Amazon Virtual Private Cloud · 2020-02-28 · Amazon Virtual Private Cloud Guia do administrador...

Amazon Virtual Private CloudGuia do administrador de redes


Amazon Virtual Private Cloud: Guia do administrador de redesCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsBem-vindo ......................................................................................................................................... 1Dispositivo de gateway do cliente ......................................................................................................... 2

O que é um dispositivo de gateway do cliente? ............................................................................... 2Sua função ........................................................................................................................ 4

Visão geral da configuração de uma conexão VPN .......................................................................... 4Informações da rede ........................................................................................................... 4Informações sobre roteamento ............................................................................................. 5

AWS VPN CloudHub e gateways do cliente redundantes .................................................................. 5Configuração de várias conexões VPN para a VPC ......................................................................... 6Dispositivos de gateway do cliente testados ................................................................................... 7Requisitos do seu dispositivo de gateway do cliente ........................................................................ 8Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet ................................. 11

Exemplo: dispositivo Check Point usando BGP ..................................................................................... 13Visão detalhada do gateway do cliente ........................................................................................ 13Arquivo de configuração ............................................................................................................ 14Configuração do dispositivo Check Point ...................................................................................... 14

Etapa 1: configurar a interface dos túneis ............................................................................. 15Etapa 2: configurar o BGP ................................................................................................. 16Etapa 3: Criar objetos de rede ............................................................................................ 16Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec .............................................. 17Etapa 5: configurar o firewall .............................................................................................. 19Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP ................................................ 20

Como testar a configuração do gateway do cliente ........................................................................ 21Exemplo: dispositivo Check Point (sem BGP) ........................................................................................ 24

Visão detalhada do gateway do cliente ........................................................................................ 24Arquivo de configuração ............................................................................................................ 25Configuração do dispositivo Check Point ...................................................................................... 26

Etapa 1: configurar uma interface de túnel ............................................................................ 26Etapa 2: configurar uma rota estática ................................................................................... 27Etapa 3: Criar objetos de rede ............................................................................................ 29Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec .............................................. 30Etapa 5: configurar o firewall .............................................................................................. 31Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP ................................................ 32

Como testar a configuração do gateway do cliente ........................................................................ 33Exemplo: dispositivo Cisco ASA .......................................................................................................... 36

uma visão detalhada do gateway do cliente .................................................................................. 36Umaa configuração de exemplo .................................................................................................. 37Como testar a configuração do gateway do cliente ........................................................................ 41

Exemplo: dispositivo de Cisco ASA com VTI e BGP .............................................................................. 43uma visão detalhada do gateway do cliente .................................................................................. 43Exemplo de configuração ........................................................................................................... 44Como testar a configuração do gateway do cliente ........................................................................ 50

Exemplo: dispositivo de Cisco ASA com VTI (sem BGP) ........................................................................ 52uma visão detalhada do gateway do cliente .................................................................................. 52Exemplo de configuração ........................................................................................................... 53Como testar a configuração do gateway do cliente ........................................................................ 58

Exemplo: dispositivo Cisco IOS ........................................................................................................... 60uma visão detalhada do gateway do cliente .................................................................................. 60Uma visão detalhada do gateway do cliente e uma configuração de exemplo ..................................... 61Como testar a configuração do gateway do cliente ........................................................................ 67

Exemplo: dispositivo Cisco IOS (sem BGP) .......................................................................................... 70uma visão detalhada do gateway do cliente .................................................................................. 70Uma visão detalhada do gateway do cliente e uma configuração de exemplo ..................................... 71Como testar a configuração do gateway do cliente ........................................................................ 77

iii


Exemplo: dispositivo SonicWALL ......................................................................................................... 79Uma visão detalhada do dispositivo de gateway do cliente .............................................................. 79Exemplo: arquivo de configuração ............................................................................................... 80Configurar o dispositivo SonicWALL, usando a interface de gerenciamento ........................................ 83Como testar a configuração do gateway do cliente ........................................................................ 84

Exemplo: dispositivo SonicWALL (sem BGP) ........................................................................................ 86Uma visão detalhada do dispositivo de gateway do cliente .............................................................. 86Exemplo: arquivo de configuração ............................................................................................... 87Configurar o dispositivo SonicWALL, usando a interface de gerenciamento ........................................ 90Como testar a configuração do gateway do cliente ........................................................................ 92

Exemplo: dispositivo Fortinet Fortigate ................................................................................................. 94Uma visão detalhada do dispositivo de gateway do cliente .............................................................. 94Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo .................. 95Como testar a configuração do gateway do cliente ....................................................................... 103

Exemplo: dispositivo Juniper J-Series com o JunOS ............................................................................. 105Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 105Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 106Como testar a configuração do gateway do cliente ....................................................................... 112

Exemplo: dispositivo Juniper SRX com o JunOS .................................................................................. 115Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 115Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 116Como testar a configuração do gateway do cliente ....................................................................... 122

Exemplo: Dispositivo Juniper ScreenOS ............................................................................................. 125Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 125Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 126Como testar a configuração do gateway do cliente ....................................................................... 131

Exemplo: dispositivo Netgate PfSense (sem BGP) ............................................................................... 134Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 134Exemplo de configuração ......................................................................................................... 135Como testar a configuração do gateway do cliente ....................................................................... 138

Exemplo: Dispositivo Palo Alto Networks ............................................................................................ 140Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 140Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 141Como testar a configuração do gateway do cliente ....................................................................... 148

Exemplo: dispositivo Yamaha ............................................................................................................ 150Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 150Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 151Como testar a configuração do gateway do cliente ....................................................................... 157

Exemplo: dispositivo de gateway do cliente genérico que usa BGP ......................................................... 159Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 159Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 160Como testar a configuração do gateway do cliente ....................................................................... 165

Exemplo: dispositivo de gateway do cliente genérico (sem BGP) ............................................................ 167Uma visão detalhada do dispositivo de gateway do cliente ............................................................ 167Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo ................. 168Como testar a configuração do gateway do cliente ....................................................................... 173

Solução de problemas ..................................................................................................................... 174Conectividade de gateway de cliente Cisco ASA .......................................................................... 174

IKE ............................................................................................................................... 174IPsec ............................................................................................................................. 175Roteamento .................................................................................................................... 176

Conectividade de gateway de cliente do Cisco IOS ...................................................................... 177IKE ............................................................................................................................... 177IPsec ............................................................................................................................. 178Túnel ............................................................................................................................. 179BGP .............................................................................................................................. 180Conexão de um gateway privado virtual ............................................................................. 181

iv


Conectividade de gateway de cliente do Cisco IOS (sem BGP) ...................................................... 181IKE ............................................................................................................................... 182IPsec ............................................................................................................................. 182Túnel ............................................................................................................................. 184Conexão de um gateway privado virtual ............................................................................. 186

Conectividade de gateway de cliente do Juniper JunOS ................................................................ 186IKE ............................................................................................................................... 186IPsec ............................................................................................................................. 186Túnel ............................................................................................................................. 187BGP .............................................................................................................................. 187Conexão de um gateway privado virtual ............................................................................. 189

Conectividade de gateway de cliente do Juniper ScreenOS ........................................................... 189IKE e IPsec .................................................................................................................... 189Túnel ............................................................................................................................. 189BGP .............................................................................................................................. 190Conexão de um gateway privado virtual ............................................................................. 192

