Advanced Settings y elija Shared Secret.10. Seleccione el nombre homólogo para el primer túnel, elija Edit (Editar) y escriba la clave

previamente compartida según lo especificado en la sección IPSec Tunnel #1 del archivo deconfiguración.

11. Seleccione el nombre homólogo para el segundo túnel, elija Edit (Editar) y escriba la clavepreviamente compartida según lo especificado en la sección IPSec Tunnel #2 del archivo deconfiguración.

55

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

12. Aún en la categoría Advanced Settings (Configuración avanzada), elija Advanced VPN Properties(Propiedades avanzadas de VPN), configure las propiedades según se indica y elija OK (Aceptar)cuando haya terminado:

• IKE (fase 1):• Use Diffie-Hellman group (Usar el grupo Diffie-Hellman): Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes

• IPsec (fase 2):• Elija Use Perfect Forward Secrecy• Use Diffie-Hellman group (Usar el grupo Diffie-Hellman): Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds

Para crear reglas de firewall

A continuación, configurará una política con reglas de firewall y reglas de coincidencia direccional quepermitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.

1. En SmartDashboard, elija Global Properties para su gateway. En el panel Category, expanda VPNy elija Advanced.

2. Elija Enable VPN Directional Match in VPN Column y elija OK.3. En SmartDashboard, elija Firewall y cree una política con las siguientes reglas:

56

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

• Permitir que la subred de VPC se comunique con la red local a través de los protocolosnecesarios.

• Permitir que la red local se comunique con la subred de VPC a través de los protocolosnecesarios.

4. Abra el menú contextual para la celda de la columna de VPN, y elija Edit Cell.5. En el cuadro de diálogo VPN Match Conditions, elija Match traffic in this direction only. Cree

las siguientes reglas de coincidencia direccional; para ello, elija Add (Agregar) para cada una yseleccione OK (Aceptar) cuando haya terminado:

• internal_clear > VPN community (Comunidad VPN) (la comunidad Star de VPN que creóantes; por ejemplo: AWS_VPN_Star)

• VPN community > VPN community• VPN community > internal_clear

6. En SmartDashboard, elija Policy, Install.7. En el cuadro de diálogo, elija su gateway y seleccione OK para instalar la política.

Para modificar la propiedad tunnel_keepalive_method

Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificarcuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnelpermanente debe configurarse en la comunidad de VPN de AWS.

De forma predeterminada, la propiedad tunnel_keepalive_method de una gateway de VPNestá configurada como tunnel_test. Debe cambiar el valor a dpd. Cada gateway de VPN dela comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedadtunnel_keepalive_method, incluida cualquier gateway de VPN de terceros. No puede configurarmecanismos de monitorización distintos para la misma gateway.

Puede actualizar la propiedad tunnel_keepalive_method utilizando la herramienta GuiDBedit.

1. Abra Check Point SmartDashboard, y elija Security Management Server, Domain ManagementServer.

2. Elija File, Database Revision Control..., y cree una instantánea de revisión.3. Cierre todas las ventanas de SmartConsole, como SmartDashboard, SmartView Tracker y

SmartView Monitor.4. Inicie la herramienta GuiBDedit. Para obtener más información, consulte el artículo Check Point

Database Tool, en el centro de soporte técnico de Check Point.5. Elija Security Management Server, Domain Management Server.6. En el panel superior izquierdo, elija Table, Network Objects, network_objects.7. En el panel superior derecho, seleccione el objeto de Security Gateway, Cluster correspondiente.8. Presione CTRL+F, o utilice el menú Search para buscar lo siguiente:

tunnel_keepalive_method.9. En el panel inferior, abra el menú contextual de tunnel_keepalive_method y seleccione Edit...

Elija dpd, OK (Aceptar).10. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de VPN de AWS.11. Elija File, Save All.12. Cierre la herramienta GuiDBedit.13. Abra Check Point SmartDashboard, y elija Security Management Server, Domain Management

Server.14. Instale la política en el objeto Security Gateway, Cluster correspondiente.

57

AWS Site-to-Site VPN Guía del usuarioProcedimientos de la interfaz de usuario

para el direccionamiento dinámico

Para obtener más información, consulte el artículo New VPN features in R77.10, en el centro desoporte técnico de Check Point.

Para habilitar el bloqueo TCP MSS

El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar lafragmentación de los paquetes.

1. Vaya al siguiente directorio: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra la herramienta Check Point Database ejecutando el archivo GuiDBEdit.exe.3. Elija Table, Global Properties, properties.4. Para fw_clamp_tcp_mss, elija Edit. Cambie el valor a true y luego elija OK (Aceptar).

Para verificar el estado del túnel

Puede verificar el estado del túnel ejecutando el siguiente comando desde la herramienta de línea decomandos en el modo experto.

vpn tunnelutil

En las opciones que aparecen, elija 1 para verificar las asociaciones de IKE y 2 para verificar lasasociaciones de IPsec.

También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexiónse están cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado através del túnel 1 y se ha cifrado.

58

AWS Site-to-Site VPN Guía del usuarioInformación adicional para dispositivos Cisco

SonicWALL

Puede configurar el dispositivo SonicWALL mediante la interfaz de administración de SonicOS. Paraobtener más información acerca de la configuración de los túneles, consulte Procedimientos deinterfaz de usuario para el direccionamiento estático (p. 38).

Sin embargo, no es posible configurar BGP para el dispositivo utilizando la interfaz de administración.En su lugar, utilice las instrucciones de la línea de comandos que se ofrecen en el archivo deconfiguración de ejemplo, en la sección BGP.

Información adicional para dispositivos CiscoAlgunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA, solo puede tener untúnel activo cada vez. El otro túnel en espera se activará si el primer túnel se vuelve no disponible. Conesta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Cisco ASA a partir de la versión 9.7.1 y posteriores admiten el modo Activo/Activo. Al utilizar estos CiscoASA, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tenerconectividad a su VPC a través de uno de los túneles.

59

AWS Site-to-Site VPN Guía del usuarioInformación adicional para dispositivos Juniper

Para los dispositivos Cisco, debe hacer lo siguiente:

• Configurar la interfaz externa.• Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.• Asegurarse de que el número de secuencia de política de Crypto List es único.• Asegurarse de que Crypto IPsec Transform Set y la secuencia de política de Crypto ISAKMP son

coherentes con los demás túneles IPsec que están configurados en el dispositivo.• Asegurarse de que el número de monitorización de SLA es único.• Configurar todo el direccionamiento interno que mueve el tráfico entre el dispositivo de gateway de

cliente y su red local.

Información adicional para dispositivos JuniperLa siguiente información se aplica a los archivos de configuración de ejemplo para dispositivos de gatewayde cliente SRX y Juniper J-Series.

• La interfaz externa se conoce como ge-0/0/0.0.• Los ID de la interfaz de túnel se conocen como st0.1 y st0.2.• Asegúrese de identificar la zona de seguridad para la interfaz del enlace de subida (la información de

configuración utiliza la zona predeterminada "poco fiable").• Asegúrese de identificar la zona de seguridad para la interfaz interior (la información de configuración

utiliza la zona predeterminada "de confianza").

PruebasPara obtener más información sobre cómo probar la conexión de Site-to-Site VPN, consulte Comprobaciónde la conexión de Site-to-Site VPN (p. 117).

Configuración de Windows Server 2008 R2 comogateway de cliente

Puede configurar Windows Server 2008 R2 como un dispositivo de gateway de cliente para su VPC. Utiliceel proceso siguiente si ejecuta Windows Server 2008 R2 en una instancia EC2 en una VPC o en su propioservidor.

Temas• Configuración del servidor de Windows (p. 61)• Paso 1: Crear una conexión de VPN y configurar la VPC (p. 61)• Paso 2: Descargar el archivo de configuración de la conexión de VPN (p. 62)• Paso 3: Configurar el servidor de Windows (p. 64)• Paso 4: Configurar el túnel de VPN (p. 65)• Paso 5: Habilitar la detección de gateways inactivas (p. 72)• Paso 6: Comprobar la conexión de VPN (p. 72)

60

AWS Site-to-Site VPN Guía del usuarioConfiguración del servidor de Windows

Configuración del servidor de WindowsPara configurar Windows Server como gateway de cliente, asegúrese de contar con Windows Server 2008R2 en su red o en una instancia EC2 en una VPC. Si utiliza una instancia EC2 que ha lanzado desde unaAMI de Windows, haga lo siguiente:

• Deshabilite la comprobación de origen/destino para la instancia:1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Seleccione la instancia de Windows Server y elija Actions, Networking, Change Source/Dest. Check.

Elija Yes, Disable.• Actualice la configuración del adaptador para poder direccionar el tráfico procedente de otras instancias:

1. Conéctese a la instancia de Windows. Para obtener más información, consulte Conexión con lainstancia de Windows.

2. Abra el Panel de control e inicie el Administrador de dispositivos.3. Expanda el nodo Adaptadores de red.4. Abra el menú contextual (haga clic con el botón derecho) del adaptador de red de Citrix o AWS PV y

elija Properties (Propiedades).5. En la pestaña Advanced, deshabilite las propiedades IPv4 Checksum Offload, TCP Checksum Offload

(IPv4) y UDP Checksum Offload (IPv4) y, a continuación, elija OK.• Asigne una dirección IP elástica a su cuenta y asóciela a la instancia. Para obtener más información,

consulte Uso de direcciones IP elásticas. Tome nota de esta dirección, ya que la necesitará para crear lagateway de cliente en su VPC.

• Asegúrese de que las reglas del grupo de seguridad de su instancia permiten el tráfico IPsec saliente.De forma predeterminada, un grupo de seguridad permite todo el tráfico saliente. No obstante, siel estado original de las reglas salientes del grupo de seguridad se ha modificado, debe crear lassiguientes reglas de protocolo personalizadas de salida para el tráfico IPsec: protocolo IP 50, protocoloIP 51 y UDP 500.

Anote el rango de CIDR para la red en la que se encuentra el servidor de Windows. Por ejemplo,172.31.0.0/16.

Paso 1: Crear una conexión de VPN y configurar laVPCPara crear una conexión de VPN desde la VPC, primero debe crear una gateway privada virtualy adjuntarla a su VPC. Para obtener más información, consulte Creación de una gateway privadavirtual (p. 16).

A continuación, cree una conexión de VPN y una nueva gateway de cliente. Para la gateway de cliente,especifique la dirección IP pública de su servidor de Windows. Para la conexión de VPN, elija eldireccionamiento estático e introduzca el rango de CIDR de la red en la que se encuentra el servidor deWindows, por ejemplo, 172.31.0.0/16. Para obtener más información, consulte Crear una conexión deSite-to-Site VPN (p. 18).

Para configurar la VPC

• Cree una subred privada en su VPC (en caso de que no disponga de ninguna) para lanzar instanciasque se comunicarán con el servidor de Windows. Para obtener más información, consulte la secciónAdición de una subred a su VPC.

61

AWS Site-to-Site VPN Guía del usuarioPaso 2: Descargar el archivo de

configuración de la conexión de VPN

Note

La subred privada es una subred que no dispone de una ruta a ninguna gateway de Internet. Eldireccionamiento de esta subred se describe en la sección siguiente.

• Actualice las tablas de ruteo de la conexión de VPN:• Añada una ruta a la tabla de ruteo de su subred privada con la gateway privada virtual como objetivo,

y la red de Windows Server (rango de CIDR) como destino.• Habilite la propagación de rutas para la gateway privada virtual. Para obtener más información,

consulte (Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento (p. 17).• Cree una configuración de grupo de seguridad para sus instancias que permita la comunicación entre la

VPC y la red:• Añada reglas que permitan el acceso a SSH o RDP entrante desde su red. Esto le permitirá

conectarse a instancias de su VPC desde la red. Por ejemplo, para permitir a los equipos de la redobtener acceso a instancias de Linux de su VPC, cree una regla entrante del tipo SSH y con elorigen establecido con el rango de CIDR de su red. Por ejemplo 172.31.0.0/16. Para obtener másinformación, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

• Añada una regla que permita el acceso a ICMP entrante desde su red. Esto le permitirá comprobar suconexión de VPN haciendo ping a una instancia de su VPC desde su Windows Server.

Paso 2: Descargar el archivo de configuración de laconexión de VPNPuede utilizar la consola de Amazon VPC para descargar un archivo de configuración de Windows Serverpara su conexión de VPN.

Para descargar el archivo de configuración

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).4. Seleccione Microsoft como proveedor, Windows Server como plataforma y 2008 R2 como software.

Elija Download. Puede abrir el archivo o guardarlo.

El archivo de configuración contiene una sección de información similar al siguiente ejemplo. Verá queesta información se muestra dos veces, una para cada túnel. Utilice esta información cuando configure elservidor de Windows Server 2008 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1Remote Tunnel Endpoint:      203.83.222.237Endpoint 1:                  [Your_Static_Route_IP_Prefix]Endpoint 2:                  [Your_VPC_CIDR_Block]Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

La dirección IP del dispositivo de gateway de cliente (en este caso, su servidor de Windows) quetermina la conexión de VPN en su red. Si su dispositivo de gateway de cliente es una instancia deservidor de Windows, deberá indicar la dirección IP privada de dicha instancia.

62

AWS Site-to-Site VPN Guía del usuarioPaso 2: Descargar el archivo de

configuración de la conexión de VPN

Remote Tunnel Endpoint

Una de las dos direcciones IP de la gateway privada virtual que termina la conexión de VPN en elextremo de AWS.

Endpoint 1

El prefijo de IP que especificó como ruta estática al crear la conexión de VPN. Estas son lasdirecciones IP de su red que pueden utilizar la conexión de VPN para obtener acceso a su VPC.

Endpoint 2

Rango de direcciones IP (bloque de CIDR) de la VPC asociada a la gateway privada virtual (porejemplo 10.0.0.0/16).

Preshared key

Clave previamente compartida que se utiliza para establecer la conexión de VPN IPsec entre el LocalTunnel Endpoint y el Remote Tunnel Endpoint.

Se recomienda configurar ambos túneles como parte de la conexión de VPN. Cada túnel se conecta a unconcentrador de VPN independiente en el extremo de Amazon de la conexión de VPN. Aunque solo hayaun túnel activo cada vez, el segundo túnel se establece automáticamente si el primero se desactiva. Altener túneles redundantes, se asegura de tener una disponibilidad continua en caso de un error deldispositivo. Puesto que solo hay disponible un túnel cada vez, la consola de Amazon VPC indica que untúnel está inactivo. Este es el comportamiento esperado, de modo que no necesita realizar ninguna acción.

Con dos túneles configurados, si se produce un fallo de un dispositivo en AWS, su conexión de VPNcambiará automáticamente al segundo túnel de la gateway privada virtual de AWS en cuestión de minutos.Al configurar su dispositivo de gateway de cliente, es importante que configure ambos túneles.

Note

En ocasiones, AWS realiza tareas de mantenimiento de rutina en la gateway privada virtual. Estemantenimiento podría deshabilitar uno de los dos túneles de su conexión de VPN durante unbreve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundotúnel mientras duren las tareas de mantenimiento.

La información adicional acerca del intercambio de claves por Internet (IKE) y las asociaciones deseguridad de IPsec (SA) se muestran en el archivo de configuración descargado.  Puesto que laconfiguración recomendada de la VPN de VPC es la misma que la configuración de IPsec predeterminadade Windows Server 2008 R2, el trabajo que deberá realizar es mínimo.

MainModeSecMethods:         DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime:        480min,0sec QuickModeSecMethods:        ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS:               DHGroup2

MainModeSecMethods

Algoritmos de cifrado y autenticación para IKE SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2008 R2.

MainModeKeyLifetime

Vida útil de la clave de IKE SA.  Esta es la configuración recomendada para la conexión de VPN y esla configuración predeterminada para las conexiones de VPN IPsec de Windows Server 2008 R2.

63

AWS Site-to-Site VPN Guía del usuarioPaso 3: Configurar el servidor de Windows

QuickModeSecMethods

Algoritmos de cifrado y autenticación para IPsec SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2008 R2.

QuickModePFS

Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesiones deIPsec.

Paso 3: Configurar el servidor de WindowsAntes de configurar el túnel de VPN, debe instalar y configurar los servicios de acceso remoto y dedireccionamiento en su Windows Server. De esta forma, los usuarios remotos podrán obtener acceso a losrecursos de su red.

Para instalar el direccionamiento y los servicios de acceso remoto en Windows Server 2008 R2

1. Inicie sesión en el servidor de Windows Server 2008 R2.2. Elija Inicio, Todos los programas, Herramientas administrativas, Server Manager.3. Instale los servicios de acceso remoto y direccionamiento:

a. En el panel de navegación del Administrador del servidor, elija Roles.b. En el panel Roles, elija Añadir roles.c. En la página Antes de comenzar, asegúrese de que su servidor cumple todos los requisitos

previos y elija Siguiente.d. En la página Seleccionar roles de servidor, elija Servicios de acceso y políticas de redes y, a

continuación, elija Siguiente.e. En la página Servicios de acceso y directivas de redes, elija Siguiente.f. En la página Seleccionar servicios de rol, elija Servicios de enrutamiento y acceso remoto, deje

seleccionada las opciones Servicio de acceso remoto y Enrutamiento, y después elija Siguiente.

64

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

g. En la página Confirmar opciones de instalación, elija Instalar.h. Una vez que haya finalizado el asistente, elija Cerrar.

Para configurar y habilitar el servidor de enrutamiento y acceso remoto

1. En el panel de navegación del Administrador del servidor, elija Roles y, a continuación, elija Política dered y acceso.

2. Abra el menú contextual (haga clic con el botón derecho) de Servidor de enrutamiento y accesoremoto y, a continuación, elija Configurar y habilitar Enrutamiento y acceso remoto.

3. En el Asistente para instalación del servidor de enrutamiento y acceso remoto, en la páginaBienvenido, elija Siguiente.

4. En la página Configuración, elija Configuración personalizada y Siguiente.5. Elija Enrutamiento LAN, Siguiente.6. Elija Finalizar.7. Cuando lo solicite el cuadro de diálogo Enrutamiento y acceso remoto, elija Iniciar servicio.

Paso 4: Configurar el túnel de VPNPuede configurar el túnel de la VPN ejecutando los scripts netsh que se incluyen en el archivo deconfiguración descargado, o bien utilizando el Asistente para nueva regla de seguridad de conexión en elservidor de Windows.

Important

Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para lassesiones de IPsec. Sin embargo, no es posible habilitar PFS utilizando la interfaz de usuario deWindows Server 2008 R2; solo puede habilitar esta configuración ejecutando el script netsh conqmpfs=dhgroup2. Por lo tanto, debe considerar cuáles son sus requisitos antes de seleccionaruna opción.

Opción 1: Ejecutar el script netshCopie el script netsh del archivo de configuración descargado y reemplace las variables. A continuación semuestra un ejemplo de script.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puede sustituir el nombre recomendado (VGW-1a2b3c4d Tunnel 1) por el nombre que prefiera.

LocalTunnelEndpoint: escriba la dirección IP privada del servidor de Windows en su red.

Endpoint1: bloque de CIDR de la red en la que reside el servidor de Windows. Por ejemplo,172.31.0.0/16.

Endpoint2: bloque de CIDR de su VPC o subred de su VPC. Por ejemplo, 10.0.0.0/16.

65

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

Ejecute el script actualizado en una ventana de símbolo del sistema. (El signo ^ le permite cortar y pegartexto incluido en la línea de comandos). Para configurar el segundo túnel de VPN para esta conexión deVPN, repita el proceso utilizando el script netsh en el archivo de configuración.

Cuando haya terminado, vaya a 2.4: Configurar el firewall de Windows (p. 70).

Para obtener más información acerca de los parámetros de netsh, consulte Netsh AdvFirewall ConsecCommands en la Biblioteca de Microsoft TechNet.

Opción 2: Utilizar la interfaz de usuario del servidor de WindowsTambién puede utilizar la interfaz de usuario de Windows Server para configurar el túnel de VPN. Estassección le guía a través de los pasos necesarios.

Important

No puede habilitar la confidencialidad directa total (PFS) de clave maestra desde la interfaz deusuario de Windows Server 2008 R2. Por lo tanto, si decide utilizar PFS, debe utilizar los scriptsnetsh descritos en la opción 1 en lugar de la interfaz de usuario descrita en esta opción.