Conectividade de gateway de cliente da Yamaha ......................................................................... 192IKE ............................................................................................................................... 192IPsec ............................................................................................................................. 192Túnel ............................................................................................................................. 193BGP .............................................................................................................................. 194Conexão de um gateway privado virtual ............................................................................. 195

Conectividade de gateway de cliente em dispositivo genérico ........................................................ 195Conectividade de gateway de cliente em dispositivo genérico (com BGP) ........................................ 198

Configurar o Windows Server 2008 R2 como dispositivo de gateway do cliente ......................................... 202Configuração do Windows Server .............................................................................................. 202Etapa 1: Criar uma conexão VPN e configurar a VPC ................................................................. 203Etapa 2: fazer download do arquivo de configuração para a conexão VPN ....................................... 204Etapa 3: configurar o Windows Server ....................................................................................... 206Etapa 4: configurar o túnel de VPN ........................................................................................... 207

Opção 1: Executar script netsh ......................................................................................... 207Opção 2: usar a interface de usuário do servidor Windows .................................................... 208

Etapa 5: habilitar a detecção de gateway inativo .......................................................................... 214Etapa 6: testar a conexão VPN ................................................................................................. 214

Configurar o Windows Server 2012 R2 como um dispositivo de gateway do cliente .................................... 216Configuração do Windows Server .............................................................................................. 216Etapa 1: Criar uma conexão VPN e configurar a VPC ................................................................. 217Etapa 2: fazer download do arquivo de configuração para a conexão VPN ....................................... 218Etapa 3: configurar o Windows Server ....................................................................................... 220Etapa 4: configurar o túnel de VPN ........................................................................................... 220

Opção 1: Executar script netsh ......................................................................................... 221Opção 2: usar a interface de usuário do servidor Windows .................................................... 2212.4: Configurar o Firewall do Windows ............................................................................... 225

Etapa 5: habilitar a detecção de gateway inativo .......................................................................... 226Etapa 6: testar a conexão VPN ................................................................................................. 226

Histórico do documento .................................................................................................................... 228

v


Bem-vindoBem-vindo ao Guia do administrador de redes do AWS Site-to-Site VPN Este guia destina-se a clientesque pretendem usar uma conexão do AWS Site-to-Site VPN com sua nuvem privada virtual (VPC). Ostópicos deste guia podem ajudá-lo a configurar o dispositivo de gateway do cliente, que é o dispositivo daconexão VPN do seu lado.

O termo conexão VPN possui sentido amplo, mas nesta documentação ele se refere especificamente àconexão entre a VPC e sua rede local. A VPN de local para local oferece suporte para as conexões VPNda Internet Protocol security (IPsec). Para acessar a lista dos dispositivos de gateway do cliente que foramtestados, consulte the section called “Dispositivos de gateway do cliente testados” (p. 7).

A conexão VPN permite que você faça uma ponte entre a VPC e a infraestrutura de TI. Você podeestender suas políticas existentes de segurança e gerenciamento para as instâncias do EC2 na VPC,como se elas estivessem sendo executadas em sua própria infraestrutura.

Para obter mais informações, consulte os tópicos a seguir:

• Dispositivo de gateway do cliente (p. 2)• Exemplo: dispositivo Check Point com protocolo de gateway de borda (p. 13)• Exemplo: dispositivo Check Point sem protocolo de gateway de borda (p. 24)• Exemplo: dispositivo Cisco ASA (p. 36)• Exemplo: dispositivo Cisco IOS (p. 60)• Exemplo: dispositivo Cisco IOS sem protocolo de gateway de borda (p. 70)• Exemplo: dispositivo de Cisco ASA com interface de túnel virtual e Border Gateway Protocol (p. 43)• Exemplo: dispositivo de Cisco ASA com interface de túnel virtual (sem Border Gateway

Protocol) (p. 52)• Exemplo: dispositivo SonicWALL SonicOS sem protocolo de gateway de borda (p. 86)• Exemplo: dispositivo SonicWALL (p. 79)• Exemplo: dispositivo Juniper J-Series com o JunOS (p. 105)• Exemplo: dispositivo Juniper SRX com o JunOS (p. 115)• Exemplo: Dispositivo Juniper ScreenOS (p. 125)• Exemplo: dispositivo Netgate PfSense sem protocolo de gateway de ponta (p. 134)• Exemplo: Dispositivo Palo Alto Networks (p. 140)• Exemplo: dispositivo Yamaha (p. 150)• Exemplo: dispositivo de gateway do cliente genérico que usa protocolo de gateway de borda (p. 159)• Exemplo: dispositivo de gateway do cliente genérico sem protocolo de gateway de borda (p. 167)• Configurar o Windows Server 2008 R2 como dispositivo de gateway do cliente (p. 202)• Configurar o Windows Server 2012 R2 como um dispositivo de gateway do cliente (p. 216)

1


O que é um dispositivo de gateway do cliente?

Dispositivo de gateway do clienteTópicos

• O que é um dispositivo de gateway do cliente? (p. 2)• Visão geral da configuração de uma conexão VPN (p. 4)• AWS VPN CloudHub e gateways do cliente redundantes (p. 5)• Configuração de várias conexões VPN para a VPC (p. 6)• Dispositivos de gateway do cliente testados (p. 7)• Requisitos do seu dispositivo de gateway do cliente (p. 8)• Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet (p. 11)

O que é um dispositivo de gateway do cliente?Uma conexão VPN do Amazon VPC vincula seu datacenter (ou rede) à sua Amazon Virtual Private Cloud(VPC). O dispositivo de gateway do cliente é a âncora do seu lado nessa conexão. Isso pode ser umdispositivo físico ou software. A âncora do lado da AWS da conexão VPN é chamada de gateway privadovirtual.

O diagrama a seguir mostra a rede, o gateway do cliente, a conexão VPN que vai para o gateway privadovirtual e a VPC. Há duas linhas entre o dispositivo de gateway do cliente e o gateway privado virtual, poisa conexão VPN consiste em dois túneis para fornecer maior disponibilidade ao serviço do Amazon VPC.Se houver uma falha no dispositivo dentro da AWS, sua conexão VPN realizará automaticamente failoverno segundo túnel para que seu acesso não seja interrompido. De tempos em tempos, a AWS tambémexecuta manutenção rotineira no gateway privado virtual, que pode desativar brevemente um dos doistúneis da conexão VPN. Durante essa manutenção, a conexão VPN realizará failover automaticamente nosegundo túnel. Ao configurar o gateway do cliente, é importante configurar ambos os túneis.

2


O que é um dispositivo de gateway do cliente?

É possível criar conexões VPN adicionais para outras VPCs, usando o mesmo dispositivo de gateway docliente. É possível reutilizar o mesmo endereço IP de gateway do cliente para cada uma das conexõesVPN.

Ao criar uma conexão VPN, o túnel VPN surge quando o tráfego é gerado no seu lado da conexão VPN. Ogateway privado virtual não é o iniciador; o gateway do cliente deve iniciar os túneis. Os VPN endpoints daAWS oferecem suporte ao rechaveamento e poderão iniciar renegociações quando a fase 1 estiver prestesa expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego de renegociação.