• 2.1: Configurar una regla de seguridad para un túnel de VPN (p. 66)• 2.3: Confirmar la configuración del túnel (p. 70)• 2.4: Configurar el firewall de Windows (p. 70)

2.1: Configurar una regla de seguridad para un túnel de VPN

En esta sección, configurará una regla de seguridad en su Windows Server para crear un túnel de VPN.

Para configurar una regla de seguridad para un túnel de VPN

1. En el panel de navegación del Administrador del servidor, expanda Configuración y, a continuación,expanda Firewall de Windows con seguridad avanzada.

2. Abra el menú contextual (haga clic con el botón derecho) de Reglas de seguridad de conexión y elijaNueva regla.

3. En el Asistente para nueva regla de seguridad de conexión, en la página Tipo de regla, elija Túnel y, acontinuación, elija Siguiente.

4. En la página Tipo de túnel, en ¿Qué tipo de túnel desea crear?, elija Configuración personalizada.En ¿Desea eximir las conexiones protegidas por IPsec de este túnel?, deje el valor predeterminadoactivado (No. Enviar todo el tráfico de red que coincida con esta regla de seguridad de la conexión porel túnel.) y, a continuación, elija Siguiente.

5. En la página Requisitos, elija Requerir autenticación para las conexiones entrantes. No establecertúneles para las conexiones salientes y, a continuación, elija Siguiente.

66

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

6. En la página Extremos de túnel, en ¿Qué equipos están en el Extremo 1?, elija Agregar. Escriba elintervalo de CIDR de su red (detrás del dispositivo de gateway de cliente de su servidor Windows) y,a continuación, seleccione Ok (Aceptar). El intervalo puede incluir la dirección IP de su dispositivo degateway de cliente.

7. En ¿Cuál es el extremo de túnel local (más cercano a los equipos del Extremo 1)?, elija Editar. Escribala dirección IP privada de su servidor de Windows Server y, a continuación, elija Aceptar.

8. En ¿Cuál es el extremo de túnel remoto (más cercano a los equipos del Extremo 2)?, elija Editar.Escriba la dirección IP de la gateway privada virtual del Túnel 1 del archivo de configuración (consulteRemote Tunnel Endpoint) y, a continuación, elija Aceptar.

Important

Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar el punto deconexión para el Túnel 2.

9. En ¿Qué equipos están en el Extremo 2?, elija Agregar. Escriba el bloque de CIDR de su VPC y, acontinuación, elija Aceptar.

Important

Debe desplazarse por el cuadro de diálogo hasta encontrar ¿Qué equipos están en elExtremo 2?. No elija Siguiente hasta que no haya completado este paso, ya que, de locontrario, no podrá conectarse a su servidor.

67

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

10. Asegúrese de que todos los parámetros especificados son correctos. A continuación, elija Siguiente.11. En la página Método de autenticación, seleccione Avanzado y, a continuación, elija Personalizar.12. En Métodos de primera autenticación, elija Agregar.13. Seleccione Clave previamente compartida, escriba el valor de la clave previamente compartida del

archivo de configuración y elija Aceptar.

Important

Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar la clavepreviamente compartida para el Túnel 2.

68

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

14. Asegúrese de que la opción La primera autenticación es opcional no esté seleccionada y, acontinuación, elija Aceptar.

15. En la página Método de autenticación, elija Siguiente.16. En la página Perfil, active las tres casillas de verificación: Dominio, Privado y Público. Seleccione

Siguiente.17. En la página Nombre, escriba un nombre para la regla de conexión y, a continuación, elija Finalizar.

Repita el procedimiento anterior, especificando los datos para el túnel 2 de su archivo de configuración.

69

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

Una vez que haya terminado, tendrá dos túneles configurados para su conexión de VPN.

2.3: Confirmar la configuración del túnel

Para confirmar la configuración del túnel

1. En el panel de navegación del Administrador del servidor, expanda el nodo Configuración, expandaFirewall de Windows con seguridad avanzada y, a continuación, elija Reglas de seguridad deconexión.

2. Realice las comprobaciones siguientes para ambos túneles:

• Habilitado está configurado con el valor Yes.• Modo de autenticación está configurado con el valor Require inbound and clear outbound.• Método de autenticación está configurado como Custom.• Puerto de extremo 1 es Any.• Puerto de extremo 2 es Any.• Protocolo es Any.

3. Haga doble clic en la regla de seguridad de su primer túnel.4. En la pestaña Equipos, verifique lo siguiente:

• En Extremo 1, el rango de bloque de CIDR coincide con el rango de bloque de CIDR de su red.• En Extremo 2, el intervalo de bloque de CIDR coincide con el intervalo de bloque de CIDR de su

VPC.5. En la pestaña Autenticación, en Método, elija Personalizar y asegúrese de que Métodos de primera

autenticación contiene la clave previamente compartida correcta de su archivo de configuración parael túnel. Seleccione OK.

6. En la pestaña Avanzado, asegúrese de que las opciones Dominio, Privado y Público esténseleccionadas.

7. En Túnel IPsec, elija Personalizar. Verifique la siguiente configuración de túneles IPsec.

• La opción Usar túnel IPsec está seleccionada.• Extremo de túnel local (más cercano al Extremo 1) contiene la dirección IP de su servidor. Si

su dispositivo de gateway de cliente es una instancia de servidor de Windows, deberá indicar ladirección IP privada de dicha instancia.

• Extremo de túnel remoto (más cercano al Extremo 2) contiene la dirección IP de la gateway privadavirtual de este túnel.

8. Haga doble clic en la regla de seguridad de su segundo túnel. Repita los pasos del 4 al 7 para estetúnel.

2.4: Configurar el firewall de Windows

Tras configurar sus reglas de seguridad en el servidor, configure algunos ajustes básicos de IPsec paratrabajar con la gateway privada virtual.

Para configurar el firewall de Windows

1. En el panel de navegación del Administrador del servidor, abra el menú contextual (haga clic con elbotón derecho) de Firewall de Windows con seguridad avanzada y, a continuación, elija Propiedades.

2. Elija Configuración de IPsec.3. En Exenciones IPsec, verifique que el valor de ICMP está exento de IPsec sea No (predeterminado).

Asegúrese de que la opción Autorización de túnel IPsec está configurada con la opción Ninguno.4. En Predeterminados de IPsec, elija Personalizar.

70

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

5. En el cuadro de diálogo Personalizar configuración de IPsec, en Intercambio de claves (modoprincipal), seleccione Avanzado y, a continuación, elija Personalizar.

6. En Personalizar configuración avanzada de intercambio de claves, en Métodos de seguridad,asegúrese de que se utilizan los siguientes valores predeterminados para la primera entrada:

• Integridad: SHA-1• Cifrado: AES-CBC 128• Algoritmo de intercambio de claves: Grupo Diffie-Hellman 2• En Duración de la clave, asegúrese de que Minutos tenga el valor 480 y de que Sesiones tenga el

valor 0.

Estos valores corresponden a estas entradas en el archivo de configuración.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

7. En Opciones de intercambio de claves, seleccione Usar Diffie-Hellman para mayor seguridad y, acontinuación, elija Aceptar.

8. En Protección de datos (modo rápido), seleccione Avanzado y, a continuación, elija Personalizar.9. Seleccione Requerir cifrado para todas las reglas de seguridad de conexión que usan esta

configuración.10. En Algoritmos de integridad de datos y de cifrado, deje los valores predeterminados:

• Protocolo: ESP• Integridad: SHA-1• Cifrado: AES-CBC 128• Vigencia: 60 minutos

Estos valores corresponden a las entradas del archivo de configuración que se muestran acontinuación.

71

AWS Site-to-Site VPN Guía del usuarioPaso 5: Habilitar la detección de gateways inactivas

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb

11. Para volver al cuadro de diálogo Personalizar configuración de IPsec, elija Aceptar. Seleccione OK.

Paso 5: Habilitar la detección de gateways inactivasA continuación, configure TCP para detectar cuándo una gateway deja de estar disponible. Para ello,modifique la siguiente clave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. No realice este paso hasta no haber completado las secciones anteriores. Después decambiar la clave de registro, deberá reiniciar el servidor.

Para habilitar la detección de gateways inactivas

1. En el servidor, elija Inicio y luego introduzca regedit para iniciar el Editor del Registro.2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip y Parameters.3. En el otro panel, abra el menú contextual (haga clic con el botón derecho) de Nuevo y seleccione

Valor de DWORD (32 bits).4. Escriba el nombre EnableDeadGWDetect.5. Abra el menú contextual (haga clic con el botón derecho) de EnableDeadGWDetect y elija Modificar.6. En Información del valor, escriba 1 y elija Aceptar.7. Cierre el Editor del Registro y reinicie el servidor.

Para obtener más información, vaya a EnableDeadGWDetect en la Biblioteca de Microsoft TechNet.

Paso 6: Comprobar la conexión de VPNPara comprobar que la conexión de VPN está funcionando correctamente, lance una instancia en su VPCy asegúrese de que no tiene conexión a Internet. Después de lanzar la instancia, haga ping a su direcciónIP privada desde su servidor de Windows Server. El túnel VPN aparece cuando se genera tráfico desde eldispositivo de gateway de cliente. Por lo tanto, el comando ping también inicia la conexión de VPN.

Para ver los pasos para probar la conexión de VPN, consulte Comprobación de la conexión de Site-to-SiteVPN (p. 117).

En caso de error en el comando ping, compruebe la información siguiente:

• Asegúrese de haber configurado las reglas de su grupo de seguridad para que permitan ICMP en lainstancia de su VPC. Si su servidor de Windows es una instancia EC2, asegúrese de que las reglassalientes de su grupo de seguridad permiten el tráfico IPsec. Para obtener más información, consulteConfiguración del servidor de Windows (p. 61).

• Asegúrese de que el sistema operativo de la instancia en la que está haciendo ping esté configuradopara responder a ICMP. Se recomienda utilizar una de las AMI de Amazon Linux.

• Si la instancia a la que va a hacer ping es una instancia de Windows, inicie sesión en la instancia yhabilite ICMPv4 entrante en el firewall de Windows.

• Asegúrese de haber configurado correctamente las tablas de ruteo para su VPC o su subred. Paraobtener más información, consulte Paso 1: Crear una conexión de VPN y configurar la VPC (p. 61).

• Si su dispositivo de gateway de cliente es una instancia de Windows Server, asegúrese de haberdeshabilitado la comprobación de origen/destino para la instancia. Para obtener más información,consulte Configuración del servidor de Windows (p. 61).

72

AWS Site-to-Site VPN Guía del usuarioConfiguración de Windows Server 2012

R2 como dispositivo de gateway de cliente

En la consola de Amazon VPC, en la página VPN Connections, seleccione su conexión de VPN. El primertúnel está en estado activo. El segundo túnel debería configurarse, pero no se utiliza a menos que sedesactive el primer túnel. Puede que los túneles cifrados tarden unos minutos en establecerse.

Configuración de Windows Server 2012 R2 comodispositivo de gateway de cliente

Puede configurar Windows Server 2012 R2 como gateway de cliente para su VPC. Utilice el procesosiguiente si ejecuta Windows Server 2012 R2 en una instancia EC2 en una VPC o en su propio servidor.

Temas• Configuración del servidor de Windows (p. 73)• Paso 1: Crear una conexión de VPN y configurar la VPC (p. 74)• Paso 2: Descargar el archivo de configuración de la conexión de VPN (p. 74)• Paso 3: Configurar el servidor de Windows (p. 76)• Paso 4: Configurar el túnel de VPN (p. 77)• Paso 5: Habilitar la detección de gateways inactivas (p. 82)• Paso 6: Comprobar la conexión de VPN (p. 82)

Configuración del servidor de WindowsPara configurar el servidor de Windows como dispositivo de gateway de cliente, asegúrese de que tieneWindows Server 2012 R2 en su red o en una instancia EC2 en una VPC. Si utiliza una instancia EC2 queha lanzado desde una AMI de Windows, haga lo siguiente:

• Deshabilite la comprobación de origen/destino para la instancia:1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. Seleccione la instancia de Windows Server y elija Actions, Networking, Change Source/Dest. Check.

Elija Yes, Disable.• Actualice la configuración del adaptador para poder direccionar el tráfico procedente de otras instancias:

1. Conéctese a la instancia de Windows. Para obtener más información, consulte Conexión con lainstancia de Windows.

2. Abra el Panel de control e inicie el Administrador de dispositivos.3. Expanda el nodo Adaptadores de red.4. Seleccione el dispositivo de red AWS PV, elija Action, Properties.5. En la pestaña Advanced, deshabilite las propiedades IPv4 Checksum Offload, TCP Checksum Offload

(IPv4) y UDP Checksum Offload (IPv4) y, a continuación, elija OK.• Asigne una dirección IP elástica a su cuenta y asóciela a la instancia. Para obtener más información,

consulte Uso de direcciones IP elásticas. Tome nota de esta dirección, ya que la necesitará para crear lagateway de cliente en su VPC.

• Asegúrese de que las reglas del grupo de seguridad de su instancia permiten el tráfico IPsec saliente.De forma predeterminada, un grupo de seguridad permite todo el tráfico saliente. No obstante, siel estado original de las reglas salientes del grupo de seguridad se ha modificado, debe crear lassiguientes reglas de protocolo personalizadas de salida para el tráfico IPsec: protocolo IP 50, protocoloIP 51 y UDP 500.

Anote el rango de CIDR para la red en la que se encuentra el servidor de Windows. Por ejemplo,172.31.0.0/16.

73

AWS Site-to-Site VPN Guía del usuarioPaso 1: Crear una conexión de VPN y configurar la VPC

Paso 1: Crear una conexión de VPN y configurar laVPCPara crear una conexión de VPN desde la VPC, primero debe crear una gateway privada virtualy adjuntarla a su VPC. Para obtener más información, consulte Creación de una gateway privadavirtual (p. 16).

A continuación, cree una conexión de VPN y una nueva gateway de cliente. Para la gateway de cliente,especifique la dirección IP pública de su servidor de Windows. Para la conexión de VPN, elija eldireccionamiento estático y, a continuación, introduzca el rango de CIDR de la red en la que se encuentrael servidor de Windows, por ejemplo, 172.31.0.0/16. Para obtener más información, consulte Crear unaconexión de Site-to-Site VPN (p. 18).

Para configurar la VPC

• Cree una subred privada en su VPC (en caso de que no disponga de ninguna) para lanzar instanciasque se comunicarán con el servidor de Windows. Para obtener más información, consulte la secciónAdición de una subred a su VPC.

Note

La subred privada es una subred que no dispone de una ruta a ninguna gateway de Internet. Eldireccionamiento de esta subred se describe en la sección siguiente.

• Actualice las tablas de ruteo de la conexión de VPN:• Añada una ruta a la tabla de ruteo de su subred privada con la gateway privada virtual como objetivo,

y la red de Windows Server (rango de CIDR) como destino.• Habilite la propagación de rutas para la gateway privada virtual. Para obtener más información,

consulte la sección sobre las tablas de enrutamiento en la Guía del usuario de Amazon VPC.• Cree una configuración de grupo de seguridad para sus instancias que permita la comunicación entre la

VPC y la red:• Añada reglas que permitan el acceso a SSH o RDP entrante desde su red. Esto le permitirá

conectarse a instancias de su VPC desde la red. Por ejemplo, para permitir a los equipos de la redobtener acceso a instancias de Linux de su VPC, cree una regla entrante del tipo SSH y establezca elorigine en el rango de CIDR de su red (por ejemplo, 172.31.0.0/16). Para obtener más información,consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

• Añada una regla que permita el acceso a ICMP entrante desde su red. Esto le permitirá comprobar suconexión de VPN haciendo ping a una instancia de su VPC desde su Windows Server.

Paso 2: Descargar el archivo de configuración de laconexión de VPNPuede utilizar la consola de Amazon VPC para descargar un archivo de configuración de Windows Serverpara su conexión de VPN.

Para descargar el archivo de configuración

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione su conexión de VPN y elija Download Configuration (Descargar configuración).4. Seleccione Microsoft como proveedor, Windows Server como plataforma y 2012 R2 como software.

Elija Download. Puede abrir el archivo o guardarlo.

74

AWS Site-to-Site VPN Guía del usuarioPaso 2: Descargar el archivo de

configuración de la conexión de VPN

El archivo de configuración contiene una sección de información similar al siguiente ejemplo. Verá queesta información se muestra dos veces, una para cada túnel. Utilice esta información cuando configure elservidor de Windows Server 2012 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1Remote Tunnel Endpoint:      203.83.222.237Endpoint 1:                  [Your_Static_Route_IP_Prefix]Endpoint 2:                  [Your_VPC_CIDR_Block]Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

La dirección IP de la gateway de cliente (en este caso, su servidor de Windows) que termina laconexión de VPN en su red. Si su gateway de cliente es una instancia de servidor de Windows, ladirección IP privada de dicha instancia.

Remote Tunnel Endpoint

Una de las dos direcciones IP de la gateway privada virtual que termina la conexión de VPN en elextremo de AWS de la conexión.

Endpoint 1

El prefijo de IP que especificó como ruta estática al crear la conexión de VPN. Estas son lasdirecciones IP de su red que pueden utilizar la conexión de VPN para obtener acceso a su VPC.

Endpoint 2

Rango de direcciones IP (bloque de CIDR) de la VPC asociada a la gateway privada virtual (porejemplo 10.0.0.0/16).

Preshared key

Clave previamente compartida que se utiliza para establecer la conexión de VPN IPsec entre el LocalTunnel Endpoint y el Remote Tunnel Endpoint.

Se recomienda configurar ambos túneles como parte de la conexión de VPN. Cada túnel se conecta a unconcentrador de VPN independiente en el extremo de Amazon de la conexión de VPN. Aunque solo hayaun túnel activo cada vez, el segundo túnel se establece automáticamente si el primero se desactiva. Altener túneles redundantes, se asegura de tener una disponibilidad continua en caso de un error dedispositivo. Puesto que solo hay disponible un túnel cada vez, la consola de Amazon VPC indica que untúnel está inactivo. Este es el comportamiento esperado, de modo que no necesita realizar ninguna acción.

Con dos túneles configurados, si se produce un fallo de un dispositivo en AWS, su conexión de VPNcambiará automáticamente al segundo túnel de la gateway privada virtual de AWS en cuestión de minutos.Al configurar su dispositivo de gateway de cliente, es importante que configure ambos túneles.

Note

En ocasiones, AWS realiza tareas de mantenimiento de rutina en la gateway privada virtual. Estemantenimiento podría deshabilitar uno de los dos túneles de su conexión de VPN durante unbreve periodo. Cuando esto ocurra, su conexión de VPN cambiará automáticamente al segundotúnel mientras duren las tareas de mantenimiento.

La información adicional acerca del intercambio de claves por Internet (IKE) y las asociaciones deseguridad de IPsec (SA) se muestran en el archivo de configuración descargado. Puesto que laconfiguración recomendada de la VPN de VPC es la misma que la configuración de IPsec predeterminadade Windows Server 2012 R2, el trabajo que deberá realizar es mínimo.

MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sess

75

AWS Site-to-Site VPN Guía del usuarioPaso 3: Configurar el servidor de Windows

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2

MainModeSecMethods

Algoritmos de cifrado y autenticación para IKE SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2012 R2.

MainModeKeyLifetime

Vida útil de la clave de IKE SA.  Esta es la configuración recomendada para la conexión de VPN y esla configuración predeterminada para las conexiones de VPN IPsec de Windows Server 2012 R2.

QuickModeSecMethods

Algoritmos de cifrado y autenticación para IPsec SA. Esta es la configuración recomendada para laconexión de VPN y es la configuración predeterminada para las conexiones de VPN de IPsec deWindows Server 2012 R2.

QuickModePFS

Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesiones deIPsec.

Paso 3: Configurar el servidor de WindowsAntes de configurar el túnel de VPN, debe instalar y configurar los servicios de acceso remoto y dedireccionamiento en su Windows Server. De esta forma, los usuarios remotos podrán obtener acceso a losrecursos de su red.

Para instalar el direccionamiento y los servicios de acceso remoto en Windows Server 2012 R2

1. Inicie sesión en el servidor de Windows Server 2012 R2.2. Vaya al menú Inicio y elija Administrador del servidor.3. Instale los servicios de acceso remoto y direccionamiento:

a. Desde el menú Administrar, elija Agregar roles y características.b. En la página Antes de comenzar, asegúrese de que su servidor cumple todos los requisitos

previos. A continuación, elija Siguiente.c. Elija Instalación basada en características o en roles y, a continuación, elija Siguiente.d. Elija Seleccionar un servidor del grupo de servidores, seleccione su servidor de Windows 2012 R2

y, a continuación, elija Siguiente.e. Seleccione Servicios de acceso y directivas de redes en la lista. En el cuadro de diálogo que

aparecerá, elija Agregar características para confirmar las características necesarias para estafunción.

f. En la misma lista, elija Acceso remoto y elija Siguiente.g. En la página Seleccionar características, elija Siguiente.h. En la página Servicios de acceso y directivas de redes, elija Siguiente. Deje seleccionada la

opción Servidor de directivas de redes y luego elija Siguiente.i. En la página Acceso remoto, elija Siguiente. En la página siguiente, seleccione Acceso directo y

VPN (RAS). En el cuadro de diálogo que aparecerá, elija Agregar características para confirmarlas características necesarias para este servicio de función. En la misma lista, elija Enrutamientoy, a continuación, elija Siguiente.

j. En la página Rol de servidor web (IIS), elija Siguiente. Deje la selección predeterminada y elijaSiguiente.

k. Elija Instalar. Cuando finalice la instalación, elija Cerrar.

76

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

Para configurar y habilitar el servidor de enrutamiento y acceso remoto

1. En el panel, elija Notificaciones (icono con la marca). Debería haber una tarea para completar laconfiguración posterior a la implementación. Elija el enlace Abrir el Asistente para introducción.

2. Elija Implementar solo VPN.3. En el cuadro de diálogo Enrutamiento y acceso remoto, elija el nombre del servidor, elija Acción y

luego seleccione Configurar y habilitar Enrutamiento y acceso remoto.4. En el Asistente para instalación del servidor de enrutamiento y acceso remoto, en la primera página,

elija Siguiente.5. En la página Configuración, elija Configuración personalizada y Siguiente.6. Elija Enrutamiento LAN, Siguiente y Finalizar.7. Cuando lo solicite el cuadro de diálogo Enrutamiento y acceso remoto, elija Iniciar servicio.

Paso 4: Configurar el túnel de VPNPuede configurar el túnel de la VPN ejecutando los scripts netsh que se incluyen en el archivo deconfiguración descargado, o bien utilizando el Asistente para nueva regla de seguridad de conexión en elservidor de Windows.

Important

Se recomienda utilizar la confidencialidad directa total (PFS) de clave maestra para las sesionesde IPsec. Si elige ejecutar el script netsh, comprobará que incluye un parámetro para habilitarPFS (qmpfs=dhgroup2). No puede habilitar PFS desde la interfaz de usuario de Windows Server2012 R2; en su lugar, deberá activarla con la línea de comandos.

Opción 1: Ejecutar el script netshCopie el script netsh del archivo de configuración descargado y reemplace las variables. A continuación semuestra un ejemplo de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^Enable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puede sustituir el nombre recomendado (vgw-1a2b3c4d Tunnel 1) por el nombre que prefiera.

LocalTunnelEndpoint: escriba la dirección IP privada del servidor de Windows en su red.

Endpoint1: bloque de CIDR de la red en la que reside el servidor de Windows. Por ejemplo,172.31.0.0/16.

Endpoint2: bloque de CIDR de su VPC o subred de su VPC. Por ejemplo, 10.0.0.0/16.

Ejecute el script actualizado en una ventana de símbolo del sistema en su servidor de Windows. (El signo ^le permite cortar y pegar texto incluido en la línea de comandos). Para configurar el segundo túnel de VPNpara esta conexión de VPN, repita el proceso utilizando el script netsh en el archivo de configuración.

Cuando haya terminado, vaya a 2.4: Configurar el firewall de Windows (p. 81).

Para obtener más información acerca de los parámetros de netsh, consulte Netsh AdvFirewall ConsecCommands en la Biblioteca de Microsoft TechNet.

77

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

Opción 2: Utilizar la interfaz de usuario del servidor de WindowsTambién puede utilizar la interfaz de usuario de Windows Server para configurar el túnel de VPN. Estassección le guía a través de los pasos necesarios.

Important

No puede habilitar la confidencialidad directa total (PFS) de clave maestra desde la interfaz deusuario de Windows Server 2012 R2. PFS debe habilitarse con la línea de comandos, tal como sedescribe en Habilitación de la confidencialidad directa total (PFS) de clave maestra (p. 80).

Temas• 2.1: Configurar una regla de seguridad para un túnel de VPN (p. 78)• 2.3: Confirmar la configuración del túnel (p. 80)• Habilitación de la confidencialidad directa total (PFS) de clave maestra (p. 80)

2.1: Configurar una regla de seguridad para un túnel de VPNEn esta sección, configurará una regla de seguridad en su Windows Server para crear un túnel de VPN.

Para configurar una regla de seguridad para un túnel de VPN

1. Abra Administrador del servidor, elija Herramientas y luego seleccione Firewall de Windows conseguridad avanzada.

2. Seleccione Reglas de seguridad de conexión, elija Acción y, a continuación, Nueva regla.3. En el Asistente para nueva regla de seguridad de conexión, en la página Tipo de regla, elija Túnel y, a

continuación, elija Siguiente.4. En la página Tipo de túnel, en ¿Qué tipo de túnel desea crear?, elija Configuración personalizada.

En ¿Desea eximir las conexiones protegidas por IPsec de este túnel?, deje el valor predeterminadoactivado (No. Enviar todo el tráfico de red que coincida con esta regla de seguridad de la conexión porel túnel.) y, a continuación, elija Siguiente.

5. En la página Requisitos, elija Requerir autenticación para las conexiones entrantes. No establecertúneles para las conexiones salientes y, a continuación, elija Siguiente.

6. En la página Extremos de túnel, en ¿Qué equipos están en el Extremo 1?, elija Agregar. Escriba elintervalo de CIDR de su red (detrás del dispositivo de gateway de cliente de su servidor de Windows,por ejemplo 172.31.0.0/16) y, a continuación, seleccione Aceptar. El intervalo puede incluir ladirección IP de su dispositivo de gateway de cliente.

7. En ¿Cuál es el extremo de túnel local (más cercano a los equipos del Extremo 1)?, elija Editar. En elcampo Dirección IPv4, escriba la dirección IP privada de su servidor Windows y, a continuación, elijaAceptar.

8. En ¿Cuál es el extremo de túnel remoto (más cercano a los equipos del Extremo 2)?, elija Editar. En elcampo Dirección IPv4, escriba la dirección IP de la gateway privada virtual del Túnel 1 del archivo deconfiguración (consulte Remote Tunnel Endpoint) y, a continuación, elija Aceptar.

Important

Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar el punto deconexión para el Túnel 2.

9. En ¿Qué equipos están en el Extremo 2?, elija Agregar. En el campo Esta dirección IP o subred:,escriba el bloque de CIDR de su VPC y, a continuación, elija Aceptar.

Important

Debe desplazarse por el cuadro de diálogo hasta encontrar ¿Qué equipos están en elExtremo 2?. No elija Siguiente hasta que no haya completado este paso, ya que, de locontrario, no podrá conectarse a su servidor.

78

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

10. Asegúrese de que todos los parámetros especificados son correctos. A continuación, elija Siguiente.11. En la página Método de autenticación, seleccione Avanzado y elija Personalizar.12. En Métodos de primera autenticación, elija Agregar.13. Seleccione Clave previamente compartida, escriba el valor de la clave previamente compartida del

archivo de configuración y luego elija Aceptar.

Important

Si va a repetir este procedimiento para el Túnel 2, asegúrese de seleccionar la clavepreviamente compartida para el Túnel 2.

14. Asegúrese de que la opción La primera autenticación es opcional no esté seleccionada y, acontinuación, elija Aceptar.

15. Elija Next (Siguiente).

79

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

16. En la página Perfil, active las tres casillas de verificación: Dominio, Privado y Público. Seleccione Next(Siguiente).

17. En la página Nombre, escriba un nombre para la regla de conexión como, por ejemplo, VPN to AWSTunnel 1 y, a continuación, elija Finalizar.

Repita el procedimiento anterior, especificando los datos para el túnel 2 de su archivo de configuración.

Una vez que haya terminado, tendrá dos túneles configurados para su conexión de VPN.

2.3: Confirmar la configuración del túnel

Para confirmar la configuración del túnel

1. Abra Administrador del servidor, elija Herramientas, seleccione Firewall de Windows con seguridadavanzada y, a continuación, seleccione Reglas de seguridad de conexión.

2. Realice las comprobaciones siguientes para ambos túneles:

• Habilitado está configurado con el valor Yes.• Extremo 1 corresponde con el bloque de CIDR de su red.• Extremo 2 corresponde con el bloque de CIDR de su VPC.• Modo de autenticación está configurado con el valor Require inbound and clear outbound.• Método de autenticación está configurado como Custom.• Puerto de extremo 1 es Any.• Puerto de extremo 2 es Any.• Protocolo es Any.

3. Seleccione la primera regla y elija Propiedades.4. En la pestaña Autenticación, en Método, elija Personalizar. Compruebe que el campo Métodos de

primera autenticación contiene la clave previamente compartida correcta del archivo de configuraciónpara el túnel y, a continuación, elija Aceptar.

5. En la pestaña Avanzado, asegúrese de que las opciones Dominio, Privado y Público esténseleccionadas.

6. En Túnel IPsec, elija Personalizar. Compruebe los siguientes parámetros de túnel IPsec y, acontinuación, elija Aceptar. A continuación, vuelva a seleccionar Aceptar para cerrar el cuadro dediálogo.

• La opción Usar túnel IPsec está seleccionada.• Extremo de túnel local (más cercano al Extremo 1) contiene la dirección IP de su servidor de

Windows. Si su dispositivo de gateway de cliente es una instancia EC2, deberá indicar la direcciónIP privada de la instancia.

• Extremo de túnel remoto (más cercano al Extremo 2) contiene la dirección IP de la gateway privadavirtual de este túnel.

7. Abra las propiedades del segundo túnel. Repita los pasos del 4 al 7 para este túnel.

Habilitación de la confidencialidad directa total (PFS) de clave maestraLa confidencialidad directa total (PFS) de clave maestra se puede habilitar mediante la línea de comandos.Esta característica no puede habilitarse desde la interfaz de usuario.

Para habilitar la confidencialidad directa total de clave maestra

1. En el servidor de Windows, abra una nueva ventana de símbolo del sistema.2. Introduzca el comando siguiente sustituyendo rule_name por el nombre que asignó en la primera

regla de conexión.

80

AWS Site-to-Site VPN Guía del usuarioPaso 4: Configurar el túnel de VPN

netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Repta el paso 2 para el segundo túnel. Esta vez, sustituya rule_name por el nombre que asignó a lasegunda regla de conexión.

2.4: Configurar el firewall de WindowsTras configurar sus reglas de seguridad en el servidor, configure algunos ajustes básicos de IPsec paratrabajar con la gateway privada virtual.

Para configurar el firewall de Windows

1. Abra Administrador del servidor, elija Herramientas, seleccione Firewall de Windows con seguridadavanzada y, a continuación, elija Propiedades.

2. En la pestaña Configuración IPsec, en Exenciones IPsec, asegúrese de que la opción ICMP estáexento de IPsec está configurada con el valor No (predeterminado). Asegúrese de que la opciónAutorización de túnel IPsec está configurada con la opción Ninguno.

3. En Predeterminados de IPsec, elija Personalizar.4. En Intercambio de claves (modo principal), seleccione Avanzado y, a continuación, elija Personalizar.5. En Personalizar configuración avanzada de intercambio de claves, en Métodos de seguridad,

asegúrese de que se utilizan los siguientes valores predeterminados para la primera entrada:

• Integridad: SHA-1• Cifrado: AES-CBC 128• Algoritmo de intercambio de claves: Grupo Diffie-Hellman 2• En Duración de la clave, asegúrese de que Minutos tenga el valor 480 y de que Sesiones tenga el

valor 0.

Estos valores corresponden a estas entradas en el archivo de configuración.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

6. En Opciones de intercambio de claves, seleccione Usar Diffie-Hellman para mayor seguridad y, acontinuación, elija Aceptar.

7. En Protección de datos (modo rápido), seleccione Avanzado y, a continuación, elija Personalizar.8. Seleccione Requerir cifrado para todas las reglas de seguridad de conexión que usan esta

configuración.9. En Integridad y cifrado de datos, deje los valores predeterminados:

• Protocolo: ESP• Integridad: SHA-1• Cifrado: AES-CBC 128• Vigencia: 60 minutos

Estos valores corresponden a la entrada del archivo de configuración que se muestra a continuación.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

81

AWS Site-to-Site VPN Guía del usuarioPaso 5: Habilitar la detección de gateways inactivas

10. Elija Aceptar para volver al cuadro de diálogo Personalizar configuración IPsec y elija Aceptar denuevo para guardar la configuración.

Paso 5: Habilitar la detección de gateways inactivasA continuación, configure TCP para detectar cuándo una gateway deja de estar disponible. Para ello,modifique la siguiente clave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. No realice este paso hasta no haber completado las secciones anteriores. Después decambiar la clave de registro, deberá reiniciar el servidor.

Para habilitar la detección de gateways inactivas

1. Desde el servidor de Windows, abra el símbolo del sistema o ejecute una sesión de PowerShell eintroduzca regedit para iniciar el Editor del Registro.

2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip y, a continuación,Parameters.

3. Desde el menú Editar, seleccione Nuevo y seleccione Valor de DWORD (32 bits).4. Escriba el nombre EnableDeadGWDetect.5. Seleccione EnableDeadGWDetect y elija Edit (Editar), Modify (Modificar).6. En Información del valor, escriba 1 y, a continuación, elija Aceptar.7. Cierre el Editor del Registro y reinicie el servidor.

Para obtener más información, consulte EnableDeadGWDetect en la Biblioteca de Microsoft TechNet.

Paso 6: Comprobar la conexión de VPNPara comprobar que la conexión de VPN está funcionando correctamente, lance una instancia en su VPCy asegúrese de que no tiene conexión a Internet. Después de lanzar la instancia, haga ping a su direcciónIP privada desde su servidor de Windows Server. El túnel VPN aparece cuando se genera tráfico desde eldispositivo de gateway de cliente. Por lo tanto, el comando ping también inicia la conexión de VPN.

Para ver los pasos para probar la conexión de VPN, consulte Comprobación de la conexión de Site-to-SiteVPN (p. 117).

En caso de error en el comando ping, compruebe la información siguiente:

• Asegúrese de haber configurado las reglas de su grupo de seguridad para que permitan ICMP en lainstancia de su VPC. Si su servidor de Windows es una instancia EC2, asegúrese de que las reglassalientes de su grupo de seguridad permiten el tráfico IPsec. Para obtener más información, consulteConfiguración del servidor de Windows (p. 73).

• Asegúrese de que el sistema operativo de la instancia en la que está haciendo ping esté configuradopara responder a ICMP. Se recomienda utilizar una de las AMI de Amazon Linux.

• Si la instancia a la que va a hacer ping es una instancia de Windows, conéctese a la instancia y habiliteICMPv4 entrante en el firewall de Windows.

• Asegúrese de haber configurado las tablas de ruteo correctamente para su VPC o su subred. Paraobtener más información, consulte Paso 1: Crear una conexión de VPN y configurar la VPC (p. 74).

• Si su dispositivo de gateway de cliente es una instancia de Windows Server, asegúrese de haberdeshabilitado la comprobación de origen/destino para la instancia. Para obtener más información,consulte Configuración del servidor de Windows (p. 73).

En la consola de Amazon VPC, en la página VPN Connections (Conexiones de VPN), seleccione suconexión de VPN. El primer túnel está en estado activo. El segundo túnel debería configurarse, pero no se

82

AWS Site-to-Site VPN Guía del usuarioSolución de problemas

utiliza a menos que se desactive el primer túnel. Puede que los túneles cifrados tarden unos minutos enestablecerse.

Solución de problemas del dispositivo de gatewayde cliente

Los siguientes pasos pueden ayudarle a solucionar problemas de conectividad en los dispositivos degateway de cliente.

Para obtener instrucciones generales de prueba, consulte Comprobación de la conexión de Site-to-SiteVPN (p. 117).

Temas• Solución de problemas de conectividad al usar el protocolo de gateway fronteriza (p. 83)• Solución de problemas de conectividad sin protocolo de gateway fronteriza (p. 86)• Solución de problemas de conectividad de dispositivos de gateway de cliente de Cisco ASA (p. 88)• Solución de problemas de conectividad de dispositivos de gateway de cliente de Cisco IOS (p. 91)• Solución de problemas del dispositivo de gateway de cliente de Cisco IOS sin conectividad del

protocolo de gateway fronteriza (p. 96)• Solución de problemas de conectividad de dispositivos de gateway de cliente de Juniper

JunOS (p. 100)• Solución de problemas de conectividad de dispositivos de gateway de cliente de Juniper

ScreenOS (p. 103)• Solución de problemas de conectividad de dispositivos de gateway de cliente de Yamaha (p. 106)

Recursos adicionales

• Foro de Amazon VPC• ¿Cómo soluciono los problemas de conectividad del túnel de VPN con mi Amazon VPC?

Solución de problemas de conectividad al usar elprotocolo de gateway fronterizaEl siguiente diagrama y la siguiente tabla proporcionan instrucciones generales para solucionar problemasde un dispositivo de gateway de cliente que utiliza el protocolo de gateway fronteriza (BGP). Tambiénrecomendamos que habilite las características de depuración de su dispositivo. Consulte al proveedor desu dispositivo de gateway para obtener detalles.

83

AWS Site-to-Site VPN Guía del usuarioDispositivo con BGP

84

AWS Site-to-Site VPN Guía del usuarioDispositivo con BGP

IKE Determine si existe una asociación de seguridad de IKE.

Es necesario tener una asociación de seguridad de IKE para intercambiar las claves quese utilizan para establecer la asociación de seguridad de IPsec.

Si no existe ninguna asociación de seguridad de IKE, revise sus opciones de configuraciónde IKE. Debe configurar los parámetros de cifrado, autenticación, confidencialidad directatotal y modo según lo que se indica en el archivo de configuración.

Si existe una asociación de seguridad de IKE, continúe hasta “IPsec”.

IPsec Determine si existe una asociación de seguridad (SA) de IPsec.

Una SA de IPSec es el propio túnel. Consulte el dispositivo de gateway de cliente paradeterminar si hay activa una SA de IPSec. Asegúrese de configurar los parámetros decifrado, autenticación, confidencialidad directa total y modo según lo mostrado en elarchivo de configuración.

Si no existe una SA de IPSec, revise la configuración de IPSec.

Si existe una SA de IPSec, vaya a la sección “Túnel”.

Túnel Asegúrese de que se han configurado las reglas de firewall necesarias (para ver unalista de las reglas, consulte Configuración de un firewall entre Internet y el dispositivo degateway de cliente (p. 34)). Si están correctamente configuradas, continúe.

Determine si hay conectividad IP a través del túnel.

Cada lado del túnel tiene una dirección IP según lo especificado en el archivo deconfiguración. La dirección de gateway privada virtual es la dirección utilizada como ladirección vecina de BGP. Desde su dispositivo de gateway de cliente, haga ping a estadirección para determinar si el tráfico IP se está cifrando y descifrando correctamente.

Si el ping no se realiza correctamente, revise la configuración de la interfaz del túnel paraasegurarse de que se ha configurado la dirección IP adecuada.

Si el ping es correcto, vaya a “BGP”.

BGP Determine si la sesión de intercambio de tráfico BGP está activa.

Para cada túnel, haga lo siguiente:

• En su dispositivo de gateway de cliente, determine si el estado de BGP es Activeo Established. El intercambio de tráfico BGP puede tardar aproximadamente 30segundos en activarse.