Para obter mais informações sobre os componentes de uma conexão VPN, consulte Conexões VPN noGuia do usuário do AWS Site-to-Site VPN.

Caso o dispositivo de gateway do cliente fique indisponível, proteja-se da perda de conectividadeconfigurando uma segunda conexão VPN. Para obter mais informações sobre conexões redundantes,consulte Usar conexões VPN redundantes para realizar failover no Guia do usuário do AWS Site-to-SiteVPN.

3

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPN

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html


Sua função

Sua funçãoAo longo deste guia, faremos referência à equipe de integração da sua empresa, que são as pessoasresponsáveis pela integração da sua infraestrutura com a Amazon VPC. Esta equipe (que pode serapenas você ou incluir mais pessoas) deve usar o Console de Gerenciamento da AWS para criar umaconexão VPN e obter as informações de que você precisa para configurar seu gateway do cliente. Suaempresa pode ter uma equipe separada para cada tarefa (uma equipe de integração que usa o Consolede gerenciamento da AWS). Ela pode ter um grupo de engenharia de rede separado que tenha acessoaos dispositivos de rede e realize a configuração do gateway do cliente. Este guia pressupõe que você fazparte do grupo de engenharia de rede que recebe as informações da equipe de integração da empresa.Assim, você poderá configurar o dispositivo de gateway do cliente.

Visão geral da configuração de uma conexão VPNO processo para configurar a conexão VPN na AWS está descrito no Guia do usuário do AWS Site-to-SiteVPN. Uma das tarefas do processo geral é configurar o gateway do cliente. Para criar a conexão VPN, aAWS precisa de informações sobre o gateway do cliente e você deve configurar o dispositivo do gatewaydo cliente em si.

Para configurar uma conexão VPN, siga estas etapas gerais:

1. Atribua um dispositivo para atuar como dispositivo de gateway do cliente. Para obter mais informações,consulte Dispositivos de gateway do cliente testados (p. 7) e Requisitos do seu dispositivo degateway do cliente (p. 8).

2. Obtenha o Informações da rede (p. 4) necessário e forneça essas informações à equipe que vaicriar a conexão VPN na AWS.

3. Crie a conexão VPN na AWS e obtenha o arquivo de configuração para seu gateway do cliente. Paraobter mais informações sobre como configurar uma conexão VPN da AWS, consulte Configurar umaconexão VPN da AWS no Guia do usuário do AWS Site-to-Site VPN.

4. Configure o dispositivo de gateway do cliente usando as informações do arquivo de configuração. Osexemplos são fornecidos neste guia.

5. Gere tráfego do seu lado da conexão VPN para acessar o túnel da VPN.

Informações da redePara criar uma conexão VPN na AWS, você precisa das informações a seguir.

Item Comentários

O fornecedor do gateway do cliente (por exemplo,Cisco), a plataforma (por exemplo, roteadores dasérie ISR) e a versão do software (por exemplo,IOS 12.4)

Essas informações são usadas para gerar umarquivo de configuração para o dispositivo degateway do cliente.

O endereço IP roteável na internet para a interfaceexterna do dispositivo do gateway do cliente.

O valor deve ser estático. Se o dispositivo degateway do cliente residir atrás de um dispositivoque execute a conversão de endereços de rede(NAT), use o endereço IP público do dispositivoNAT.

Para a NAT de origem, não use o endereço IPpúblico do gateway do cliente como o endereço

4

http://aws.amazon.com/console

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html

Amazon Virtual Private CloudGuia do administrador de redesInformações sobre roteamento

Item ComentáriosIP de origem para pacotes enviados por um túnelVPN. Em vez disso, use um endereço IP diferenteque não esteja em uso.

(Opcional) Número de sistema autônomo (ASN)do Border Gateway Protocol (BGP) do gateway docliente.

É possível usar um ASN já existente e atribuídopara a rede. Se não possuir um, você poderá usarum ASN privado (no intervalo de 64512 a 65534).Caso contrário, supomos que o BGP ASN dogateway do cliente seja 65000.

(Opcional) O ASN para o lado da Amazon dasessão BGP.

Especificado na criação de um gateway privadovirtual. Se você não especificar um valor, oASN padrão será aplicado. Para obter maisinformações, consulte Gateway privado virtual.

(Opcional) Informações de túnel para cada túnelVPN

É possível configurar algumas das opções de túnelda conexão VPN. Para obter mais informações,consulte Opções de túnel do VPN de local paralocal para sua conexão do VPN de local para localno Guia do usuário do AWS Site-to-Site VPN.

(Opcional) Certificado privado do Autoridade decertificação privada do AWS Certificate Managerpara autenticar sua VPN

Você deve criar um certificado privado usandoo Autoridade de certificação privada do AWSCertificate Manager. Para obter informações sobrecomo criar um certificado privado, consulte Criare gerenciar um criar uma CA privada no Guia dousuário do Autoridade de certificação privada doAWS Certificate Manager.

O arquivo de configuração do dispositivo de gateway do cliente incluirá os valores especificados paraos itens acima. Também contém todos os valores adicionais necessários para configurar os túneis VPNincluindo o endereço IP fora do gateway privado virtual. Este atributo será estático a menos que vocêrecrie a conexão VPN na AWS.

Informações sobre roteamentoA AWS recomenda anunciar rotas BGP mais específicas para influenciar decisões de roteamentono gateway privado virtual. Verifique as informações sobre comandos específicos do dispositivo nadocumentação do fornecedor.

Para obter mais informações sobre prioridade de rota, consulte Tabelas de rota e prioridade de rota daVPN no Guia do usuário do AWS Site-to-Site VPN.

AWS VPN CloudHub e gateways do clienteredundantes

É possível estabelecer várias conexões VPN com um único gateway privado virtual a partir de váriosgateways do cliente. Essa configuração pode ser usada de diferentes maneiras. É possível ter dispositivosde gateway do cliente redundantes entre seu datacenter e a VPC ou ter vários locais conectados ao AWSVPN CloudHub.

Se houver dispositivos de gateway do cliente redundantes, cada dispositivo anunciará o mesmo prefixo(por exemplo, 0.0.0.0/0) para o gateway privado virtual. Usamos o roteamento BGP a fim de determinar

5

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#VPNGateway

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreatingManagingCA.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreatingManagingCA.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority



Configuração de várias conexões VPN para a VPC

o caminho para o tráfego. Se ocorrer uma falha no dispositivo de gateway do cliente, o gateway privadovirtual direcionará todo o tráfego para o dispositivo de gateway do cliente em funcionamento.

Ao usar a configuração AWS VPN CloudHub, vários sites podem acessar sua VPC ou acessar um ao outrode forma segura usando um modelo simples de hub e spoke. Configure cada dispositivo de gateway docliente para anunciar um prefixo específico do local (como 10.0.0.0/24, 10.0.1.0/24) para o gateway privadovirtual. O gateway privado virtual direciona o tráfego para o site apropriado e anuncia a acessibilidade deum site para todos os outros sites.

Para configurar o AWS VPN CloudHub, use o console da Amazon VPC para criar vários gateways docliente, cada um com o endereço IP público do gateway. Você deve usar um número de sistema autônomo(ASN) do Border Gateway Protocol (BGP) exclusivo para cada um. Em seguida, crie uma conexão VPNde cada gateway do cliente para um gateway privado virtual em comum. Use as instruções a seguir paraconfigurar cada dispositivo de gateway do cliente para se conectar ao gateway privado virtual.