• Asegúrese de que el dispositivo de gateway de cliente indica la ruta predeterminada(0.0.0.0/0) hacia la gateway privada virtual.

Si los túneles no se encuentran en este estado, revise su configuración de BGP.

Si se establece el intercambio de tráfico BGP, recibe un prefijo y se indica un prefijo, eltúnel estará configurado correctamente. Asegúrese de que los dos túneles tienen esteestado.

85

AWS Site-to-Site VPN Guía del usuarioDispositivo sin BGP

Solución de problemas de conectividad sin protocolode gateway fronterizaEl siguiente diagrama y la siguiente tabla proporcionan instrucciones generales para solucionar problemasen un dispositivo de gateway de cliente que no utiliza el protocolo de gateway fronteriza (BGP). Tambiénrecomendamos que habilite las características de depuración de su dispositivo. Consulte al proveedor desu dispositivo de gateway para obtener detalles.

86

AWS Site-to-Site VPN Guía del usuarioDispositivo sin BGP

87

AWS Site-to-Site VPN Guía del usuarioCisco ASA

IKE Determine si existe una asociación de seguridad de IKE.

Es necesario tener una asociación de seguridad de IKE para intercambiar las claves quese utilizan para establecer la asociación de seguridad de IPsec.

Si no existe ninguna asociación de seguridad de IKE, revise sus opciones de configuraciónde IKE. Debe configurar los parámetros de cifrado, autenticación, confidencialidad directatotal y modo según lo que se indica en el archivo de configuración.

Si existe una asociación de seguridad de IKE, continúe hasta “IPsec”.

IPsec Determine si existe una asociación de seguridad (SA) de IPsec.

Una SA de IPSec es el propio túnel. Consulte el dispositivo de gateway de cliente paradeterminar si hay activa una SA de IPSec. Asegúrese de configurar los parámetros decifrado, autenticación, confidencialidad directa total y modo según lo mostrado en elarchivo de configuración.

Si no existe una SA de IPSec, revise la configuración de IPSec.

Si existe una SA de IPSec, vaya a la sección “Túnel”.

Túnel Asegúrese de que se han configurado las reglas de firewall necesarias (para ver unalista de las reglas, consulte Configuración de un firewall entre Internet y el dispositivo degateway de cliente (p. 34)). Si están correctamente configuradas, continúe.

Determine si hay conectividad IP a través del túnel.

Cada lado del túnel tiene una dirección IP según lo especificado en el archivo deconfiguración. La dirección de gateway privada virtual es la dirección utilizada como ladirección vecina de BGP. Desde su dispositivo de gateway de cliente, haga ping a estadirección para determinar si el tráfico IP se está cifrando y descifrando correctamente.

Si el ping no se realiza correctamente, revise la configuración de la interfaz del túnel paraasegurarse de que se ha configurado la dirección IP adecuada.

Si el ping se realiza correctamente, vaya a “Rutas estáticas”.

Rutasestáticas

Para cada túnel, haga lo siguiente:

• Compruebe que ha añadido una ruta estática a su CIDR de VPC con los túneles como elsiguiente salto.

• Verifique que ha añadido una ruta estática en la consola de Amazon VPC para indicar ala gateway privada virtual que direccione el tráfico de vuelta a sus redes internas.

Si los túneles no se encuentran en este estado, revise la configuración de su dispositivo.

Asegúrese de que los dos túneles tienen este estado, y ya habrá terminado.

Solución de problemas de conectividad de dispositivosde gateway de cliente de Cisco ASAAl solucionar problemas de conectividad de un dispositivo de gateway de cliente de Cisco, tenga en cuentael IKE, el IPsec y el direccionamiento. Puede solucionar problemas en estas áreas en cualquier orden, perorecomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de forma ascendente.

88

AWS Site-to-Site VPN Guía del usuarioCisco ASA

Important

Algunos Cisco ASA solo admiten el modo Active/Standby. Al utilizar estos Cisco ASA, solo puedetener un túnel activo cada vez. El otro túnel en espera se activará solo si el primer túnel se vuelveno disponible. El túnel en espera puede producir el siguiente error en sus archivos de registro,que puede ignorarse: Rejecting IPSec tunnel: no matching crypto map entryfor remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 oninterface outside.

IKEUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con el IKEconfigurado correctamente.

ciscoasa# show crypto isakmp sa

Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2

1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

Debería ver una o varias líneas con el valor de src para la gateway remota que se especifica enlos túneles. El valor state debería ser MM_ACTIVE y el status debería ser ACTIVE. La ausenciade entradas o la aparición de una entrada con otro estado indican que IKE no se ha configuradocorrectamente.

Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log proporcionen información de diagnóstico.

router# term monrouter# debug crypto isakmp

Para deshabilitar la depuración, utilice el siguiente comando.

router# no debug crypto isakmp

IPsecUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con IPsecconfigurado correctamente.

ciscoasa# show crypto ipsec sa

interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)

89

AWS Site-to-Site VPN Guía del usuarioCisco ASA

current_peer: integ-ppe1

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0

local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6

inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001

Por cada interfaz del túnel, debería ver tanto inbound esp sas como outbound esp sas. Esto indicaque aparece una SA (por ejemplo, spi: 0x48B456A6) y que IPsec se ha configurado correctamente.

En Cisco ASA, IPsec solo aparece después de enviar tráfico interesante (tráfico que debe cifrarse). Paramantener IPsec siempre activo, recomendamos configurar una monitorización de SLA. La monitorizaciónde SLA sigue enviando tráfico interesante, lo que mantendrá el IPsec activo.

También puede utilizar el siguiente comando ping para obligar a su IPsec a comenzar la negociación ycontinuar.

ping ec2_instance_ip_address

Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.

90

AWS Site-to-Site VPN Guía del usuarioCisco IOS

router# debug crypto ipsec

Para deshabilitar la depuración, utilice el siguiente comando.

router# no debug crypto ipsec

DireccionamientoHaga ping al otro extremo del túnel. Si funciona, se debe establecer el IPSec. En caso contrario,compruebe sus listas de acceso y consulte la sección anterior de IPsec.

Si no puede obtener acceso a sus instancias, compruebe la siguiente información:

1. Verifique que la lista de acceso esté configurada para permitir el tráfico asociado al mapa criptográfico.

Puede hacerlo con el siguiente comando.

ciscoasa# show run crypto

crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

2. Compruebe la lista de acceso mediante el siguiente comando.

ciscoasa# show run access-list access-list-name

access-list access-list-name extended permit ip any vpc_subnet subnet_mask

3. Verifique si la lista de acceso es correcta. La siguiente lista de acceso de ejemplo permite todo eltráfico interno a la subred de VPC 10.0.0.0/16.

access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

4. Ejecute un comando traceroute desde el dispositivo Cisco ASA para ver si llega a los routers deAmazon (por ejemplo, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

Si llega al router de Amazon, entonces compruebe las rutas estáticas que añadió en la consola deAmazon VPC, así como los grupos de seguridad de las instancias particulares.

5. Para una solución de problemas más profunda, revise la configuración.

Solución de problemas de conectividad de dispositivosde gateway de cliente de Cisco IOSAl solucionar problemas de conectividad de un dispositivo de gateway de cliente de Cisco, tenga en cuentacuatro elementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas en cualquierorden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de formaascendente.

91

AWS Site-to-Site VPN Guía del usuarioCisco IOS

IKEUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con el IKEconfigurado correctamente.

router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE

Debería ver una o varias líneas con el valor de src para la gateway remota que se especifica en lostúneles. El state debería ser QM_IDLE y el status debería ser ACTIVE. La ausencia de entradas o laaparición de una entrada con otro estado indican que IKE no se ha configurado correctamente.

Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log proporcionen información de diagnóstico.

router# term monrouter# debug crypto isakmp

Para deshabilitar la depuración, utilice el siguiente comando.

router# no debug crypto isakmp

IPsecUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con IPsecconfigurado correctamente.

router# show crypto ipsec sa

interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, }

92

AWS Site-to-Site VPN Guía del usuarioCisco IOS

conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

interface: Tunnel2 Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

93

AWS Site-to-Site VPN Guía del usuarioCisco IOS

outbound ah sas:

outbound pcp sas:

Por cada interfaz del túnel, debería ver tanto inbound esp sas como outbound esp sas. Si apareceuna SA (spi: 0xF95D2F3C, por ejemplo) y el valor de Status es ACTIVE, IPsec se ha configuradocorrectamente.

Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.

router# debug crypto ipsec

Utilice el siguiente comando para deshabilitar la depuración.

router# no debug crypto ipsec

TúnelEn primer lugar, compruebe si tiene las reglas de firewall necesarias aplicadas. Para obtener másinformación, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 34).

Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando.

router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Asegúrese de que el line protocol está activo. Compruebe que la dirección IP de origen del túnel, lainterfaz de origen y el destino coinciden respectivamente con la configuración del túnel de la dirección IPexterna del dispositivo de gateway de cliente, la interfaz y la dirección IP externa de la gateway privadavirtual. Asegúrese de que Tunnel protection via IPSec está presente. Ejecute el comando enambas interfaces del túnel. Para resolver cualquier problema, revise la configuración y compruebe lasconexiones físicas de su dispositivo de gateway de cliente.

94

AWS Site-to-Site VPN Guía del usuarioCisco IOS

Asimismo, utilice el siguiente comando, reemplazando 169.254.255.1 por la dirección IP interna de sugateway privada virtual.

router# ping 169.254.255.1 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Debería ver cinco signos de exclamación.

Para una solución de problemas más profunda, revise la configuración.

BGPUtilice el siguiente comando.

router# show ip bgp summary

BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1

Deberían aparecer los dos vecinos. Para cada uno, debería ver un valor de State/PfxRcd de 1.

Si el intercambio de tráfico BGP está activado, compruebe si el dispositivo de gateway de cliente indica laruta predeterminada (0.0.0.0/0) a la VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes

For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i

Total number of prefixes 1

Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual.

95

AWS Site-to-Site VPN Guía del usuarioCisco IOS sin BGP

router# show ip route bgp

10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20

Para una solución de problemas más profunda, revise la configuración.

Solución de problemas del dispositivo de gateway decliente de Cisco IOS sin conectividad del protocolo degateway fronterizaAl solucionar problemas de conectividad de un dispositivo de gateway de cliente de Cisco, tenga en cuentatres elementos: IKE, IPsec y el túnel. Puede solucionar problemas en estas áreas en cualquier orden, perorecomendamos empezar por IKE (en la parte inferior de stack de red) y continuar de forma ascendente.

IKEUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con el IKEconfigurado correctamente.

router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE

Debería ver una o varias líneas con el valor de src para la gateway remota que se especifica en lostúneles. El state debería ser QM_IDLE y el status debería ser ACTIVE. La ausencia de entradas o laaparición de una entrada con otro estado indican que IKE no se ha configurado correctamente.

Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log proporcionen información de diagnóstico.

router# term monrouter# debug crypto isakmp

Para deshabilitar la depuración, utilice el siguiente comando.

router# no debug crypto isakmp

IPsecUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con IPsecconfigurado correctamente.

router# show crypto ipsec sa

interface: Tunnel1

96

AWS Site-to-Site VPN Guía del usuarioCisco IOS sin BGP

Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

interface: Tunnel2 Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas:

97

AWS Site-to-Site VPN Guía del usuarioCisco IOS sin BGP

spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Por cada interfaz del túnel, debería ver tanto inbound esp sas como outbound esp sas. Esto indicaque aparece una SA (por ejemplo, spi: 0x48B456A6), que el estado es ACTIVE y que IPsec se haconfigurado correctamente.

Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.

router# debug crypto ipsec

Para deshabilitar la depuración, utilice el siguiente comando.

router# no debug crypto ipsec

TúnelEn primer lugar, compruebe si tiene las reglas de firewall necesarias aplicadas. Para obtener másinformación, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 34).

Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando.

router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP

98

AWS Site-to-Site VPN Guía del usuarioCisco IOS sin BGP

Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Asegúrese de que el line protocol está activo. Compruebe que la dirección IP de origen del túnel, la interfazde origen y el destino coinciden respectivamente con la configuración del túnel de la dirección IP externadel dispositivo de gateway de cliente, la interfaz y la dirección IP externa de la gateway privada virtual.Asegúrese de que Tunnel protection through IPSec está presente. Ejecute el comando en ambasinterfaces del túnel. Para resolver cualquier problema, revise la configuración y compruebe las conexionesfísicas de su dispositivo de gateway de cliente.

También puede utilizar el siguiente comando, reemplazando 169.254.249.18 por la dirección IP internade su gateway privada virtual.

router# ping 169.254.249.18 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Debería ver cinco signos de exclamación.

Direccionamiento

Para ver su tabla de ruteo estática, utilice el siguiente comando.

router# sh ip route static

1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2

Debería ver que la ruta estática de CIDR de VPC a través de ambos túneles existe. Si no existe, añada lasrutas estáticas tal y como se indica a continuación.

router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200

Comprobación de la monitorización de SLA

router# show ip sla statistics 100

IPSLAs Latest Operation Statistics

99

AWS Site-to-Site VPN Guía del usuarioJuniper JunOS

IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

router# show ip sla statistics 200

IPSLAs Latest Operation Statistics

IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

El valor de Number of successes indica si la monitorización de SLA se ha configurado correctamente.

Para una solución de problemas más profunda, revise la configuración.

Solución de problemas de conectividad de dispositivosde gateway de cliente de Juniper JunOSAl solucionar problemas de conectividad de un dispositivo de gateway de cliente de Juniper, tenga encuenta cuatro elementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas encualquier orden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar deforma ascendente.

IKEUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con el IKEconfigurado correctamente.

user@router> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main

Debería ver una o varias líneas que contienen una dirección remota de la gateway remota especificada enlos túneles. El valor de State debería ser UP. La ausencia de entradas o la aparición de una entrada conotro estado (como DOWN) indican que IKE no se ha configurado correctamente.

Para realizar una solución de problemas más profunda, habilite las opciones de seguimiento de IKE, segúnlo recomendado en el archivo de configuración de ejemplo. A continuación, ejecute el siguiente comandopara imprimir diversos mensajes de depuración en la pantalla.

user@router> monitor start kmd

100

AWS Site-to-Site VPN Guía del usuarioJuniper JunOS

Desde un host externo, puede recuperar el archivo completo de log con el siguiente comando.

scp username@router.hostname:/var/log/kmd

IPsecUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con IPsecconfigurado correctamente.

user@router> show security ipsec security-associations

Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0

En concreto, debería ver al menos dos líneas por dirección de gateway (correspondientes a la gatewayremota). Los signos de intercalación al principio de cada línea (< >) indican la dirección del tráfico de laentrada en particular. El resultado son líneas separadas para el tráfico entrante ("<", tráfico de la gatewayprivada virtual a ese dispositivo de gateway de cliente) y el tráfico saliente (">").

Para realizar una solución de problemas más profunda, habilite las opciones de seguimiento de IKE (paraobtener más información, consulte la sección anterior acerca de IKE).

TúnelEn primer lugar, vuelva a comprobar si tiene las reglas de firewall necesarias aplicadas. Para obteneruna lista de reglas, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 34).

Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando.

user@router> show interfaces st0.1

Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2

Asegúrese de que el valor de Security: Zone es correcto y de que la dirección de Local coincide conel túnel del dispositivo de gateway de cliente dentro de la dirección.

A continuación, utilice el siguiente comando, reemplazando 169.254.255.1 por la dirección IP interna desu gateway privada virtual. Sus resultados deberían ser parecidos a la respuesta que se muestra aquí.

user@router> ping 169.254.255.1 size 1382 do-not-fragment

101

AWS Site-to-Site VPN Guía del usuarioJuniper JunOS

PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms

Para una solución de problemas más profunda, revise la configuración.

BGPEjecute el comando siguiente.

user@router> show bgp summary

Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0

Para una solución de problemas más profunda, utilice el siguiente comando, reemplazando169.254.255.1 por la dirección IP interna de su gateway privada virtual.

user@router> show bgp neighbor 169.254.255.1

Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1

102

AWS Site-to-Site VPN Guía del usuarioJuniper ScreenOS

Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0

Aquí debería ver Received prefixes y Advertised prefixes enumerados en 1 cada uno. Estodebería encontrarse en la sección Table inet.0.

Si el valor de State no es Established, compruebe Last State y Last Error para ver los detallesde lo que se necesita para corregir el problema.

Si el intercambio de tráfico BGP está activado, compruebe si el dispositivo de gateway de cliente indica laruta predeterminada (0.0.0.0/0) a la VPC.

user@router> show route advertising-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I

Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual.

user@router> show route receive-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I

Solución de problemas de conectividad de dispositivosde gateway de cliente de Juniper ScreenOSAl solucionar problemas de conectividad de un dispositivo de gateway de cliente basado en JuniperScreenOS, tenga en cuenta cuatro elementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas enestas áreas en cualquier orden, pero recomendamos empezar por IKE (en la parte inferior de stack de red)y continuar de forma ascendente.

IKE e IPsecUtilice el siguiente comando. La respuesta mostrará un dispositivo de gateway de cliente con el IKEconfigurado correctamente.

ssg5-serial-> get sa

total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Debería ver una o varias líneas con una dirección remota de la gateway remota que se especifica enlos túneles. El valor de Sta debería ser A/-, y el valor de SPI debería ser un número hexadecimal

103

AWS Site-to-Site VPN Guía del usuarioJuniper ScreenOS

distinto de 00000000. Unas entradas con unos estados diferentes indican que IKE no se ha configuradocorrectamente.

Para realizar una resolución de problemas más profunda, habilite las opciones de seguimiento de IKE(según lo recomendado en la información de configuración de ejemplo).

TúnelEn primer lugar, vuelva a comprobar si tiene las reglas de firewall necesarias aplicadas. Para obteneruna lista de reglas, consulte Configuración de un firewall entre Internet y el dispositivo de gateway decliente (p. 34).

Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando.

ssg5-serial-> get interface tunnel.1

Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1

Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN

pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Asegúrese de que puede ver link:ready y de que la dirección de IP coincide con el túnel del dispositivode gateway de cliente dentro de la dirección.

A continuación, utilice el siguiente comando, reemplazando 169.254.255.1 por la dirección IP interna desu gateway privada virtual. Sus resultados deberían ser parecidos a la respuesta que se muestra aquí.

ssg5-serial-> ping 169.254.255.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms

Para una solución de problemas más profunda, revise la configuración.

104

AWS Site-to-Site VPN Guía del usuarioJuniper ScreenOS

BGPEjecute el comando siguiente.

ssg5-serial-> get vrouter trust-vr protocol bgp neighbor

Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

El estado de los dos BGP del mismo nivel debería ser ESTABLISH, lo que significa que la conexión deBGP con la gateway privada virtual está activa.

Para una solución de problemas más profunda, utilice el siguiente comando, reemplazando169.254.255.1 por la dirección IP interna de su gateway privada virtual.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1

peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds

Si el intercambio de tráfico BGP está activado, compruebe si el dispositivo de gateway de cliente indicala ruta predeterminada (0.0.0.0/0) a la VPC. Este comando se aplica a ScreenOS 6.2.0 y versionessuperiores.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path

105

AWS Site-to-Site VPN Guía del usuarioYamaha

-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1

Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual. Este comando se aplica a ScreenOS 6.2.0 y versiones superiores.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1

Solución de problemas de conectividad de dispositivosde gateway de cliente de YamahaAl solucionar problemas de conectividad de un dispositivo de gateway de cliente de Yamaha, tenga encuenta cuatro elementos: IKE, IPsec, el túnel y BGP. Puede solucionar problemas en estas áreas encualquier orden, pero recomendamos empezar por IKE (en la parte inferior de stack de red) y continuar deforma ascendente.

IKEEjecute el comando siguiente. La respuesta mostrará un dispositivo de gateway de cliente con el IKEconfigurado correctamente.

# show ipsec sa gateway 1

sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1

Debería ver una línea con el valor de remote-id de la gateway remota que se especifica en los túneles.Puede enumerar todas las asociaciones de seguridad (SA) omitiendo el número de túnel.

Para realizar una solución de problemas más profunda, ejecute los siguientes comandos para permitir quelos mensajes de log de nivel DEBUG proporcionen información de diagnóstico.