Para permitir que as instâncias na sua VPC alcancem o gateway privado virtual (e, depois, seusdispositivos de gateway do cliente), é preciso configurar as rotas em suas tabelas de roteamento VPC.Para obter instruções completas, consulte Conexões VPN no Guia do usuário do AWS Site-to-Site VPN.Para o AWS VPN CloudHub, você pode configurar uma rota agregada em sua tabela de roteamento daVPC (por exemplo, 10.0.0.0/16). Use prefixos mais específicos entre os dispositivos de gateway do clientee o gateway privado virtual.

Configuração de várias conexões VPN para a VPCÉ possível criar até dez conexões VPN para a sua VPC. Você pode usar várias conexões VPN paravincular os seus escritórios remotos à mesma VPC. Por exemplo, se você tem escritórios em Los Angeles,Chicago, Nova York e Miami, é possível vincular cada desses escritórios a sua VPC. Também é possívelusar várias conexões VPN para estabelecer dispositivos de gateway do cliente redundantes a partir deuma única localização.

Note

Se você precisar de mais de dez conexões VPN, envie uma solicitação para aumentar sua cota.

Ao criar várias conexões VPN, o gateway privado virtual envia tráfego de rede para a conexão VPNapropriada, usando rotas atribuídas estaticamente ou anúncios de rotas de BGP. Qual delas será usadadependerá de como a conexão VPN foi configurada. Quando há rotas idênticas no gateway privado virtual,deve-se preferir as rotas atribuídas estaticamente, em detrimento das rotas anunciadas pela BGP. Se vocêoptar por usar o anúncio do BGP, não poderá especificar rotas estáticas.

Quando há dispositivos de gateway do cliente em várias localizações geográficas, cada dispositivo deveanunciar um conjunto exclusivo de intervalos de IP específicos da localização. Ao estabelecer dispositivosde gateway do cliente redundantes em uma única localização, os dois dispositivos devem anunciar osmesmos intervalos de IP.

O gateway privado virtual recebe informações de roteamento de todos os dispositivos de gateway docliente e calcula o conjunto de caminhos preferenciais usando o melhor algoritmo de seleção de caminhoBGP. As regras do algoritmo, conforme aplicadas à VPC, são:

1. Preferir o prefixo IP mais específico (por exemplo, 10.0.0.0/24 é preferível a 10.0.0.0/16). Para obtermais informações, consulte Tabelas de rotas e prioridade de rotas da VPN no Guia do usuário do AWSSite-to-Site VPN.

2. Quando os prefixos forem os mesmos, as conexões VPN configuradas estaticamente são preferidas,caso elas existam. Para os prefixos correspondentes, em que cada conexão VPN usa o BGP, deve-se comparar o AS PATH e dar preferência ao prefixo com AS PATH mais curto. Ou, ainda, é possívelpreceder AS_PATH, diminuindo, assim, a preferência pelo caminho.

6

https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-connections.html

http://aws.amazon.com/contact-us/vpc-request/



Dispositivos de gateway do cliente testados

3. Quando AS PATHs forem do mesmo comprimento, deve-se comparar a origem do caminho. Os prefixoscom uma origem Interior Gateway Protocol (IGP) são preferidos em detrimento das origens de ExteriorGateway Protocol (EGP), que são preferidos em detrimento das origens desconhecidas.

O diagrama a seguir mostra a configuração de vários VPNs.

Dispositivos de gateway do cliente testadosSeu dispositivo de gateway do cliente pode ser um dispositivo físico ou software.

Este guia apresenta informações sobre como configurar os seguintes dispositivos que foram testados:

• Check Point Security Gateway executando software R77.10 (ou posterior)• Cisco ASA executando o software Cisco ASA 8.2 (ou posterior)• Cisco IOS executando o software Cisco IOS 12.4 (ou posterior)• SonicWALL executando o software SonicOS 5.9 (ou posterior)• Software Fortinet Fortigate 40+ Series executando FortiOS 4.0 (ou posterior)• Juniper J-Series executando o software JunOS 9.5 (ou posterior)• Juniper SRX executando o software JunOS 11.0 (ou posterior)• Juniper SSG executando o software ScreenOS 6.1 ou 6.2 (ou mais recente)• Juniper ISG executando o software ScreenOS 6.1 ou 6.2 (ou mais recente)• Netgate pfSense executando o software OS 2.2.5 (ou posterior).• Software Palo Alto Networks PANOS 4.1.2 (ou posterior)

7


Requisitos do seu dispositivo de gateway do cliente

• Roteadores Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 e SRT100• Software Microsoft Windows Server 2008 R2 (ou posterior)• Software Microsoft Windows Server 2012 R2 (ou posterior)• Zyxel Zywall Series executando software 4.20 (ou posterior) para conexões VPN roteadas estaticamente

ou software 4.30 (ou posterior) para conexões VPN roteadas dinamicamente

Caso tenha um desses dispositivos, porém esteja configurado para IPsec de forma diversa ao apresentadoneste guia, sinta-se à vontade para alterar a configuração sugerida para atender às suas necessidadesespecíficas.

Requisitos do seu dispositivo de gateway do clienteHá quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Ao longo desteguia, usaremos um símbolo para cada uma dessas etapas, facilitando a compreensão sobre o que precisaser feito. A tabela a seguir mostra as quatro etapas e os símbolos correspondentes.

Associação de segurança IKE (necessária para trocar as chaves usadas para estabelecera associação de segurança IPsec)

Associação de segurança IPsec (cuida da criptografia do túnel, da autenticação e assimpor diante)

Interface do túnel (recebe o tráfego de entrada e saída do túnel)

Optional Emparelhamento BGP (troca as rotas entre o dispositivo de gateway do cliente e ogateway privado virtual) para dispositivos que usam BGP

Caso tenha um dispositivo que não conste na lista anterior de dispositivos testados, esta seção descreveos requisitos que o dispositivo deverá atender para você usá-lo com Amazon VPC. A tabela a seguir listaos requisitos que o dispositivo de gateway do cliente deve seguir, o RFC relacionado (para referência)e comentários sobre os requisitos. Para obter um exemplo das informações de configuração se o seudispositivo não estiver entre os dispositivos Cisco ou Juniper testados, consulte Exemplo: dispositivo degateway do cliente genérico que usa protocolo de gateway de borda (p. 159).

Cada conexão VPN consiste em 2 túneis separados. Cada túnel contém uma associação de segurançaIKE, uma associação de segurança IPsec e um emparelhamento BGP. O limite é de 1 par exclusivo deassociação de segurança (SA) por túnel (1 entrada e 1 saída) e, com isso, 2 pares de SA exclusivos nototal para 2 túneis (4 SAs). Alguns dispositivos usam uma VPN baseada em política e criam a mesmaquantidade de SAs que as entradas da ACL. Portanto, talvez seja necessário consolidar as suas regras edepois filtrar, evitando, assim, o tráfego indesejado.

O túnel VPN surge quando o tráfego é gerado do seu lado da conexão VPN. O AWS endpoint não é oiniciador; seu dispositivo de gateway do cliente deve iniciar os túneis.