# syslog debug on# ipsec ike log message-info payload-info key-info

Para cancelar los elementos registrados, ejecute el siguiente comando.

# no ipsec ike log# no syslog debug on

IPsecEjecute el comando siguiente. La respuesta mostrará un dispositivo de gateway de cliente con IPsecconfigurado correctamente.

106

AWS Site-to-Site VPN Guía del usuarioYamaha

# show ipsec sa gateway 1 detail

SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------

Por cada interfaz del túnel, debería ver tanto receive sas como send sas.

Para una solución de problemas más profunda, utilice el siguiente comando para permitir la depuración.

# syslog debug on# ipsec ike log message-info payload-info key-info

Ejecute el siguiente comando para deshabilitar la depuración.

# no ipsec ike log# no syslog debug on

TúnelEn primer lugar, compruebe si tiene las reglas de firewall necesarias aplicadas. Para obtener una lista dereglas, consulte Configuración de un firewall entre Internet y el dispositivo de gateway de cliente (p. 34).

Si sus reglas de firewall están configuradas correctamente, continúe realizando la solución de problemascon el siguiente comando.

# show status tunnel 1

107

AWS Site-to-Site VPN Guía del usuarioYamaha

TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]

Asegúrese de que el valor current status esté online y que Interface type sea IPsec. Asegúresede ejecutar el comando en ambas interfaces del túnel. Para resolver cualquier problema aquí, revise laconfiguración.

BGPEjecute el comando siguiente.

# show status bgp neighbor

BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:

Deberían aparecer los dos vecinos. Para cada uno, debería ver un valor de BGP state de Active.

Si el intercambio de tráfico BGP está activado, compruebe si el dispositivo de gateway de cliente indica laruta predeterminada (0.0.0.0/0) a la VPC.

# show status bgp neighbor 169.254.255.1 advertised-routes

Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP

Asimismo, asegúrese de estar recibiendo el prefijo correspondiente a su VPC desde la gateway privadavirtual.

108

AWS Site-to-Site VPN Guía del usuarioYamaha

# show ip route

Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124

109

AWS Site-to-Site VPN Guía del usuarioIdentificación de una conexión de Site-to-Site VPN

Uso de Site-to-Site VPNPuede trabajar con recursos de Site-to-Site VPN mediante la consola de Amazon VPC o la AWS CLI.

Contenido• Identificación de una conexión de Site-to-Site VPN (p. 110)• Migración de AWS Classic VPN a AWS VPN (p. 111)• Creación de una vinculación de la VPN de gateway de tránsito (p. 116)• Comprobación de la conexión de Site-to-Site VPN (p. 117)• Eliminación de una conexión de Site-to-Site VPN (p. 118)• Modificación de una gateway de destino de la conexión de Site-to-Site VPN (p. 119)• Modificación de las opciones de túnel de Site-to-Site VPN (p. 123)• Edición de las rutas estáticas de una conexión de Site-to-Site VPN (p. 123)• Cambio de la gateway de cliente de una conexión de Site-to-Site VPN (p. 124)• Sustitución de credenciales filtradas (p. 124)• Rotación de certificados de punto de enlace de túnel de Site-to-Site VPN (p. 125)

Identificación de una conexión de Site-to-Site VPNPuede averiguar la categoría de su conexión de Site-to-Site VPN utilizando la consola de Amazon VPC ouna herramienta de línea de comandos.

Para identificar la categoría de Site-to-Site VPN mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione la conexión de Site-to-Site VPN y compruebe el valor de Category (Categoría) en el panel

de detalles. Un valor de VPN indica una conexión AWS VPN. Un valor de VPN-Classic indica unaconexión AWS Classic VPN.

Para identificar la categoría de Site-to-Site VPN con una herramienta de la línea de comandos

• Puede utilizar el comando de la AWS CLI describe-vpn-connections. En el documento de salidadevuelto, busque y anote el valor Category. Un valor de VPN indica una conexión AWS VPN. Unvalor de VPN-Classic indica una conexión AWS Classic VPN.

En el siguiente ejemplo, la conexión de Site-to-Site VPN es una conexión de AWS VPN.

aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d

{ "VpnConnections": [ { "VpnConnectionId": "vpn-1a2b3c4d",

...

"State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34",

110

AWS Site-to-Site VPN Guía del usuarioMigración de AWS Classic VPN a AWS VPN

"Type": "ipsec.1", "Category": "VPN" } ]}

También puede usar uno de los siguientes comandos:

• DescribeVpnConnections (API de consulta de Amazon EC2)• Get-EC2VpnConnection (Herramientas para Windows PowerShell)

Migración de AWS Classic VPN a AWS VPNSi su conexión de Site-to-Site VPN es una conexión de AWS Classic VPN, puede migrar a una conexiónde AWS Classic VPN. Puede migrar directamente a una nueva gateway privada virtual (opción 1) o puedemigrar mediante una gateway de tránsito (opción 2). Durante el procedimiento de la opción 1, la conexiónde Site-to-Site VPN se interrumpe temporalmente al desasociar la gateway privada virtual antigua dela VPC. Durante el procedimiento de la opción 2, la conexión de Site-to-Site VPN no se interrumpe, sinembargo, incurrirá en costos de gateway de tránsito adicionales.

Si utiliza una conexión de AWS Classic VPN como copia de seguridad de la conexión de AWS DirectConnect, puede eliminar y volver a crear la conexión de Site-to-Site VPN (opción 3). Durante elprocedimiento para la opción 3, no hay ningún tiempo de inactividad en la interfaz virtual privada de AWSDirect Connect.

Si su gateway privada virtual existente está asociada a varias conexiones de Site-to-Site VPN, debe volvera crear cada conexión de Site-to-Site VPN para la nueva gateway privada virtual. Si hay varias interfacesvirtuales privadas de AWS Direct Connect asociadas a su gateway privada virtual, debe volver a crearcada interfaz virtual privada para la nueva gateway privada virtual. Para obtener más información, consulteCreación de una interfaz virtual en la Guía del usuario de AWS Direct Connect.

Si su conexión de Site-to-Site VPN es una conexión de AWS VPN, no puede migrar a una conexión deAWS Classic VPN.

Temas• Opción 1: Migrar directamente a una nueva gateway privada virtual (p. 111)• Opción 2: Migrar utilizando una gateway de tránsito (p. 113)• Opción 3: (Copia de seguridad de conexiones de VPN para AWS Direct Connect) Eliminar y volver a

crear la conexión de VPN (p. 115)

Opción 1: Migrar directamente a una nueva gatewayprivada virtualEn esta opción, se crea una nueva gateway privada virtual y una conexión de Site-to-Site VPN, sedesasocia la gateway privada virtual antigua de la VPC y se asocia la nueva gateway privada virtual a laVPC.

Note

Durante este procedimiento, la conectividad en la conexión de Site-to-Site VPN actual seinterrumpe al deshabilitar la propagación de rutas y desasociar la gateway privada virtual antiguade su VPC. La conectividad se restaura cuando la nueva gateway privada virtual se asocia a suVPC y la nueva conexión de Site-to-Site VPN está activa. Asegúrese de tener previsto el tiempode inactividad esperado.

111

AWS Site-to-Site VPN Guía del usuarioOpción 1: Migrar directamente a

una nueva gateway privada virtual

Para migrar a una conexión AWS VPN

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Virtual Private Gateways (Gateways privadas virtuales), Create Virtual

Private Gateway (Crear gateway privada virtual) y cree una gateway privada virtual.3. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones de Site-to-Site VPN),

Create VPN Connection (Crear conexión de VPN). Especifique la información siguiente y elija Yes,Create (Sí, crear).

• Virtual Private Gateway (Gateway privada virtual): seleccione la gateway privada virtual que creó enel paso anterior.

• Customer Gateway (Gateway de cliente): elija Existing (Existente) y seleccione la gateway de clienteexistente para su conexión AWS Classic VPN actual.

• Especifique las opciones de direccionamiento según corresponda.4. Seleccione la nueva conexión de Site-to-Site VPN y elija Download Configuration (Descargar

configuración). Descargue el archivo de configuración adecuado para su dispositivo de gateway decliente.

5. Utilice el archivo de configuración para configurar túneles de VPN en su dispositivo de gateway decliente. Para obtener más información, consulte Su dispositivo de gateway de cliente (p. 29). Nohabilite los túneles todavía. Póngase en contacto con su proveedor si necesita asesoramiento paramantener deshabilitados los túneles recién configurados.

6. (Opcional) Cree la VPC de prueba y asocie la gateway privada virtual a la VPC de prueba. Cambie lasdirecciones de destino origen/dominio de cifrado según corresponda y pruebe la conectividad desdeun host en su red local para una instancia de prueba en la VPC de prueba.

7. Si está utilizando la propagación de rutas para su tabla de ruteo, elija Route Tables en el panel denavegación. Seleccione la tabla de ruteo para su VPC y elija Route Propagation, Edit. Desactive lacasilla de verificación para la gateway privada virtual antigua y elija Save (Guardar).

Note

A partir de este paso, la conectividad se interrumpe hasta que la nueva gateway privadavirtual se asocia y la nueva conexión de Site-to-Site VPN está activa.

8. En el panel de navegación, elija Virtual Private Gateways (Gateways privadas virtuales). Seleccione laantigua gateway privada virtual y elija Actions (Acciones), Detach from VPC (Separar de la VPC), Yes,Detach (Sí, Separar). Seleccione la nueva gateway privada virtual y elija Actions (Acciones), Attach toVPC (Asociar a la VPC). Especifique la VPC para su conexión de Site-to-Site VPN y elija Yes, Attach(Sí, asociar).

9. En el panel de navegación, elija Route Tables (Tables de ruteo). Seleccione la tabla de ruteo para suVPC y realice una de las siguientes acciones:

• Si está utilizando la propagación de rutas, elija Route Propagation, Edit. Seleccione la nuevagateway privada virtual que ha adjuntado a la VPC y elija Save.

• Si está utilizando rutas estáticas, elija Routes, Edit. Modifique la ruta para apuntar a la nuevagateway privada virtual y elija Save.

10. Habilite los nuevos túneles en su dispositivo de gateway de cliente y deshabilite los túneles antiguos.Para abrir el túnel, debe iniciar la conexión desde su red local.

Si procede, compruebe su tabla de ruteo para asegurarse de que las rutas se están propagando. Lasrutas se propagan a la tabla de ruteo cuando el estado del túnel de VPN es UP.

Note

Si necesita revertir a su configuración anterior, desasocie la nueva gateway privada virtual ysiga los pasos 8 y 9 para volver a asociar a la antigua gateway privada virtual y actualizar lasrutas.

112

AWS Site-to-Site VPN Guía del usuarioOpción 2: Migrar utilizando una gateway de tránsito

11. Si ya no necesita su conexión de AWS Classic VPN y no desea seguir incurriendo en cargos en lamisma, quite las configuraciones de túnel anteriores de su dispositivo de gateway de cliente y eliminela conexión de Site-to-Site VPN. Para ello, vaya a Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN), seleccione la conexión de Site-to-Site VPN y elija Delete (Eliminar).

Important

Después de haber eliminado la conexión AWS Classic VPN, no puede revertir o migrar suconexión de AWS VPN de vuelta a una conexión AWS Classic VPN.

Opción 2: Migrar utilizando una gateway de tránsitoEn esta opción, se crea un gateway de tránsito, se asocia a la VPC en la que reside la conexión de Site-to-Site VPN y se crea una conexión de Site-to-Site VPN temporal en la gateway de tránsito utilizando lagateway de cliente existente. A continuación, se direcciona el tráfico a través de la conexión de VPN degateway de tránsito mientras se configura una nueva conexión de Site-to-Site VPN en una nueva gatewayprivada virtual.

Como alternativa, puede utilizar esta opción para migrar su conexión de Site-to-Site VPN directamente auna gateway de tránsito. En este caso, creará una nueva conexión de VPN en la gateway de tránsito enlugar de crearla en una nueva gateway privada virtual.

Paso 1: Crear una gateway de tránsito y una conexión de VPNPara crear una conexión de VPN y gateway de tránsito

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Transit Gateways (Gateways de tránsito), Create Transit Gateway

(Crear gateway de tránsito) y cree una gateway de tránsito utilizando las opciones predeterminadas.3. En el panel de navegación, elija Transit Gateway Attachments (Asociaciones de gateways de tránsito),

Create Transit Gateway Attachment (Crear asociación de gateway de tránsito). Especifique lainformación siguiente y elija Create attachment (Crear asociación).

• En Transit Gateway ID (ID de gateway de tránsito), elija la gateway de tránsito que ha creado.• En VPC ID (ID de VPC), elija la VPC que se va a vincular a la gateway de tránsito.

4. Vuelva a elegir Create Transit Gateway Attachment (Crear asociación de gateway de tránsito),especifique la siguiente información y elija Create attachment (Crear asociación).

• En Transit Gateway ID (ID de gateway de tránsito), elija la gateway de tránsito que ha creado.• En Attachment type (Tipo de vinculación), elija VPN.• En Customer Gateway ID (ID de gateway de cliente), elija la gateway de cliente para su conexión de

Site-to-Site VPN existente y seleccione la opción de direccionamiento requerida.

Paso 2: Crear una nueva gateway privada virtualCree una nueva gateway privada virtual y una nueva conexión de Site-to-Site VPN. Este paso solo esnecesario si desea migrar a una nueva gateway privada virtual. Si desea migrar su conexión de VPN a unagateway de tránsito, puede omitir estos pasos e ir directamente al Paso 3 (p. 114).

Para crear una conexión de Site-to-Site VPN nueva

1. En el panel de navegación, elija Virtual Private Gateways (Gateways privadas virtuales), Create VirtualPrivate Gateway (Crear gateway privada virtual) y cree una gateway privada virtual nueva.

113

AWS Site-to-Site VPN Guía del usuarioOpción 2: Migrar utilizando una gateway de tránsito

2. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones de Site-to-Site VPN),Create VPN Connection (Crear conexión de VPN).

3. En Virtual private gateway (Gateway privada virtual), elija la gateway privada virtual que ha creado.4. En Customer Gateway ID (ID de gateway de cliente), elija la gateway de cliente existente de su

conexión de Site-to-Site VPN existente y especifique el tipo de direccionamiento. Elija Create VPNConnection (Crear conexión de VPN).

5. Seleccione la nueva conexión de Site-to-Site VPN y elija Download Configuration (Descargarconfiguración) para descargar el archivo de configuración de ejemplo. Configure la conexión de VPNen su dispositivo de gateway de cliente, pero no direccione aún el tráfico (no cree rutas estáticas nifiltre anuncios de BGP).

Paso 3: Cambiar a la nueva conexión de VPNDurante este procedimiento, habilitará temporalmente el direccionamiento asimétrico para el tráfico de VPNcuando cambie el tráfico a la gateway de tránsito y, a continuación, a la nueva conexión de Site-to-SiteVPN.

Para cambiar a la nueva conexión de Site-to-Site VPN

1. Configure su dispositivo de gateway de cliente para utilizar la conexión de VPN en gateway detránsito (especifique una ruta estática o permita anuncios de BGP, según sea necesario). Esto inicia eldireccionamiento de tráfico asimétrico.

2. En el panel de navegación, elija Route Tables (Tablas de enrutamiento), seleccione la tabla deenrutamiento para la VPC y elija Actions (Acciones), Edit routes (Editar rutas).

3. Agregue rutas que apunten a la red de las instalaciones y elija el gateway de tránsito comodestino. Para las rutas de destino, introduzca rutas más específicas, por ejemplo, si la red de lasinstalaciones es 10.0.0.0/16, cree una ruta que apunte a 10.0.0.0/17 y otra ruta que apunte a10.0.128.0/17. El direccionamiento de tráfico asimétrico se detiene y todo el tráfico se direcciona através de gateway de tránsito.

Note

Si va a migrar su conexión de VPN a una gateway de tránsito en lugar de a una nuevagateway privada virtual, puede detenerse aquí.

4. En el panel de navegación, elija Virtual Private Gateways.5. Seleccione la antigua gateway privada virtual que está asociada a su VPC y elija Actions (Acciones),

Detach from VPC (Desasociar de la VPC). Elija Yes, Detach.6. Seleccione la nueva gateway privada virtual que creó anteriormente y elija Actions (Acciones), Attach

to VPC (Asociar a VPC). Seleccione su VPC y elija Yes, Attach (Sí, asociar).7. En el panel de navegación, elija Route Tables. Seleccione la tabla de enrutamiento para su VPC y elija

Route Propagation (Propagación de ruta), Edit route propagation (Editar propagación de ruta). Marquela casilla de verificación de la gateway privada virtual nueva y elija Save (Guardar). Compruebe que laruta se propaga a la tabla de enrutamiento de la VPC.

8. Configure el dispositivo de gateway de cliente para que utilice la nueva gateway privada virtual ydireccione el tráfico de la red de las instalaciones a la VPC mediante rutas estáticas o BGP. Esto iniciael direccionamiento asimétrico.

9. En el panel de navegación, elija Route Tables. Seleccione la tabla de enrutamiento de su VPC yelija Actions (Acciones), Edit routes (Editar rutas). Elimine las rutas más específicas a su gateway detránsito. De esta forma, se detiene el flujo de tráfico asimétrico y todo el tráfico se direcciona a travésde la nueva conexión de Site-to-Site VPN.

114

AWS Site-to-Site VPN Guía del usuarioOpción 3: (Copia de seguridad de conexionesde VPN para AWS Direct Connect) Eliminar

y volver a crear la conexión de VPN

Paso 4: LimpiezaSi ya no necesita su conexión de AWS Classic VPN, puede eliminarla. Si ha realizado la migración a unanueva gateway privada virtual, también puede eliminar la conexión de VPN de gateway de tránsito y lagateway de tránsito que creó para la migración.

Para limpiar los recursos

1. En el dispositivo de gateway de cliente, elimine la configuración de la conexión de VPN temporal en lagateway de tránsito y la configuración de la conexión de VPN antigua.

2. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones), seleccione la conexión deSite-to-Site VPN antigua y elija Actions (Acciones), Delete (Eliminar).

3. En el panel de navegación, elija Virtual Private Gateways (Gateways privadas virtuales), seleccionela gateway privada virtual antigua y elija Actions (Acciones), Delete Virtual Private Gateway (Eliminargateway privada virtual). Si ha migrado su conexión de VPN a una gateway de tránsito, puededetenerse aquí.

4. En el panel de navegación, elija Site-to-Site VPNConnections (Conexiones) y seleccione su conexiónde VPN de gateway de tránsito. Elija Actions, Delete.

5. En el panel de navegación, elija Transit Gateway Attachments (Asociaciones de gateway de tránsito) yseleccione la asociación de VPC. Elija Actions, Delete.

6. En el panel de navegación, elija Transit gateways (Gateways de tránsito) y, a continuación, seleccionela gateway de tránsito. Elija Actions, Delete.

Opción 3: (Copia de seguridad de conexiones de VPNpara AWS Direct Connect) Eliminar y volver a crear laconexión de VPNUtilice esta opción si tiene una conexión de AWS Direct Connect y una conexión de AWS Classic VPNen la misma gateway privada virtual y utiliza la conexión de VPN como copia de seguridad de la conexiónde AWS Direct Connect. En esta opción, elimina las conexiones de AWS Classic VPN existentes en lagateway privada virtual. Cuando las conexiones de AWS Classic VPN están en el estado deleted, puedemigrar a una conexión de AWS VPN creando una nueva conexión de VPN en la misma gateway privadavirtual. No es necesario que realice ningún cambio en su interfaz virtual privada de AWS Direct Connectexistente.

Important

Durante este procedimiento, la conectividad a través de su interfaz virtual privada de AWS DirectConnect no se interrumpe, pero no tendrá conectividad a través de la conexión de Site-to-SiteVPN (cero tiempo de inactividad con pérdida de redundancia). La conectividad a través de laconexión de VPN se restablece cuando las conexiones de VPN se vuelven a crear en la gatewayprivada virtual. Asegúrese de planificar esta pérdida de redundancia.Después de haber eliminado la conexión AWS Classic VPN, no puede revertir o migrar suconexión de AWS VPN de vuelta a una conexión AWS Classic VPN.