8



Requisito RFC Comentários

Estabelecer associaçãode segurança IKE usandochaves pré-compartilhadas

RFC 2409

RFC 7296

A associação de segurança IKE é estabelecida primeiroentre o gateway privado virtual e o dispositivo de gatewaydo cliente usando a chave pré-compartilhada ou umcertificado privado com o Autoridade de certificaçãoprivada do AWS Certificate Manager como autenticador.No estabelecimento, o IKE negocia uma chave efêmerapara proteger futuras mensagens de IKE. Para estabeleceruma associação de segurança IKE adequada, deve haveruma total concordância entre os parâmetros, inclusive osparâmetros de criptografia e de autenticação.

Ao criar uma nova conexão VPN na AWS, você poderáespecificar sua própria chave pré-compartilhada paracada túnel ou permitir que a AWS gere uma chave pré-compartilhada para você. Como alternativa, é possívelespecificar o certificado privado usando o Autoridade decertificação privada do AWS Certificate Manager para usarseu dispositivo de gateway do cliente. Para obter maisinformações sobre como configurar túneis VPN, consulteConfigurar túneis VPN para sua conexão VPN no Guia dousuário do AWS Site-to-Site VPN.

Há suporte para as seguintes versões: IKEv1 e IKEv2.Na versão IKEv1, há suporte apenas para o modoPrincipal

Estabelecer IPsec SecurityAssociations no modoTunnel

RFC 4301 Usando a chave efêmera de IKE, as chaves sãoestabelecidas entre o gateway privado virtual e odispositivo de gateway do cliente para formar umaassociação de segurança (SA) IPsec. O tráfego entreos gateways é criptografado e descriptografado. usandoessa SA. Usadas para criptografar o tráfego dentro da SAIPsec, as chaves efêmeras são alteradas automática eregularmente pela IKE para garantir a confidencialidadedas comunicações.

Usar a função decriptografia AES de 128 bitsou AES de 256 bits

RFC 3602 A função de criptografia é usada para garantir aprivacidade entre as associações de segurança IKE eIPsec.

Usar a função de hashingSHA-1 ou SHA-256

RFC 2404 Esta função de hashing é usada para autenticar ambas asassociações de segurança IKE e IPsec.

Use o Diffie-HellmanPerfect Forward Secrecy.Os seguintes grupos sãocompatíveis:

• Grupos da fase 1: 2,14-18, 22, 23 e 24

• Grupos da fase 2: 2, 5,14-18, 22, 23 e 24

RFC 2409 O IKE usa Diffie-Hellman para estabelecer chavesefêmeras para proteger toda a comunicação entre osdispositivos de gateway do cliente e os gateways privadosvirtuais.

Usar Dead Peer Detectiondo IPsec

RFC 3706 O uso de Dead Peer Detection permite que os dispositivosVPN identifiquem rapidamente quando uma condição derede impede a entrega de pacotes pela internet. Quando

9

http://tools.ietf.org/html/rfc2409

https://tools.ietf.org/html/rfc7296

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNTunnels








Requisito RFC Comentáriosisso ocorre, os gateways excluem as associações desegurança e tentam criar novas associações. Durante esseprocesso, quando possível, o túnel IPsec alternativo éutilizado.

Vincular o túnel à interfacelógica (VPN baseada emrota)

Nenhum Seu gateway deve ser compatível com a capacidade devincular o túnel IPsec a uma interface lógica. A interfacelógica contém um endereço IP usado para estabelecero emparelhamento BGP com o gateway privado virtual.Essa interface lógica não deve executar encapsulamentoadicional (por exemplo, GRE, IP em IP). A interface deveser configurada para uma Maximum Transmission Unit(MTU) de 1.399 bytes.

Fragmentar pacotes IPantes da criptografia

RFC 4459 Quando os pacotes são muito grandes para sertransmitidos, é necessário fragmentá-los. Os pacotescriptografados fragmentados não são remontados.Portanto, seu dispositivo VPN deve fragmentar os pacotesantes do encapsulamento com os cabeçalhos VPN. Osfragmentos são transmitidos individualmente para o hostremoto que os remontará. Para obter mais informaçõessobre a fragmentação, consulte o artigo da Wikipedia Fragmentação de IP.

(Opcional) Estabeleceremparelhamentos BGP

RFC 4271 O BGP é usado para trocar as rotas entre o dispositivode gateway do cliente e o gateway privado virtual paradispositivos que usam o BGP. Todo o tráfego de BGP écriptografado e transmitido por meio da associação desegurança IPsec. O BGP é necessário para que ambos osgateways troquem os prefixos IP acessíveis por meio daSA IPsec.

Recomendamos que você use as técnicas listadas na tabela a seguir. Isso ajuda a minimizar problemasrelacionados com a quantidade de dados que podem ser transmitidos por meio do túnel IPsec. A reduçãoda quantidade de dados transmissíveis em um único pacote deve-se ao fato da conexão encapsularpacotes com cabeçalhos de rede adicionais (incluindo IPsec).

Técnica RFC Comentários

Ajustar o tamanho máximodo segmento de pacotesTCP que podem entrar notúnel VPN

RFC 4459 Os pacotes TCP são frequentemente o tipo de pacote quemais prevalece nos túneis IPsec. Alguns gateways podemalterar o parâmetro de tamanho máximo do segmentoTCP. Isso faz com que os endpoints TCP (clientes,servidores) reduzam a quantidade de dados enviadoscom cada pacote. Essa é uma abordagem ideal, já que ospacotes que chegam aos dispositivos VPN são pequenoso suficiente para serem encapsulados e transmitidos.

Redefinir o sinalizador "Nãofragmentar" nos pacotes

RFC 791 Alguns pacotes carregam um sinalizador chamado de Nãofragmentar (DF) que indica que o pacote não deve serfragmentado. Quando os pacotes usam o sinalizador, osgateways geram uma mensagem de MTU de caminhoICMP excedido. Em alguns casos, os aplicativos nãopossuem mecanismos adequados para processar essasmensagens ICMP e reduzir a quantidade de dados

10


http://en.wikipedia.org/wiki/IP_fragmentation

http://en.wikipedia.org/wiki/IP_fragmentation





Configurar um firewall entre o seu dispositivode gateway do cliente e a Internet

Técnica RFC Comentáriostransmitidos em cada pacote. Alguns dispositivos VPNpodem substituir o sinalizador DF e fragmentar os pacotesincondicionalmente, se necessário. Se o dispositivo degateway do cliente tiver essa capacidade, recomendamoso uso, conforme apropriado.

Uma conexão VPN da AWS não oferece suporte a Path MTU Discovery (RFC 1191).

Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte Configurar um firewallentre o seu dispositivo de gateway do cliente e a Internet (p. 11).

Configurar um firewall entre o seu dispositivo degateway do cliente e a Internet

Para usar esse serviço, é necessário ter um endereço IP roteável na Internet para usar como o endpointpara os túneis IPsec conectando seu dispositivo de gateway do cliente ao gateway privado virtual. Sehouver um firewall entre a Internet e o seu gateway, será necessário instalar as regras das tabelas a seguirpara estabelecer os túneis IPsec. Os endereços do gateway privado virtual estão nas informações deconfiguração fornecidas pela equipe de integração.

Entrada (a partir da Internet)

Regra de entrada I1

IP de origem Gateway privado virtual 1

Dest IP Gateway cliente

Protocolo UDP

Porta de origem 500

Destino 500

Regra de entrada I2



Protocolo UDP

Porta de origem 500

Porta de destino 500

Regra de entrada I3



Protocolo IP 50 (ESP)

Regra de entrada I4

11

https://tools.ietf.org/html/rfc1191


Configurar um firewall entre o seu dispositivode gateway do cliente e a Internet




Saída (para a Internet)

Regra de saída O1

IP de origem Gateway cliente

Dest IP Gateway privado virtual 1

Protocolo UDP

Porta de origem 500


Regra de saída O2



Protocolo UDP

Porta de origem 500


Regra de saída O3




Regra de saída O4




As regras I1, I2, O1 e O2 permitem a transmissão de pacotes IKE. As regras I3, I4, O3 e O4 permitem atransmissão de pacotes IPsec contendo o tráfego de rede criptografado.

Caso esteja usando NAT transversal (NAT-T) no seu dispositivo, será necessário incluir regras quepermitam acesso UDP pela porta 4500. Verifique se o seu dispositivo está anunciando NAT-T.

12


Visão detalhada do gateway do cliente

Exemplo: dispositivo Check Pointcom protocolo de gateway de borda

Esta seção tem informações de configuração de exemplo fornecidas por sua equipe de integração quandoo gateway de cliente é um dispositivo Check Point Security Gateway executando R77.10 ou posterior eusando o sistema operacional Gaia.

Antes de começar, verifique se você:

• Você criou uma conexão do VPN de local para local na Amazon VPC. Para obter mais informações,consulte Conceitos básicos no Guia do usuário do AWS Site-to-Site VPN.

• Você leu os requisitos (p. 8) do dispositivo do gateway do cliente.

Tópicos• Visão detalhada do gateway do cliente (p. 13)• Arquivo de configuração (p. 14)• Configuração do dispositivo Check Point (p. 14)• Como testar a configuração do gateway do cliente (p. 21)

Visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. A conexão VPN consiste em doistúneis separados. O uso de túneis redundantes garante disponibilidade contínua em caso de falha em umdispositivo.

13

https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html


Arquivo de configuração

Arquivo de configuraçãoSua equipe de integração pode fornecer a você um arquivo de configuração com os valores necessáriospara configurar cada túnel e as configurações de IKE e IPsec para o dispositivo de VPN. O arquivo deconfiguração contém instruções sobre como usar o portal web Gaia e o Check Point SmartDashboard paraconfigurar seu dispositivo. As mesmas etapas são fornecidas na seção seguinte.

A seguir encontra-se um trecho de um arquivo de configuração de exemplo. Esse arquivo contém duasseções: IPSec Tunnel #1 e IPSec Tunnel #2. Você deve usar os valores fornecidos em cada seçãopara configurar cada túnel.

! Amazon Web Services! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuração do dispositivo Check PointOs procedimentos a seguir demonstram como configurar túneis de VPN, objetos de rede e a segurançapara conexão da VPN. Você precisa substituir os valores de exemplo nos procedimentos pelos valoresfornecidos no arquivo de configuração.

Note

Para obter mais informações, acesse o artigo Amazon Web Services (AWS) VPN BGP no CheckPoint Support Center.

Tópicos• Etapa 1: configurar a interface dos túneis (p. 15)• Etapa 2: configurar o BGP (p. 16)• Etapa 3: Criar objetos de rede (p. 16)

14

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108958


Etapa 1: configurar a interface dos túneis

• Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec (p. 17)• Etapa 5: configurar o firewall (p. 19)• Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP (p. 20)

Etapa 1: configurar a interface dos túneisO primeiro passo para criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway docliente e do gateway privado virtual de cada túnel. Para o primeiro túnel, use as informações fornecidas naseção IPSec Tunnel #1 do arquivo de configuração. Para o segundo túnel, use os valores fornecidos naseção IPSec Tunnel #2 do arquivo de configuração.

Para configurar a interface do túnel

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clishexecutando o comando a seguir: clish

2. Defina o ASN do gateway do cliente (o ASN fornecido quando o gateway do cliente foi criado na AWS)executando o comando a seguir:

set as 65000

3. Crie a interface para o primeiro túnel, usando as informações fornecidas na seção IPSec Tunnel #1do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1.

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436

4. Repita esses comandos para criar o segundo túnel, usando as informações fornecidas na seçãoIPSec Tunnel #2 do arquivo de configuração. Forneça um nome exclusivo para seu túnel, comoAWS_VPC_Tunnel_2.

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436

5. Defina o ASN do gateway privado virtual:

set bgp external remote-as 7224 on

6. Configure o BGP para o primeiro túnel, usando as informações fornecidas na seção IPSec Tunnel#1 do arquivo de configuração:

set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. Configure o BGP para o segundo túnel, usando as informações fornecidas na seção IPSec Tunnel#2 do arquivo de configuração:

set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

8. Salve a configuração:

15


Etapa 2: configurar o BGP

save config

Etapa 2: configurar o BGPNesta etapa, você vai criar uma política de BGP que permite a importação das rotas anunciadas pelaAWS. Em seguida, configure seu gateway do cliente para anunciar suas rotas locais para a AWS.

Para criar uma política de BGP

1. Na Gaia WebUI, escolha Advanced Routing, Inbound Route Filters. Escolha Add e selecione Add BGPPolicy (Based on AS).

2. Em Add BGP Policy, selecione um valor entre 512 e 1024 no primeiro campo e insira o ASN dogateway privado virtual no segundo campo; por exemplo, 7224.

3. Escolha Salvar.

As etapas a seguir destinam-se à distribuição de rotas de interface locais. Além disso, você poderedistribuir as rotas de diferentes origens; por exemplo, rotas estáticas ou rotas obtidas por meio deprotocolos de roteamento dinâmico. Para obter mais informações, acesse Gaia Advanced Routing R77Versions Administration Guide.

Para anunciar rotas locais

1. Na Gaia WebUI, escolha Advanced Routing, Routing Redistribution. Escolha Add Redistribution Frome selecione Interface.

2. Em To Protocol, selecione o ASN do gateway privado virtual; por exemplo, 7224.3. Em Interface, selecione uma interface interna. Escolha Salvar.

Etapa 3: Criar objetos de redeNesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IPpúblicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de redecomo gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio parafuncionar como espaço reservado para o domínio de VPN.

Para definir um novo objeto de rede

1. Abra o Check Point SmartDashboard.2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo

grupo para cada objeto de rede.3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New,

Interoperable Device.4. Em Name, insira o nome que você forneceu para seu túnel na etapa 1; por exemplo,

AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2.5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de

configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.

16

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

Amazon Virtual Private CloudGuia do administrador de redesEtapa 4: criar uma comunidadeVPN e configurar o IKE e IPsec

6. No painel de categoria, escolha Topology.7. Na seção VPN Domain, escolha Manually defined e procure e selecione o grupo vazio exclusivo que

você criou na etapa 2. Escolha OK.8. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção IPSec

Tunnel #2 do arquivo de configuração.9. Acesse o objeto de rede do gateway, abra o gateway ou objeto do cluster e escolha Topology.10. Na seção VPN Domain, escolha Manually defined e procure e selecione o grupo vazio exclusivo que

você criou na etapa 2. Escolha OK.Note

Você pode manter qualquer domínio de VPN existente que configurou. Entretanto, verifiquese os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estãodeclarados nesse domínio de VPN, especialmente se esse domínio de VPN for originadoautomaticamente.