Para migrar a una conexión AWS VPN

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones) y elija la conexión de

AWS Classic VPN. Elija Actions, Delete.3. Elimine las configuraciones de túnel anteriores del dispositivo de gateway de cliente.

115

AWS Site-to-Site VPN Guía del usuarioCreación de una vinculación dela VPN de gateway de tránsito

4. Repita los dos pasos anteriores hasta que haya eliminado todas las conexiones de AWS Classic VPNexistentes para la gateway privada virtual. Espere a que las conexiones de VPN entren en el estadode deleted.

5. Elija Create VPN Connection (Crear conexión de VPN). Especifique la información siguiente y elijaCreate VPN Connection (Crear conexión de VPN).

• Virtual Private Gateway (Gateway privada virtual): elija la gateway privada virtual que utilizó para laconexión de AWS Classic VPN.

• Customer Gateway (Gateway de cliente): elija Existing (Existente) y seleccione la gateway de clienteexistente para su conexión AWS Classic VPN actual.

• Especifique las opciones de direccionamiento según corresponda.6. Seleccione la nueva conexión de Site-to-Site VPN y elija Download Configuration (Descargar

configuración). Descargue el archivo de configuración adecuado para su dispositivo de gateway decliente.

7. Utilice el archivo de configuración para configurar túneles de VPN en su dispositivo de gateway decliente. Para obtener más información, consulte Su dispositivo de gateway de cliente (p. 29).

8. Habilite los nuevos túneles en su dispositivo de gateway de cliente. Para abrir los túneles, debe iniciarla conexión desde su red local.

Si procede, compruebe sus tablas de enrutamiento para asegurarse de que las rutas se están propagando.Las rutas se propagan a la tabla de ruteo cuando el estado del túnel de VPN es UP.

Creación de una vinculación de la VPN de gatewayde tránsito

Para crear una vinculación de la VPN en una gateway de tránsito, debe especificar la gateway de cliente.Para obtener más información acerca de cómo crear una gateway de tránsito, consulte la sección sobregateways de tránsito en la Gateways de tránsito de Amazon VPC.

Para crear una vinculación de la VPN mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Elija Create VPN Connection (Crear conexión de VPN).4. En Target Gateway Type (Tipo de gateway de destino), elija Transit Gateway (Gateway de tránsito) y

elija la gateway de tránsito en la que desea crear la vinculación.5. En Customer Gateway (Gateway de cliente), realice alguna de las siguientes operaciones:

• Para utilizar una gateway de cliente ya existente, elija Existing (Existente) y, a continuación,seleccione la gateway que desea utilizar.

Si su gateway de cliente se encuentra detrás de un dispositivo de conversión de direcciones dered (NAT) que admite NAT traversal (NAT-T), utilice la dirección IP pública de su dispositivo NATy ajuste las reglas de su firewall para desbloquear el puerto UDP 4500.

• Para crear una gateway de cliente, elija New (Nuevo).

EnIP Address (Dirección IP), introduzca una dirección IP pública estática. En BGP ASN, escribael número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) de la gatewayde cliente. En Certificate ARN (ARN de certificado), elija el ARN de su certificado privado (si utilizaautenticación basada en certificados).

En Routing options (Opciones de direccionamiento), elija Dynamic (Dinámico) o Static (Estático).

116

AWS Site-to-Site VPN Guía del usuarioComprobación de la conexión de Site-to-Site VPN

6. (Opcional) En Enable Acceleration (Habilitar aceleración), active la casilla de verificación parahabilitar la aceleración. Para obtener más información, consulte Conexiones de Site-to-Site VPNaceleradas (p. 10).

Si habilita la aceleración, creamos dos aceleradores que utilizan su conexión de VPN. Se aplicancargos adicionales.

7. Para Tunnel Options (Opciones de túnel), consulte Opciones de túnel de Site-to-Site VPN para suconexión de Site-to-Site VPN (p. 5).

8. Elija Create VPN Connection (Crear conexión de VPN).

Para crear una vinculación de VPN con la AWS CLI

Utilice el comando create-vpn-connection y especifique el ID de gateway de tránsito para la opción --transit-gateway-id.

Comprobación de la conexión de Site-to-Site VPNDespués de crear la conexión de AWS Site-to-Site VPN y de configurar la gateway de cliente, puede lanzaruna instancia y probar la conexión haciendo ping a la instancia.

Antes de comenzar, asegúrese de lo siguiente:

• Utilizar una AMI que responda a las solicitudes de ping. Se recomienda utilizar una de las AMI deAmazon Linux.

• Configure el grupo de seguridad o la ACL de red en su VPC para filtrar el tráfico entrante de la instanciapara permitir el tráfico ICMP entrante y saliente.

• Si va a utilizar instancias que ejecuten Windows Server, conecte la instancia y habilite el tráfico ICMPv4entrante en el firewall de Windows para poder hacer ping a la instancia.

• (Enrutamiento estático) Asegúrese de que el dispositivo de gateway de cliente tenga una ruta estática ala VPC y de que la conexión de VPN tenga una conexión de VPN que tenga una ruta estática para queel tráfico pueda volver a su dispositivo de gateway de cliente.

• (Enrutamiento dinámico) Asegúrese de que el estado de BGP en su dispositivo de gateway de clienteesté establecido. Una sesión de intercambio de tráfico BGP tarda aproximadamente 30 segundos enactivarse. Compruebe que las rutas se anuncien con BGP correctamente y muestren una tabla deenrutamiento de subred para que el tráfico pueda regresar al gateway de cliente. Asegúrese de que losdos túneles estén configurados con la política de direccionamiento de BGP.

• Compruebe que haya configurado el enrutamiento de las tablas de enrutamiento de subred para laconexión de VPN.

Para comprobar la conectividad completa

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel, elija Launch Instance.3. En la página Choose an Amazon Machine Image (AMI), elija una AMI y, a continuación, elija Select.4. Elija un tipo de instancia y, a continuación, elija Next: Configure Instance Details.5. En la página Configure Instance Details, en Network, seleccione su VPC. Para Subnet, seleccione su

subred. Elija Next hasta llegar a la página Configure Security Group.6. Seleccione la opción Select an existing security group (Seleccionar un grupo de seguridad ya

existente) y luego seleccione el grupo que ha configurado antes. Elija Review and Launch.7. Revise los ajustes que ha elegido. Realice los cambios que necesite y, a continuación, elija Launch

para seleccionar un par de claves y lanzar la instancia.

117

AWS Site-to-Site VPN Guía del usuarioEliminación de una conexión de Site-to-Site VPN

8. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). Laconsola de Amazon EC2 muestra la dirección como parte de los detalles de la instancia.

9. Desde un equipo de su red que se encuentre detrás del dispositivo de gateway de cliente, utilice elcomando ping con la dirección IP privada de la instancia. La respuesta correcta será similar a la quese muestra a continuación:

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Para probar la conmutación por error de los túneles, puede deshabilitar temporalmente uno de los túnelesdel dispositivo de gateway de cliente y repetir el paso anterior. No se pueden deshabilitar los túneles en ellado AWS de la conexión de VPN.

Puede utilizar SSH o RDP para conectarse a sus instancias en la VPC. Para obtener más informaciónacerca de cómo conectarse a una instancia de Linux, consulte la sección de conexión a una instanciade Linux en la Guía del usuario de Amazon EC2 para instancias de Linux. Para obtener más informaciónacerca de cómo conectarse a una instancia de Windows, consulte la sección de conexión a una instanciade Windows en la Guía del usuario de Amazon EC2 para instancias de Windows.

Eliminación de una conexión de Site-to-Site VPNSi ya no necesita la conexión de AWS Site-to-Site VPN, puede eliminarla.

Important

Si elimina su conexión de Site-to-Site VPN y luego crea otra nueva, tendrá que descargar unarchivo de configuración nuevo y volver a configurar el dispositivo de gateway de cliente.

Para eliminar una conexión de Site-to-Site VPN con la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione la conexión de Site-to-Site VPN y elija Actions (Acciones), Delete (Eliminar).4. Elija Delete (Eliminar).

Si ya no necesita una gateway de cliente, puede eliminarla. No es posible eliminar una gateway de clienteen uso en una conexión de Site-to-Site VPN.

Para eliminar una gateway de cliente con la consola

1. En el panel de navegación, elija Customer Gateways.2. Seleccione la gateway de cliente que desea eliminar y elija Actions, Delete Customer Gateway.3. Elija Yes, Delete.

118

AWS Site-to-Site VPN Guía del usuarioModificación de una gateway de destino

de la conexión de Site-to-Site VPN

Si ya no necesita una gateway privada virtual para su VPC, puede de cliente, puede separarla de su VPC.

Para desasociar una gateway privada virtual con la consola

1. En el panel de navegación, elija Virtual Private Gateways.2. Seleccione la gateway privada virtual y elija Actions, Detach from VPC.3. Elija Yes, Detach.

Si ya no necesita la gateway privada virtual separada, puede eliminarla. Tenga en cuenta que no podráeliminar la gateway privada virtual si sigue adjunta a la VPC.

Para eliminar una gateway privada virtual con la consola

1. En el panel de navegación, elija Virtual Private Gateways.2. Seleccione la gateway privada virtual que desea eliminar y elija Actions, Delete Virtual Private

Gateway.3. Elija Yes, Delete (Sí, eliminar).

Para eliminar una conexión de Site-to-Site VPN mediante la línea de comandos o la API

• DeleteVpnConnection (API de consulta de Amazon EC2)• delete-vpn-connection (AWS CLI)• Remove-EC2VpnConnection (Herramientas de AWS para Windows PowerShell)

Para eliminar una gateway de cliente mediante la línea de comando o API

• DeleteCustomerGateway (API de consulta de Amazon EC2)• delete-customer-gateway (AWS CLI)• Remove-EC2CustomerGateway (Herramientas de AWS para Windows PowerShell)

Para desasociar una gateway privada virtual mediante la línea de comando o API

• DetachVpnGateway (API de consulta de Amazon EC2)• detach-vpn-gateway (AWS CLI)• Dismount-EC2VpnGateway (Herramientas de AWS para Windows PowerShell)

Para eliminar una gateway privada virtual mediante la línea de comando o API

• DeleteVpnGateway (API de consulta de Amazon EC2)• delete-vpn-gateway (AWS CLI)• Remove-EC2VpnGateway (Herramientas de AWS para Windows PowerShell)

Modificación de una gateway de destino de laconexión de Site-to-Site VPN

Puede modificar la gateway de destino de la conexión de AWS Site-to-Site VPN. Hay disponibles lassiguientes opciones de migración:

• Una gateway privada virtual existente a una gateway de tránsito

119

AWS Site-to-Site VPN Guía del usuarioPaso 1: Crear la gateway de tránsito

• Una gateway privada virtual existente a otra gateway privada virtual• Una gateway de tránsito existente a otra gateway de tránsito• Una gateway de tránsito existente a una gateway privada virtual

Después de modificar la gateway de destino, la conexión de Site-to-Site VPN no estará disponible duranteun breve período de tiempo, mientras se aprovisionan los nuevos puntos de enlace.

Las siguientes tareas le ayudan a realizar la migración a una nueva gateway.

Tareas• Paso 1: Crear la gateway de tránsito (p. 120)• Paso 2: Eliminar las rutas estáticas (obligatorio para una conexión de VPN estática al realizar la

migración a una gateway de tránsito) (p. 120)• Paso 3: Migrar a una nueva gateway (p. 121)• Paso 4: Actualizar tablas de enrutamiento de VPC (p. 121)• Paso 5: Actualizar el direccionamiento de la gateway de tránsito (necesario cuando la nueva gateway

es una gateway de tránsito) (p. 122)• Paso 6: Actualizar el ASN de la gateway de cliente (necesario cuando la nueva gateway tiene un ASN

diferente que la gateway antigua) (p. 122)

Paso 1: Crear la gateway de tránsitoAntes de realizar la migración a la nueva gateway, debe configurarla. Para obtener más información acercade cómo añadir una gateway privada virtual, consulte the section called “Creación de una gateway privadavirtual” (p. 16). Para obtener más información acerca de cómo añadir una gateway de tránsito, consulte lasección sobre la creación de la gateway de tránsito en Gateways de tránsito de Amazon VPC.

Si la nueva gateway de destino es una gateway de tránsito, asocie la VPC a la gateway de tránsito. Paraobtener más información acerca de las asociaciones a VPC, consulte la sección sobre asociaciones degateways en tránsito a una VPC en la Gateways de tránsito de Amazon VPC.

Al modificar el destino desde una gateway privada virtual a una gateway de tránsito, puede estableceropcionalmente el ASN de gateway de tránsito para que tenga el mismo valor que el ASN de la gatewayprivada virtual. Si elige tener un ASN diferente, debe establecer el ASN en su dispositivo de gateway decliente en el ASN de gateway de tránsito. Para obtener más información, consulte the section called “Paso6: Actualizar el ASN de la gateway de cliente (necesario cuando la nueva gateway tiene un ASN diferenteque la gateway antigua)” (p. 122).

Paso 2: Eliminar las rutas estáticas (obligatorio parauna conexión de VPN estática al realizar la migracióna una gateway de tránsito)Este paso es necesario al migrar desde una gateway privada virtual con rutas estáticas a una gateway detránsito.

Debe eliminar las rutas estáticas antes de migrar a la nueva gateway.

Tip

Mantenga una copia de la ruta estática antes de eliminarla. Tendrá que volver a añadir estas rutasa la gateway de tránsito cuando haya terminado la migración de la conexión de VPN.

120

AWS Site-to-Site VPN Guía del usuarioPaso 3: Migrar a una nueva gateway

Para eliminar una ruta de una tabla de ruteo

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Route Tables y, a continuación, seleccione la tabla de ruteo.3. En la pestaña Rutas, elija Editar y, a continuación, elija Eliminar para la ruta estática a la gateway

privada virtual.4. Cuando haya terminado, elija Save (Guardar).

Paso 3: Migrar a una nueva gateway1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione la conexión de Site-to-Site VPN y elija Actions (Acciones), Modify VPN Connection

(Modificar VPN de conexión).4. En Change Target (Cambiar destino), haga lo siguiente:

a. En Target Type (Tipo de destino), elija el tipo de gateway .b. Configure el destino de la conexión:

[Gateway privada virtual] En Target VPN Gateway ID (ID de gateway de VPN de destino), elija lagateway privada virtual.

[Gateway de tránsito] En Target gateway de tránsito ID (ID de gateway de tránsito destino), elija elID de gateway de tránsito.

5. Seleccione Save (Guardar).

Para eliminar una conexión de Site-to-Site VPN mediante la línea de comandos o la API

• ModifyVpnConnection (API de consulta de Amazon EC2)• modify-vpn-connection (AWS CLI)

Paso 4: Actualizar tablas de enrutamiento de VPCDespués de migrar a la nueva gateway, es posible que tenga que modificar la tabla de ruteo de VPC. Enla siguiente tabla se proporciona información sobre las acciones que es necesario realizar. Para obtenerinformación acerca de cómo actualizar las tablas de enrutamiento de VPC, consulte la sección sobre tablasde enrutamiento en la Guía del usuario de Amazon VPC.

Actualizaciones de la tabla de enrutamiento de VPC necesarias para la modificación del destinode la gateway de VPN

Gateway existente Nueva gateway Cambio en la tabla de ruteo deVPC

Gateway privada virtual con rutaspropagadas

Gateway de tránsito Añada una ruta que apunte al IDde gateway de tránsito.

Gateway privada virtual con rutaspropagadas

Gateway privada virtual con rutaspropagadas

No se requiere ninguna acción.

Gateway virtual con rutaspropagadas

Gateway privada virtual con rutaestática

Añada una entrada que contengala nueva ID de gateway privadavirtual.

121

AWS Site-to-Site VPN Guía del usuarioPaso 5: Actualizar el direccionamiento de

la gateway de tránsito (necesario cuando lanueva gateway es una gateway de tránsito)

Gateway existente Nueva gateway Cambio en la tabla de ruteo deVPC

Gateway virtual con rutasestáticas

Gateway de tránsito Actualice la tabla de ruteo deVPC y cambie la entrada quecontiene el ID de la gatewayprivada virtual por el ID degateway de tránsito.

Gateway virtual con rutasestáticas

Gateway privada virtual con rutasestáticas

Actualice la entrada que apuntaal ID de la gateway privadavirtual que va a ser el nuevo IDde gateway privada virtual.

Gateway virtual con rutasestáticas

Gateway privada virtual con rutaspropagadas

Elimine la entrada que contieneel ID de gateway privada virtual.

Gateway de tránsito Gateway privada virtual con rutasestáticas

Actualice la entrada que contieneel gateway de tránsito al ID degateway privada virtual.

Gateway de tránsito Gateway privada virtual con rutaspropagadas

Elimine la entrada que contieneel ID de gateway de tránsito.

Gateway de tránsito Gateway de tránsito Actualice la entrada que contieneel ID de gateway de tránsito alnuevo ID de gateway de tránsito .

Paso 5: Actualizar el direccionamiento de la gatewayde tránsito (necesario cuando la nueva gateway esuna gateway de tránsito)Cuando la nueva gateway es una gateway de tránsito, modifique la tabla de ruteo de la gateway detránsito para permitir el tráfico entre la VPC y el Site-to-Site VPN. Para obtener información sobre eldireccionamiento de gateway de tránsito, consulte la sección sobre tablas de enrutamiento de la gatewayde tránsito en la Gateways de tránsito de Amazon VPC.

Important

Si ha eliminado rutas estáticas de VPN, debe añadir las rutas estáticas a la tabla de ruteo degateway de tránsito.

Paso 6: Actualizar el ASN de la gateway de cliente(necesario cuando la nueva gateway tiene un ASNdiferente que la gateway antigua)Cuando la nueva gateway tenga un ASN diferente que la gateway antigua, debe actualizar el ASN en sudispositivo de gateway de cliente para que apunte al nuevo ASN.

122

AWS Site-to-Site VPN Guía del usuarioModificación de las opciones de túnel de Site-to-Site VPN

Modificación de las opciones de túnel de Site-to-Site VPN

Puede modificar las opciones para los túneles de VPN de la conexión de Site-to-Site VPN. Puede modificarun túnel de VPN al mismo tiempo.

Important

Al modificar un túnel de VPN, la conectividad a través del túnel se interrumpe durante variosminutos. Asegúrese de tener previsto el tiempo de inactividad esperado.

Para modificar las opciones del túnel de VPN utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione la conexión de Site-to-Site VPN y elija Actions (Acciones), Modify VPN Tunnel Options

(Modificar opciones de túnel de VPN).4. En VPN Tunnel Outside IP Address (Dirección IP externa del túnel de VPN), elija la IP del punto de

enlace del túnel de VPN para el que está modificando las opciones.5. Seleccione o introduzca nuevos valores para las opciones de túnel. Para obtener más información,

consulte Opciones de túnel de Site-to-Site VPN para su conexión de Site-to-Site VPN (p. 5).6. Seleccione Save.

Para modificar las opciones del túnel de VPN utilizando la línea de comandos o la API

• modify-vpn-tunnel-options (AWS CLI)• ModifyVpnTunnelOptions (API de consulta de Amazon EC2)

Edición de las rutas estáticas de una conexión deSite-to-Site VPN

En las conexiones de Site-to-Site VPN de una gateway privada virtual configurada para un enrutamientoestático, puede agregar, modificar o eliminar rutas estáticas para su configuración de VPN.

Para añadir, modificar o quitar una ruta estática

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Elija Static Routes (Rutas estáticas), Edit (Editar).4. Modifique los prefijos IP estáticos existentes o elija Remove para eliminarlos. Elija Add Another Rule

para agregar un nuevo prefijo IP a su configuración. Cuando haya terminado, elija Save (Guardar).

Note

Si no ha habilitado la propagación de rutas en la tabla de ruteo, deberá actualizar manualmentelas rutas de su tabla de ruteo para que reflejen los prefijos IP estáticos actualizados en suconexión de Site-to-Site VPN. Para obtener más información, consulte (Gateway privada virtual)Habilitar la propagación de rutas en la tabla de enrutamiento (p. 17).