Note

Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Useos endereços IP especificados no arquivo de configuração.

Etapa 4: criar uma comunidade VPN e configurar oIKE e IPsecNesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos derede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações do InternetKey Exchange (IKE) e do IPsec.

Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec

1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.2. Escolha Communities, New, Star Community.3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center Gateways no

painel de categoria.

17


4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.5. No painel de categoria, escolha Satellite Gateways, Add, e adicione os dispositivos interoperáveis

que você criou anteriormente (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) à lista de gatewaysparticipantes.

6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 for IPv4 andIKEv2 for IPv6. Na seção Encryption Suite, escolha Custom, Custom Encryption.

Note

Você deve selecionar a opção IKEv1 for IPv4 and IKEv2 for IPv6 para a funcionalidadeIKEv1; entretanto, no momento IKEv2 e IPv6 não são comportados.

7. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha OK aoconcluir:

• Propriedades da associação de segurança IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA1

• Propriedades da associação de segurança IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1

8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On all tunnelsin the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gateway pair.

9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.10. Selecione o nome do peer para o primeiro túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #1.11. Selecione o nome do peer para o segundo túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #2.

18


Etapa 5: configurar o firewall

12. Ainda na categoria Advanced Settings, escolha Advanced VPN Properties, configure as propriedadescomo a seguir e escolha OK ao concluir:

• IKE (fase 1):• Use Diffie-Hellman group: Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes

• IPsec (fase 2):• Escolha Use Perfect Forward Secrecy• Use Diffie-Hellman group: Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds

Etapa 5: configurar o firewallNesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcionalque permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seugateway.

Para criar regras de firewall

1. No SmartDashboard, escolha Global Properties para seu gateway. No painel de categoria, expandaVPN e escolha Advanced.

2. Escolha Enable VPN Directional Match in VPN Column e clique em OK.

19


Etapa 6: ativar o Dead PeerDetection e o ajuste de MSS TCP

3. No SmartDashboard, escolha Firewall e crie uma política com as regras a seguir:

• Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.• Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as regras

de correspondência direcional a seguir escolhendo Add para cada uma e escolha OK ao concluir:

• internal_clear > VPN community (A Star Community da VPN que você criou anteriormente; porexemplo, AWS_VPN_Star)

• VPN community > VPN community• VPN community > internal_clear

6. No SmartDashboard, escolha Policy, Install.7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.

Etapa 6: ativar o Dead Peer Detection e o ajuste deMSS TCPO gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando umaassociação IKE está inativa.

Para configurar o DPD para um túnel permanente, o túnel permanente precisa ser configurado nacomunidade VPN da AWS. Para obter mais informações, consulte a etapa 8 em Etapa 4: criar umacomunidade VPN e configurar o IKE e IPsec (p. 17).

Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configurada comotunnel_test. Você precisa alterar o valor para dpd. Cada gateway de VPN na comunidade VPN querequer monitoramento de DPD deve ser configurado com a propriedade tunnel_keepalive_method,incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos demonitoramento para o mesmo gateway.

Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.

Para modificar a propriedade tunnel_keepalive_method

1. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain ManagementServer.

2. Escolha File, Database Revision Control... e crie um snapshot de revisão.3. Feche todas as janelas do SmartConsole, como SmartDashboard, SmartView Tracker e SmartView

Monitor.4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point Database

Tool no Check Point Support Center.5. Escolha Security Management Server, Domain Management Server.6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.8. Pressione CTRL+F ou use o menu Search para procurar o seguinte: tunnel_keepalive_method.9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e selecione Edit....

Escolha dpd, OK.10. Repita as etapas 7 a 9 para cada gateway que faz parte da comunidade VPN da AWS.11. Escolha File, Save All.

20

http://supportcontent.checkpoint.com/solutions?id=sk13009



Como testar a configuração do gateway do cliente

12. Feche a ferramenta GuiDBedit.13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management

Server.14. Instale a política no objeto Security Gateway, Cluster pertinente.

Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point SupportCenter.

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentaçãode pacotes.

Para ativar o ajuste de MSS TCP

1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.3. Escolha Table, Global Properties, properties.4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e escolha OK.

Como testar a configuração do gateway do clienteVocê pode testar a configuração do gateway para cada túnel.

Para testar a configuração do gateway do cliente para cada túnel

1. No gateway do cliente, determine se o status do BGP é Established.

Leva cerca de 30 segundos para que o emparelhamento de BGP seja feito.2. Confirme se o gateway do cliente anuncia uma rota para o gateway privado virtual. A rota pode ser a

padrão (0.0.0.0/0) ou uma rota mais específica de sua preferência.

Quando definido corretamente, o emparelhamento de BGP deve receber uma rota, partindo do gatewayprivado virtual, correspondente ao prefixo que sua equipe de integração de VPC especificou, até o VPC(por exemplo, 10.0.0.0/24). Se a sessão de BGP entre pares for estabelecida e você estiver recebendoum prefixo e anunciando um prefixo, isso quer dizer que o túnel está configurado corretamente. Certifique-se de que os dois túneis estão nesse estado.

Em seguida, teste a conectividade de cada túnel, iniciando uma instância na VPC e executando ping nessainstância a partir da sua rede doméstica. Antes de começar, certifique-se do seguinte:

• Use uma AMI que responda a solicitações de ping. Recomendamos que você use uma das AMIs doAmazon Linux.

• Configure a rede ACL e o grupo de segurança da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN: a tabela de rotas da sub-rede

deve conter uma rota para o gateway privado virtual. Para obter mais informações, consulte Permitir apropagação de rotas na tabela de rotas no Guia do usuário da Amazon VPC.

Para testar a conectividade de ponta a ponta de cada túnel

1. Inicie a instância de uma das AMIs Amazon Linux na VPC. As AMIs do Amazon Linux estão listadasno assistente de execução ao quando você executa uma instância a partir do console do AmazonEC2. Para obter mais informações, consulte o Guia de conceitos básicos do Amazon VPC.

21


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#vpn-configure-routing


https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/



2. Depois que a instância estiver em execução, obtenha o endereço IP privado (por exemplo,10.0.0.4). O console exibe o endereço como parte dos detalhes da instância.

3. Em um sistema da sua rede doméstica, use o comando ping com o endereço IP da instância.Certifique-se de que o computador em que executou o ping esteja atrás do gateway do cliente. Umaresposta correta deve ser semelhante a:

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Se você executar um ping em uma instância do roteador do gateway do cliente, certifique-sede enviar mensagens de ping de um endereço IP interno e não de um endereço IP de túnel.Algumas AMIs não respondem mensagens de ping de endereços IP de túnel.

4. (Opcional) Para testar o failover de túneis, é possível desabilitar temporariamente um dos túneis nogateway do cliente e repetir a etapa acima. Não é possível desativar um túnel no lado da AWS daconexão VPN.