123

AWS Site-to-Site VPN Guía del usuarioCambio de la gateway de cliente deuna conexión de Site-to-Site VPN

Para una conexión de Site-to-Site VPN en una gateway de tránsito, puede agregar, modificar o quitarlas rutas estáticas en la tabla de enrutamiento de la gateway de tránsito. Para obtener más información,consulte Tablas de enrutamiento de la gateway de tránsito.

Para añadir una ruta estática mediante la línea de comando o un API

• CreateVpnConnectionRoute (API de consulta de Amazon EC2)• create-vpn-connection-route (AWS CLI)• New-EC2VpnConnectionRoute (Herramientas de AWS para Windows PowerShell)

Para eliminar una ruta estática mediante la línea de comando o un API

• DeleteVpnConnectionRoute (API de consulta de Amazon EC2)• delete-vpn-connection-route (AWS CLI)• Remove-EC2VpnConnectionRoute (Herramientas de AWS para Windows PowerShell)

Cambio de la gateway de cliente de una conexiónde Site-to-Site VPN

Puede cambiar la gateway de cliente de su conexión de Site-to-Site VPN; para ello, use la consola deAmazon VPC o una herramienta de línea de comandos.

Después de cambiar la gateway de cliente, la conexión de Site-to-Site VPN no estará disponible durante unbreve período de tiempo, mientras se aprovisionan los nuevos puntos de enlace.

Para cambiar la gateway de cliente mediante la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione la conexión de Site-to-Site VPN y luego elija Actions (Acciones) y Modify VPN Connection

(Modificar VPN de conexión).4. En Target Type (Tipo de destino), elija Customer Gateway (Gateway de cliente).5. En Target Customer Gateway ID (ID de gateway de cliente de destino), elija el ID de la gateway de

cliente que quiera utilizar para la conexión.

Para eliminar una gateway de cliente mediante la línea de comando o API

• ModifyVpnTunnelC (Amazon EC2 API de consulta)• modify-vpn-tunnel (AWS CLI)

Sustitución de credenciales filtradasSi cree que las credenciales del túnel de su conexión de Site-to-Site VPN se han podido filtrar, cambiela clave de IKE previamente compartida. Para ello, elimine la conexión de Site-to-Site VPN, cree unanueva utilizando la misma gateway privada virtual y configure las nuevas claves en su gateway de cliente.Puede especificar sus claves previamente compartidas al crear la conexión de Site-to-Site VPN. Tambiéndeberá asegurarse de que las direcciones internas y externas del túnel coincidan, ya que estas puedencambiarse al volver a crear la conexión de Site-to-Site VPN. Mientras realiza el procedimiento, se detendrála comunicación con las instancias de la VPC; sin embargo, las instancias seguirán funcionando de manera

124

AWS Site-to-Site VPN Guía del usuarioRotación de certificados de punto deenlace de túnel de Site-to-Site VPN

ininterrumpida. Cuando el administrador de red implemente la nueva información de configuración, laconexión de Site-to-Site VPN utilizará las nuevas credenciales y se reanudará la conexión de red a susinstancias de la VPC.

Important

Este procedimiento requiere la ayuda de su grupo de administradores de redes.

Para cambiar la clave de IKE previamente compartida

1. Elimine la conexión de Site-to-Site VPN. Para obtener más información, consulte Eliminación de unaconexión de Site-to-Site VPN (p. 118). No es necesario eliminar la VPC ni la gateway privada virtual.

2. Cree una nueva conexión de Site-to-Site VPN y especifique sus propias claves previamentecompartidas para los túneles o deje que AWS genere nuevas claves previamente compartidas parausted. Para obtener más información, consulte Crear una conexión de Site-to-Site VPN (p. 18).

3. Descargue el nuevo archivo de configuración.

Para cambiar el certificado del extremo de AWS del punto de enlace del túnel

• Gire el certificado. Para obtener más información, consulte the section called “Rotación de certificadosde punto de enlace de túnel de Site-to-Site VPN” (p. 125).

Para cambiar el certificado en el dispositivo de gateway de cliente

1. Cree un nuevo certificado. Para obtener información sobre cómo crear un certificado de ACM, consulteIntroducción en la Guía del usuario de AWS Certificate Manager.

2. Agregue el certificado al dispositivo de gateway de cliente.

Rotación de certificados de punto de enlace detúnel de Site-to-Site VPN

Puede rotar los certificados en los puntos de enlace de túnel en el lado de AWS utilizando la consolade Amazon VPC. Cuando el certificado de un punto de enlace de túnel esté a punto de caducar, AWSrota automáticamente el certificado utilizando el rol vinculado al servicio. Para obtener más información,consulte the section called “Permisos concedidos por el rol vinculado a servicio” (p. 131).

Para rotar el certificado de punto de enlace de túnel de Site-to-Site VPN utilizando la consola

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Site-to-Site VPN Connections (Conexiones de Site-to-Site VPN).3. Seleccione la conexión de Site-to-Site VPN y, a continuación, elija Actions (Acciones), Rotate Tunnel

Certificates (Rotar certificados de túnel).4. Seleccione el punto de enlace de túnel cuyo certificado desea rotar.5. Seleccione Save.

Para rotar el certificado del punto de enlace de túnel de Site-to-Site VPN utilizando AWS CLI

Utilice el comando modify-vpn-tunnel-certificate.

125

AWS Site-to-Site VPN Guía del usuarioProtección de los datos

Seguridad en AWS Site-to-Site VPNLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad comoparte de los Programas de conformidad de AWS . Para obtener información sobre los programas deconformidad que se aplican a Site-to-Site VPN, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube – su responsabilidad viene determinada por el servicio de AWS que utilice.También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de laempresa y la legislación y los reglamentos aplicables.

Site-to-Site VPN forma parte del servicio de Amazon VPC. Para obtener más información acerca de laseguridad de Amazon VPC, consulte Seguridad en la Guía del usuario de Amazon VPC.

En los siguientes temas, se le mostrará cómo configurar componentes específicos de Site-to-Site VPNpara satisfacer sus objetivos de seguridad y conformidad.

Temas• Protección de los datos en AWS Site-to-Site VPN (p. 126)• Identity and Access Management para AWS Site-to-Site VPN (p. 128)• Registro y monitorización (p. 132)• Validación de la conformidad de AWS Site-to-Site VPN (p. 132)• Resiliencia en AWS Site-to-Site VPN (p. 133)• Seguridad de la infraestructura de AWS Site-to-Site VPN (p. 134)

Protección de los datos en AWS Site-to-Site VPNAWS Site-to-Site VPN cumple los requisitos del modelo de responsabilidad compartida de AWS, queincluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger lainfraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datosalojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamientodel contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúancomo controladores o procesadores de datos, son responsables de todos los datos personales quecolocan en la nube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo quea cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. Tambiénle recomendamos proteger sus datos de las siguientes formas:

• Utilice la autenticación multifactor (MFA) con cada cuenta.• Utilice SSL/TLS para comunicarse con los recursos de AWS.• Configure la API y el registro de actividad del usuario con AWS CloudTrail.

126

AWS Site-to-Site VPN Guía del usuarioPrivacidad del tráfico entre redes

• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminadosdentro de los servicios de AWS.

• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie, queayudan a detectar y proteger los datos personales almacenados en Amazon S3.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campoName (Nombre). Esto incluye cuando trabaje con Site-to-Site VPN u otros servicios de AWS con laconsola, la API, AWS CLI o SDK de AWS. Cualquier dato que escriba en Site-to-Site VPN o en otrosservicios se puede incluir en los registros de diagnóstico. Cuando proporcione una URL a un servidorexterno, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

Información de configuración de Site-to-Site VPN

Cuando crea una conexión de Site-to-Site VPN, generamos información de configuración que puedeutilizar para configurar su dispositivo de gateway de cliente, como las claves previamente compartidas (siprocede). Para evitar accesos no autorizados a la información de configuración, conceda a los usuarios deIAM solo los permisos que necesiten. Si descarga el archivo de configuración desde la consola de AmazonVPC, distribúyalo únicamente a los usuarios que vayan a configurar el dispositivo de gateway de cliente.Para obtener más información, consulte los siguientes temas:

• Opciones de autenticación de túneles de Site-to-Site VPN (p. 8)• Identity and Access Management para AWS Site-to-Site VPN (p. 128)

Privacidad del tráfico entre redesUna conexión Site-to-Site VPN conecta de forma privada la VPC a la red de las instalaciones. Los datosque se transfieren entre su VPC y su red se direccionan a través de una conexión de VPN cifrada paraayudarlo a mantener la confidencialidad y la integridad de los datos en tránsito. Amazon da soporte aconexiones de VPN de seguridad de protocolo de Internet (IPSec). IPsec es un conjunto de protocolosque se usa para proteger las comunicaciones por protocolo de Internet (IP) mediante la autenticación y elcifrado de todos los paquetes IP de una transmisión de datos.

Cada conexión de Site-to-Site VPN consta de dos túneles VPN IPSec cifrados que enlazan AWS y sured. El tráfico de cada túnel puede cifrarse con AES128 o AES256 y usar protocolos Diffie-Hellman parael intercambio de claves, lo que proporciona una confidencialidad directa total. AWS autentica con lasfunciones de hash SHA1 o SHA2.

Las instancias de la VPC no necesitan una dirección IP pública para conectarse a los recursos del otrolado de la conexión Site-to-Site VPN. Las instancias pueden enrutar su tráfico de Internet a través de laconexión Site-to-Site VPN a la red de las instalaciones. A continuación, pueden obtener acceso a Internet através de los puntos de tráfico salientes y de sus dispositivos de monitoreo y seguridad de la red.

Consulte los siguientes temas para obtener más información:

• Opciones de túnel de Site-to-Site VPN para su conexión de Site-to-Site VPN (p. 5): proporcionainformación acerca de las opciones IPSec e Intercambio de claves de Internet (IKE) disponibles paracada túnel.

• Opciones de autenticación de túneles de Site-to-Site VPN (p. 8): proporciona información acerca de lasopciones de autenticación para los puntos de enlace del túnel de VPN.

• Requisitos para el dispositivo de gateway del cliente (p. 31): proporciona información acerca de losrequisitos para el dispositivo de gateway de cliente en su lado de la conexión de VPN.

127

AWS Site-to-Site VPN Guía del usuarioAdministración de identidades y accesos

• Comunicaciones seguras entre sitios mediante VPN CloudHub (p. 24): si tiene varias conexiones deSite-to-Site VPN, puede proporcionar una comunicación segura entre sus sitios de las instalacionesgracias a AWS VPN CloudHub.

Identity and Access Management para AWS Site-to-Site VPN

AWS utiliza credenciales de seguridad para identificarle y para concederle acceso a sus recursos de AWS.Puede utilizar las características de AWS Identity and Access Management (IAM) para permitir que otrosusuarios, servicios y aplicaciones utilicen sus recursos de AWS, total o parcialmente, sin necesidad decompartir sus credenciales de seguridad.

De forma predeterminada, los usuarios de IAM no tienen permiso para crear, ver ni modificar recursos deAWS. Para permitir que un usuario de IAM tenga acceso a recursos, como conexiones Site-to-Site VPN,gateways privadas virtuales y gateways de clientes, y para realizar tareas, tiene que:

• Crear una política de IAM que conceda permiso al usuario de IAM para utilizar los recursos y lasacciones de la API específicos que necesita.

• Asociar la política al grupo o al usuario de IAM al que pertenezca el usuario de IAM.

Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso pararealizar las tareas especificadas en los recursos indicados.

Site-to-Site VPN forma parte de Amazon VPC, que comparte su espacio de nombres de la API conAmazon EC2. Para trabajar con conexiones Site-to-Site VPN, gateways privadas virtuales y gateways declientes, a continuación le indicamos varias políticas administradas de AWS que pueden satisfacer susnecesidades:

• PowerUserAccess• ReadOnlyAccess• AmazonEC2FullAccess• AmazonEC2ReadOnlyAccess

Sea precavido a la hora de conceder permisos a los usuarios para utilizar la acciónec2:DescribeVpnConnections. Esta acción permite a los usuarios ver la información de configuraciónde la gateway de cliente sobre las conexiones Site-to-Site VPN de su cuenta.

Para obtener más ejemplos, consulte Identity and Access Management para Amazon VPC en la Guía delusuario de Amazon VPC y Políticas de IAM para Amazon EC2 en la Guía del usuario de Amazon EC2.

Políticas de IAM para su conexión Site-to-Site VPNPuede utilizar permisos de nivel de recurso para restringir los recursos que los usuarios pueden utilizarcuando invocan API. Puede especificar el nombre de recurso de Amazon (ARN) para la conexión deVPN en el elemento Resource de las instrucciones de la política de permisos de IAM (por ejemplo,arn:aws:ec2:us-west-2:123456789012:vpn-connection/vpn-0d4e855ab7d3536fb).

En las siguientes acciones se da soporte a los permisos de nivel de recurso para el recurso de conexión deVPN:

• ec2:CreateVpnConnection

• ec2:ModifyVpnConnection

• ec2:ModifyVpnTunnelOptions

128

AWS Site-to-Site VPN Guía del usuarioPolíticas de IAM para su conexión Site-to-Site VPN

A continuación se indican las claves de condición a las que se da soporte:

Clave de condición Descripción Valores válidos Tipo

ec2:AuthenticationType El tipo de autenticaciónpara los puntos deenlace del túnel VPN.

Claves previamentecompartidas,certificados

Cadena

ec2:DPDTimeoutSeconds Período de tiempo trasel cual se producirá elagotamiento del tiempode espera de la DPD.

Número entero entre 0 y30

Numérico

ec2:GatewayType El tipo de gateway parael punto de enlace VPNen el lado de AWS de laconexión VPN.

VGW, TGW Cadena

ec2:IKEVersions Las versiones deintercambio de clavesde Internet (IKE)permitidas para el túnelVPN.

ikev1, ikev2 Cadena

ec2:InsideTunnelCidr El rango de direccionesIP interiores para eltúnel de VPN.

Consulte Opcionesde túnel de Site-to-Site VPN para suconexión de Site-to-SiteVPN (p. 5)

Cadena

ec2:Phase1DHGroupNumbersLos grupos Diffie-Hellman que estánpermitidos para eltúnel VPN para lasnegociaciones IKE defase 1.

2, 14, 15, 16, 17, 18, 22,23, 24

Numérico

ec2:Phase2DHGroupNumbersLos grupos Diffie-Hellman que estánpermitidos para eltúnel VPN para lasnegociaciones IKE defase 2.

2, 5, 14, 15, 16, 17, 18,22, 23, 24

Numérico

ec2:Phase1EncryptionAlgorithmsLos algoritmos decifrado permitidos parael túnel VPN para lasnegociaciones IKE defase 1.

AES128, AES256 Cadena

ec2:Phase2EncryptionAlgorithmsLos algoritmos decifrado permitidos parael túnel VPN para lasnegociaciones IKE defase 2.

AES128, AES256 Cadena

ec2:Phase1IntegrityAlgorithmsLos algoritmos deintegridad permitidospara el túnel VPN para

SHA1, SHA2-256 Cadena

129

AWS Site-to-Site VPN Guía del usuarioPolíticas de IAM para su conexión Site-to-Site VPN

Clave de condición Descripción Valores válidos Tipolas negociaciones IKEde fase 1.

ec2:Phase2IntegrityAlgorithmsLos algoritmos deintegridad que sepermiten para eltúnel VPN para lasnegociaciones IKE defase 2.

SHA1, SHA2-256 Cadena

ec2:Phase1LifetimeSecondsLa duración ensegundos de la fase 1de la negociación IKE.

Escriba un númeroentero entre 900 y28 800.

Numérico

ec2:Phase2LifetimeSecondsLa duración ensegundos de la fase 2de la negociación IKE.

Escriba un númeroentero entre 900 y 3600.

Numérico

ec2:PresharedKeys La clave previamentecompartida (PSK) paraestablecer la asociaciónde seguridad de IKEinicial entre la gatewayprivada virtual y lagateway de cliente.

Consulte Opcionesde túnel de Site-to-Site VPN para suconexión de Site-to-SiteVPN (p. 5)

Cadena

ec2:RekeyFuzzPercentageEl porcentaje de laventana de cambio declave (determinado porel tiempo del margen decambio de clave) dentrodel cual se seleccionaaleatoriamente el tiempode cambio de clave.

Número entero entre 0 y100

Numérico

ec2:RekeyMarginTimeSecondsEl tiempo de margenantes de que expire laduración de la fase 2,durante el cual AWSrealiza un cambio declave de IKE.

Número entero a partirde 60

Numérico

ec2:RoutingType El tipo de enrutamientopara la conexión VPN.

Estático, BGP Cadena

Puede permitir o denegar valores específicos para cada clave de condición admitida mediante operadoresde condición de IAM. Para obtener más información, consulte Elementos de política JSON de IAM:condición en la Guía del usuario de IAM.

En la política de ejemplo siguiente se permite a los usuarios crear conexiones de VPN, aunque soloconexiones de VPN con tipos de enrutamiento estático.

{ "Version": "2012-10-17", "Statement": [ {

130

AWS Site-to-Site VPN Guía del usuarioFunción vinculada al servicio

"Sid": "statement1", "Effect": "Allow", "Action": [ "ec2:CreateVpnConnection" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:RoutingType": [ "static" ] } } } ]}

Rol vinculado al servicio de AWS Site-to-Site VPNAWS Site-to-Site VPN utiliza roles vinculados a servicios para los permisos que necesita para llamar aotros servicios de AWS en su nombre. Para obtener más información, consulte Usar roles vinculados aservicios en la Guía del usuario de IAM.

Permisos concedidos por el rol vinculado a servicioCuando trabaja con una conexión Site-to-Site VPN que utiliza una autenticación basada en certificados,Site-to-Site VPN utiliza el rol vinculado a servicios denominado AWSServiceRoleForVPCS2SVPN parallamar a las siguientes acciones AWS Certificate Manager (ACM) en su nombre:

• acm:ExportCertificate

• acm:DescribeCertificatee

• acm:ListCertificates

• acm-pca:DescribeCertificateAuthority

Creación del rol vinculado a servicioNo es necesario crear manualmente el rol AWSServiceRoleForVPCS2SVPN. Site-to-Site VPN crea este rolcuando crea una gateway de cliente con un certificado ACM privado asociado.

Para que un usuario de Site-to-Site VPN cree un rol vinculado al servicio en su nombre, tiene que contarcon los permisos necesarios. Para obtener información sobre los roles vinculados a servicios, consultePermisos de roles vinculados a servicios en la Guía del usuario de IAM.

Edición de un rol vinculado al servicioPuede editar la descripción de AWSServiceRoleForVPCS2SVPN mediante IAM. Para obtener informaciónacerca de la edición de roles vinculados a servicios, consulte Editar un rol vinculado a un servicio en laGuía del usuario de IAM.

Eliminar el rol vinculado a un servicioSi ya no necesita utilizar las conexiones Site-to-Site VPN con autenticación basada en certificados, lerecomendamos que elimine AWSServiceRoleForVPCS2SVPN.

Puede eliminar este rol vinculado a un servicio solo después de eliminar todas las gateways de clientesque tengan un certificado privado de ACM asociado. De esta manera, se asegura de no eliminar por errorel permiso para tener acceso a los certificados ACM que las conexiones Site-to-Site VPN usan.

131

AWS Site-to-Site VPN Guía del usuarioRegistro y monitorización

Para eliminar roles vinculados a servicios, puede utilizar la consola de IAM, la CLI de IAM o la API de IAM.Para obtener información acerca de la eliminación de roles vinculados a servicios, consulte Eliminar un rolvinculado a un servicio en la Guía del usuario de IAM.

Después de eliminar AWSServiceRoleForVPCS2SVPN, Amazon VPC crea de nuevo el rol para unagateway de cliente con un certificado privado ACM asociado.

Registro y monitorizaciónLa monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y eldesempeño de su conexión de AWS Site-to-Site VPN. Debe recopilar datos de monitorización de todaslas partes de su solución de AWS para que le resulte más sencillo depurar un error que se produce endistintas partes del código, en caso de que ocurra. AWS proporciona varias herramientas para monitorearsus recursos y responder a posibles incidentes.

Amazon CloudWatch

Amazon CloudWatch monitorea sus recursos de AWS y las aplicaciones que ejecuta en AWS en tiemporeal. Puede recopilar métricas y realizar un seguimiento de las métricas de sus túneles de Site-to-SiteVPN, y definir alarmas de aviso o de actuación cuando una métrica determinada llegue a un umbral quehaya especificado. Para obtener más información, consulte Monitoreo de la conexión de Site-to-SiteVPN (p. 135).

AWS CloudTrail

AWS CloudTrail captura llamadas a la API de Amazon EC2 y los eventos relacionados realizados por sucuenta de AWS o en su nombre. A continuación, entrega los archivos de registro al bucket de Amazon S3que especifique. Para obtener más información, consulte la sección de registro de llamadas a la API deAmazon EC2, Amazon EBS y Amazon VPC con AWS CloudTrail en la Amazon EC2 API Reference.

AWS Trusted Advisor

AWS Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de milesde clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuandosurge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar acerrar deficiencias de seguridad.

Trusted Advisor tiene una comprobación de redundancia de túnel VPN, que comprueba el número detúneles que están activos para cada una de sus conexiones de VPN.

Para obtener más información, consulte AWS Trusted Advisor en la AWS Support User Guide.

Validación de la conformidad de AWS Site-to-SiteVPN

La seguridad y la conformidad de AWS Site-to-Site VPN se evalúan por parte de auditores externos, comoparte de numerosos programas de conformidad de AWS. Estos incluyen SOC, PCI, FedRAMP, HIPAA yotros.

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

132

AWS Site-to-Site VPN Guía del usuarioResiliencia

Su responsabilidad en el ámbito de la conformidad al usar Site-to-Site VPN se determina en función dela confidencialidad de sus datos, los objetivos de conformidad de su empresa y las leyes y regulacionesaplicables. AWS proporciona los siguientes recursos para ayudarlo con los requisitos de conformidad:

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS – este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la Guía para desarrolladores de AWS Config: el servicio AWSConfig evalúa en qué medida las configuraciones de los recursos cumplen con las prácticas internas, lasdirectrices del sector y las normativas.

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas abiertas y las prácticas recomendadas para laseguridad.

Resiliencia en AWS Site-to-Site VPNLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Además de la infraestructura global de AWS, Site-to-Site VPN ofrece características que lo ayudan en susnecesidades de resiliencia y copia de seguridad de los datos.

Dos túneles por conexión de VPNUna conexión de Site-to-Site VPN tiene dos túneles para proporcionar mayor disponibilidad a su VPC. Sise produce un error del dispositivo en AWS, su conexión de VPN cambiará automáticamente al segundotúnel para que su acceso no se vea interrumpido. Cada cierto tiempo, AWS también lleva a cabo unmantenimiento rutinario en la gateway privada virtual, lo que podría deshabilitar uno de los dos túnelesde su conexión de VPN durante un breve periodo. Cuando esto ocurra, su conexión de VPN cambiaráautomáticamente al segundo túnel mientras duren las tareas de mantenimiento. Al configurar su gatewayde cliente, por tanto es importante que configure ambos túneles.

RedundanciaPara protegerse contra una pérdida de conectividad en el caso de que su gateway de cliente deje de estardisponible, puede configurar otra conexión de Site-to-Site VPN. Para obtener más información, consulte lossiguientes temas:

• Utilización de conexiones de Site-to-Site VPN redundantes para la conmutación por error (p. 26)• Conectividad a la red de un centro de datos HA• Conectividad a la red de varios centros de datos HA

133

AWS Site-to-Site VPN Guía del usuarioSeguridad de la infraestructura

Seguridad de la infraestructura de AWS Site-to-SiteVPN

Como servicio administrado, AWS Site-to-Site VPN está protegido por los procedimientos de seguridadde red globales de AWS que se describen en el documento técnico Amazon Web Services: Informacióngeneral sobre procesos de seguridad.

Puede utilizar las llamadas a la API publicadas en AWS para obtener acceso a Site-to-Site VPN a travésde la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versiónposterior. Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatiblescon conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman(DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos comoJava 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

134

AWS Site-to-Site VPN Guía del usuarioHerramientas de monitoreo

Monitoreo de la conexión de Site-to-Site VPN

La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y eldesempeño de su conexión de AWS Site-to-Site VPN. Debe recopilar datos de monitorización de todaslas partes de su solución de AWS para que le resulte más sencillo depurar un error que se produce endistintas partes del código, en caso de que ocurra. No obstante, antes de comenzar a monitorizar suconexión de Site-to-Site VPN, debe crear un plan de monitorización que incluya respuestas a las siguientespreguntas:

• ¿Cuáles son los objetivos de la monitorización?• ¿Qué recursos va a monitorizar?• ¿Con qué frecuencia va a monitorizar estos recursos?• ¿Qué herramientas de monitorización va a utilizar?• ¿Quién se encargará de realizar las tareas de monitorización?• ¿Quién debería recibir una notificación cuando surjan problemas?

El siguiente paso consiste en establecer un punto de referencia del desempeño de VPN normal en suentorno. Para ello se mide el desempeño en distintos momentos y bajo distintas condiciones de carga.A medida que monitorice su VPN, almacene los datos de monitorización históricos para que puedacompararlos con los datos de desempeño actual, identificar los patrones de desempeño normal y lasanomalías en el desempeño, así como desarrollar métodos para la resolución de problemas.

Para establecer un punto de referencia, debe monitorizar los elementos siguientes:

• El estado de sus túneles de VPN• Los datos que entran en el túnel• Los datos que salen del túnel

Contenido• Herramientas de monitoreo (p. 135)• Monitoreo de túneles de VPN con Amazon CloudWatch (p. 136)

Herramientas de monitoreoAWS proporciona varias herramientas que puede utilizar para monitorizar una conexión de Site-to-Site VPN. Puede configurar algunas de estas herramientas para que monitoricen por usted, perootras herramientas requieren intervención manual. Le recomendamos que automatice las tareas demonitorización en la medida de lo posible.

Herramientas de monitoreo automatizadasPuede utilizar las siguientes herramientas de monitorización automatizada para monitorizar una conexiónde Site-to-Site VPN e informar cuando haya algún problema:

• Amazon CloudWatch Alarms (Alarmas de Amazon CloudWatch): observe una sola métrica duranteel periodo que especifique y realice una o varias acciones según el valor de la métrica relativo a un

135

AWS Site-to-Site VPN Guía del usuarioHerramientas de monitoreo manuales

determinado umbral durante varios periodos de tiempo. La acción es una notificación enviada a untema de Amazon SNS. Las alarmas de CloudWatch no invocan acciones simplemente por tener unestado determinado. Es necesario que el estado haya cambiado y se mantenga durante un númeroespecificado de períodos. Para obtener más información, consulte Monitoreo de túneles de VPN conAmazon CloudWatch (p. 136).

• AWS CloudTrail Log Monitoring (Monitorización de registros de AWS CloudTrail)–: compartir archivosde registro entre cuentas, monitorizar archivos de registro de CloudTrail en tiempo real mediante suenvío a CloudWatch Logs, escribir aplicaciones de procesamiento de registros en Java y validar quesus archivos de registro no hayan cambiado después de que CloudTrail los entregue. Para obtener másinformación, consulte la sección Registro de llamadas a la API mediante AWS CloudTrail en la AmazonEC2 API Reference y Uso de archivos de registro de CloudTrail en la AWS CloudTrail User Guide.

Herramientas de monitoreo manualesOtra parte importante de la monitorización de una conexión de Site-to-Site VPN implica la monitorizaciónmanual de los elementos que no cubren las alarmas de CloudWatch. Los paneles de consola de AmazonVPC y de CloudWatch proporcionan una vista rápida del entorno de AWS.

• El panel de Amazon VPC muestra lo siguiente:• Estado de los servicios por región• Conexiones de Site-to-Site VPN• Estado del túnel de VPN (en el panel de navegación, elija Site-to-Site VPN Connections (Conexiones

de Site-to-Site VPN), seleccione una conexión de Site-to-Site VPN y, a continuación, elija TunnelDetails (Detalles de túnel)).

• La página de inicio de CloudWatch muestra:• Alarmas y estado actual• Gráficos de alarmas y recursos• Estado de los servicios

Además, puede utilizar CloudWatch para hacer lo siguiente:• Crear paneles personalizados para monitorizar los servicios que le interesan.• Realizar un gráfico con los datos de las métricas para resolver problemas y descubrir tendencias• Buscar y examinar todas sus métricas de recursos de AWS.• Crear y editar las alarmas de notificación de problemas

Monitoreo de túneles de VPN con AmazonCloudWatch

Puede monitorizar los túneles de VPN mediante CloudWatch, que recopila y procesa los datos sin formatodel servicio VPN en métricas legibles y casi en tiempo real. Estas estadísticas se registran durante unperiodo de 15 meses, de forma que pueda obtener acceso a información de historial y obtener una mejorperspectiva acerca del desempeño de su aplicación web o servicio. Los datos de métricas de VPN seenvían automáticamente a CloudWatch en cuanto estos están disponibles.

Important

Las métricas de CloudWatch no se pueden usar con conexiones AWS Classic VPN. Para obtenermás información, consulte Categorías de Site-to-Site VPN (p. 4).

Para obtener más información, consulte la Guía del usuario de Amazon CloudWatch.

136

AWS Site-to-Site VPN Guía del usuarioDimensiones y métricas de túneles de VPN

Dimensiones y métricas de túneles de VPNLas siguientes métricas están disponibles para los túneles de VPN.

Métrica Descripción

TunnelState El estado del túnel. Para las VPN estáticas, 0 indicaDOWN y 1 indica UP. Para las VPN de BGP, 1 indicaESTABLISHED y 0 se utiliza para los demás estados.

Unidades: booleano

TunnelDataIn Los bytes recibidos a través del túnel de VPN. Cadapunto de datos de la métrica representa el número debytes recibidos después del punto de datos anterior. Usela estadística Sum para mostrar el número total de bytesrecibidos durante el periodo.

Esta métrica cuenta los datos después del descifrado.

Unidades: bytes

TunnelDataOut Los bytes enviados a través del túnel de VPN. Cadapunto de datos de la métrica representa el número debytes enviados después del punto de datos anterior. Usela estadística Sum para mostrar el número total de bytesenviados durante el periodo.

Esta métrica cuenta los datos antes del cifrado.

Unidades: bytes

Para filtrar los datos de las métricas, use las siguientes dimensiones.

Dimensión Descripción

VpnId Filtra los datos de las métricas en función del ID de conexión de Site-to-Site VPN.

TunnelIpAddress Filtra los datos de las métricas en función de la dirección IP del túnelde la gateway privada virtual.

Visualización de métricas de CloudWatch de túnelesde VPNAl crear una nueva conexión de Site-to-Site VPN, el servicio VPN envía las siguientes métricas acerca desus túneles de VPN a CloudWatch en cuanto están disponibles. Puede ver las métricas de los túneles deVPN de la manera siguiente.

Para consultar las métricas desde la consola de CloudWatch

Las métricas se agrupan en primer lugar por el espacio de nombres de servicio y, a continuación, por lasdiversas combinaciones de dimensiones dentro de cada espacio de nombres.

137

AWS Site-to-Site VPN Guía del usuarioCreación de alarmas de CloudWatch

para monitorear túneles de VPN

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Metrics.3. En All metrics (Todas las métricas) elija el espacio de nombres de métricas VPN.4. Seleccione la dimensión de métrica para ver las métricas (por ejemplo, para la conexión de Site-to-Site

VPN).

Para ver métricas mediante la CLI de AWS

En el símbolo del sistema, ejecute el siguiente comando:

aws cloudwatch list-metrics --namespace "AWS/VPN"

Creación de alarmas de CloudWatch para monitoreartúneles de VPNPuede crear una alarma de CloudWatch que envíe un mensaje de Amazon SNS cuando la alarma cambiede estado. Una alarma vigila una única métrica durante el período especificado y envía una notificacióna un tema de Amazon SNS según el valor de la métrica relativo a un determinado umbral durante variosperíodos de tiempo.

Por ejemplo, puede crear una alarma que monitorice el estado de un túnel de VPN y envíe una notificacióncuando el estado del túnel sea inactivo durante 3 periodos consecutivos de 5 minutos.

Para crear una alarma para el estado del túnel

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija VPN Tunnel Metrics.4. Elija la dirección IP del túnel de VPN y la métrica TunnelState. Seleccione Siguiente.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever (Siempre que),elija <= y escriba 0. Escriba 3 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview (Vista previa de alarma), seleccione un periodo de 5 minutos y especifique una

estadística de Maximum (Máximo).

Puede crear una alarma que monitorice el estado de la conexión de Site-to-Site VPN. Por ejemplo, puedecrear una alarma que envíe una notificación cuando el estado de uno o ambos túneles esté INACTIVOdurante un período consecutivo de 5 minutos.

Para crear una alarma para el estado de la conexión de Site-to-Site VPN

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms (Alarmas), Create Alarm (Crear alarma).3. Elija VPN Connection Metrics (Métricas de conexión de VPN).4. Seleccione su conexión de Site-to-Site VPN y la métrica TunnelState. Elija Next (Siguiente).5. Configure la alarma del modo que se indica y elija Create Alarm (Crear alarma) cuando haya

terminado:

138

AWS Site-to-Site VPN Guía del usuarioCreación de alarmas de CloudWatch

para monitorear túneles de VPN

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever (Siempre), elija<= y escriba 0 (o 0.5 para cuando haya como mínimo un túnel inactivo). Escriba 1 para los periodosconsecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview (Vista previa de alarma), seleccione un periodo de 5 minutos y especifique una

estadística de Maximum (Máximo).

Como opción, si ha configurado su conexión de Site-to-Site VPN de modo que ambos túneles estánactivos, puede especificar una estadística Minimum (Mínimo) para enviar una notificación cuandohaya al menos un túnel inactivo.

También puede crear alarmas que monitoricen la cantidad de tráfico que entra o sale del túnel de VPN. Porejemplo, la siguiente alarma monitoriza la cantidad de tráfico que entra en el túnel de VPN desde su red, yenvía una notificación cuando el número de bytes alcanza un umbral de 5 000 000 durante un periodo de15 minutos.

Para crear una alarma para el tráfico de red entrante

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija VPN Tunnel Metrics.4. Seleccione la dirección IP del túnel de VPN y la métrica TunnelDataIn. Seleccione Siguiente.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever, elija >= yescriba 5000000. Escriba 1 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview, seleccione un periodo de 15 minutos y especifique una estadística de Sum.

La siguiente alarma monitoriza la cantidad de tráfico que sale del túnel de VPN a su red, y envía unanotificación cuando el número de bytes sea inferior a 1 000 000 durante un periodo de 15 minutos.

Para crear una alarma para el tráfico de red saliente

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Alarms, Create Alarm.3. Elija VPN Tunnel Metrics.4. Seleccione la dirección IP del túnel de VPN y la métrica TunnelDataOut. Seleccione Siguiente.5. Configure la alarma del modo que se indica y elija Create Alarm cuando haya terminado:

• En Alarm Threshold, escriba el nombre y la descripción de la alarma. En Whenever (Siempre que),elija <= y escriba 1000000. Escriba 1 para los periodos consecutivos.

• En Actions, seleccione una notificación existente o elija New list para crear una.• En Alarm Preview, seleccione un periodo de 15 minutos y especifique una estadística de Sum.

Para obtener más ejemplos de creación de alarmas, consulte la sección de creación de alarmas deAmazon CloudWatch en la Guía del usuario de Amazon CloudWatch.

139

AWS Site-to-Site VPN Guía del usuario

Cuotas de Site-to-Site VPNSu cuenta de AWS tiene las siguientes cuotas (anteriormente se denominaban límites) para Site-to-SiteVPN. Para solicitar un aumento, utilice el formulario de límites.

• Gateways de cliente por región: 50• Gateways privadas virtuales por región: 5

Solo puede asociar una gateway privada virtual a una VPC a la vez.• Rutas dinámicas anunciadas desde un dispositivo de gateway de cliente a una conexión de Site-to-Site

VPN (en una gateway de tránsito o gateway privada virtual): 100

Esta cuota no puede incrementarse.• Rutas anunciadas desde una conexión de Site-to-Site VPN a un dispositivo de gateway de cliente: 1000

Esta cuota no puede incrementarse.• Conexiones de Site-to-Site VPN por región: 50• Conexiones de Site-to-Site VPN por gateway privada virtual: 10

Para obtener información sobre las cuotas relacionadas con las gateways de tránsito, incluido el númerode datos adjuntos de una gateway de tránsito, consulte la sección de cuotas para las gateways de tránsitoen la Guía de Gateways de tránsito de Amazon VPC.

Para obtener más cuotas de VPC, consulte Cuotas de Amazon VPC en la Guía del usuario de AmazonVPC.

140

AWS Site-to-Site VPN Guía del usuario

Historial de revisiónEn la siguiente tabla se describen las actualizaciones de la Guía del usuario de AWS Site-to-Site VPN.

update-history-change update-history-description update-history-date

Combinar las guías de AWS Site-to-Site VPN

En esta versión, se combinael contenido de la Guía paraadministradores de red de AWSSite-to-Site VPN en esta guía.

March 31, 2020

Conexiones de AWS Site-to-SiteVPN aceleradas

Puede habilitar la aceleraciónpara su conexión de AWS Site-to-Site VPN.

December 3, 2019

Modificar opciones de túnel deAWS Site-to-Site VPN

Puede modificar las opcionesde un túnel de VPN en unaconexión de AWS Site-to-SiteVPN. También puede configuraropciones de túnel adicionales.

August 29, 2019

Compatibilidad con certificadosprivados de AWS CertificateManager Private CertificateAuthority

(Opcional) Certificado privadode AWS Certificate ManagerPrivate Certificate Authority paraautenticar la VPN.

August 15, 2019

Nueva guía del usuario de Site-to-Site VPN (p. 141)

En esta versión, se separa elcontenido de AWS Site-to-SiteVPN (anteriormente conocidocomo AWS Managed VPN)del de la Guía del usuario deAmazon VPC.

December 18, 2018

Modificar la gateway de destino Puede modificar la gateway dedestino de la conexión de AWSSite-to-Site VPN.

December 18, 2018

ASN personalizado Al crear una gateway privadavirtual, puede especificar elnúmero de sistema autónomo(ASN) privado en el lado deAmazon de la gateway.

October 10, 2017

Opciones de túnel de VPN Puede especificar bloquesde CIDR de túnel interior yclaves compartidas previamentepersonalizadas para sus túnelesde VPN.

October 3, 2017

Categorías de VPN Puede ver la categoría de suconexión de VPN.

October 3, 2017

Métricas de VPN Puede ver las métricas deCloudWatch de sus conexionesde VPN.

May 15, 2017

141

AWS Site-to-Site VPN Guía del usuario

Mejoras de VPN (p. 141) La conexión de VPN ahoraadmite la función de cifrado AESde 256 bits, la función de hashSHA-256, NAT traversal y losgrupos Diffie-Hellman adicionalesdurante las fases 1 y 2 de laconexión. Además, podrá utilizarla misma dirección IP de gatewayde cliente para cada conexiónde VPN que utilice el mismodispositivo de gateway de cliente.

October 28, 2015

Propagación de rutaautomática (p. 141)

Ahora puede configurar lapropagación automática de rutasdesde su VPN y enlaces de AWSDirect Connect a sus tablas deenrutamiento de VPC.

September 13, 2012

Conexiones de VPNmediante configuraciónde direccionamientoestático (p. 141)

Puede crear conexiones deVPN de IPsec a Amazon VPCutilizando configuraciones dedireccionamiento estático.Anteriormente, las conexionesde VPN requerían el uso delprotocolo de gateway fronteriza(BGP). Ahora admitimosambos tipos de conexiones ypodrá establecer conectividaddesde dispositivos que no soncompatibles con BGP, incluidosCisco ASA y Microsoft WindowsServer 2008 R2.

September 13, 2012

AWS VPN CloudHuby conexiones de VPNredundantes (p. 141)

Puede comunicarse de formasegura de un sitio a otro con y sinVPC. Puede utilizar conexionesde VPN redundantes paraproporcionar una conexióntolerante a errores a su VPC.

September 29, 2011

142