No gateway do Check Point, você pode verificar o status do túnel executando o comando a seguir naferramenta de linha de comando, no modo especialista:

vpn tunnelutil

Nas opções exibidas, escolha 1 para verificar as associações IKE e 2 verificar as associações IPsec.

Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexãoestão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foicriptografada.

22



23


Visão detalhada do gateway do cliente

Exemplo: dispositivo Check Pointsem protocolo de gateway de borda

Esta seção tem informações de configuração de exemplo fornecidas por sua equipe de integração quandoo gateway de cliente é um dispositivo Check Point Security Gateway executando R77.10 ou posterior eusando o sistema operacional Gaia.




Tópicos• Visão detalhada do gateway do cliente (p. 24)• Arquivo de configuração (p. 25)• Configuração do dispositivo Check Point (p. 26)• Como testar a configuração do gateway do cliente (p. 33)

Visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. A conexão VPN consiste em doistúneis separados. O uso de túneis redundantes garante disponibilidade contínua em caso de falha em umdispositivo.

24



Arquivo de configuração

Arquivo de configuraçãoSua equipe de integração pode fornecer a você um arquivo de configuração que contém os valoresnecessários para configurar cada túnel e as configurações de IKE e IPsec para o dispositivo de VPN.O arquivo de configuração contém instruções sobre como usar o portal web Gaia e o Check PointSmartDashboard para configurar seu dispositivo. As mesmas etapas são fornecidas na seção seguinte.

A seguir encontra-se um trecho de um arquivo de configuração de exemplo. Esse arquivo contém duasseções: IPSec Tunnel #1 e IPSec Tunnel #2. Você deve usar os valores fornecidos em cada seçãopara configurar cada túnel.


! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be

25


Configuração do dispositivo Check Point

! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuração do dispositivo Check PointOs procedimentos a seguir demonstram como configurar túneis de VPN, objetos de rede e a segurançapara conexão da VPN. Você precisa substituir os valores de exemplo nos procedimentos pelos valoresfornecidos no arquivo de configuração.

Note

Para obter mais informações, acesse o artigo Check Point Security Gateway IPsec VPN toAmazon Web Services VPC no Check Point Support Center.

Tópicos• Etapa 1: configurar uma interface de túnel (p. 26)• Etapa 2: configurar uma rota estática (p. 27)• Etapa 3: Criar objetos de rede (p. 29)• Etapa 4: criar uma comunidade VPN e configurar o IKE e IPsec (p. 30)• Etapa 5: configurar o firewall (p. 31)• Etapa 6: ativar o Dead Peer Detection e o ajuste de MSS TCP (p. 32)

Etapa 1: configurar uma interface de túnelO primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gatewaydo cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informaçõesfornecidas na seção IPSec Tunnel #1 do arquivo de configuração. Para criar o segundo túnel, use osvalores fornecidos na seção IPSec Tunnel #2 do arquivo de configuração.

Para configurar a interface do túnel

1. Abra o portal Gaia do dispositivo Check Point Security Gateway.2. Escolha Network Interfaces, Add, VPN tunnel.3. Na caixa de diálogo, defina as configurações como a seguir e escolha OK ao concluir:

• Em VPN Tunnel ID, insira qualquer valor único exclusivo, como 1.• Em Peer, insira um nome exclusivo para seu túnel, como AWS_VPC_Tunnel_1 orAWS_VPC_Tunnel_2.

• Confirme se Numbered está selecionada e, em Local Address, insira o endereço IP especificadopara CGW Tunnel IP no arquivo de configuração; por exemplo, 169.254.44.234.

26




Etapa 2: configurar uma rota estática

• Em Remote Address, insira o endereço IP especificado para VGW Tunnel IP no arquivo deconfiguração; por exemplo, 169.254.44.233.

4. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clishexecutando o comando a seguir: clish

5. Para o túnel 1, execute o comando a seguir:

set interface vpnt1 mtu 1436

Para o túnel 2, execute o comando a seguir:

set interface vpnt2 mtu 1436

6. Repita essas etapas para criar um segundo túnel, usando as informações na seção IPSec Tunnel#2 do arquivo de configuração.

Etapa 2: configurar uma rota estáticaNesta etapa, você especificará a rota estática para a sub-rede na VPC de cada túnel para poder enviartráfego pelas interfaces do túnel. O segundo túnel permite failover, caso haja um problema com o

27


Etapa 2: configurar uma rota estática

primeiro túnel. Se um problema é detectado, a rota estática baseada na política é removida da tabela deroteamento e a segunda rota é ativada. Você deve também ativar o gateway do Check Point para executarping na outra extremidade do túnel e verificar se o túnel está ativo.

Para configurar rotas estáticas

1. No portal Gaia, escolha IPv4 Static Routes, Add.2. Especifique o CIDR de sua sub-rede; por exemplo, 10.28.13.0/24.3. Escolha Add Gateway, IP Address.4. Insira o endereço IP especificado para VGW Tunnel IP no arquivo de configuração (por exemplo,

169.254.44.233) e especifique 1 como prioridade.5. Selecione Ping.6. Repita as etapas 3 e 4 para o segundo túnel, usando o valor VGW Tunnel IP na seção IPSec

Tunnel #2 do arquivo de configuração. Especifique 2 como prioridade.

7. Escolha Salvar.

28

Amazon Virtual Private CloudGuia do administrador de redesEtapa 3: Criar objetos de rede

Se estiver usando um cluster, repita as etapas anteriores para os outros membros do cluster.

Etapa 3: Criar objetos de redeNesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IPpúblicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de redecomo gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio parafuncionar como espaço reservado para o domínio de VPN.

Para definir um novo objeto de rede

1. Abra o Check Point SmartDashboard.2. Em Groups, abra o menu de contexto e escolha Groups, Simple Group. Você pode usar o mesmo

grupo para cada objeto de rede.3. Em Network Objects, abra o menu de contexto (clique com o botão direito) e escolha New,

Interoperable Device.4. Em Name, insira o nome que você forneceu para seu túnel; por exemplo, AWS_VPC_Tunnel_1 ou

AWS_VPC_Tunnel_2.5. Em IPv4 Address, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de

configuração; por exemplo, 54.84.169.196. Salve as configurações e feche a caixa de diálogo.

6. No SmartDashboard, abra as propriedades do gateway e, no painel de categoria, escolha Topology.7. Para recuperar a configuração da interface, escolha Get Topology.8. Na seção VPN Domain, escolha Manually defined e procure e selecione o grupo vazio exclusivo que

você criou na etapa 2. Escolha OK.

Note

Você pode manter qualquer domínio de VPN existente que configurou. Entretanto, verifiquese os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estãodeclarados nesse domínio de VPN, especialmente se esse domínio de VPN for originadoautomaticamente.

9. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção IPSecTunnel #2 do arquivo de configuração.

29


Note

Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Useos endereços IP especificados no arquivo de configuração.

Etapa 4: criar uma comunidade VPN e configurar oIKE e IPsecNesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos derede (dispositivos interoperáveis) para cada túnel. Além disso, você definirá as configurações do InternetKey Exchange (IKE) e do IPsec.

Para criar e definir as configuração da comunidade VPN, do IKE e do IPsec

1. Nas propriedades de seu gateway, escolha IPSec VPN no painel de categoria.2. Escolha Communities, New, Star Community.3. Forneça um nome para a comunidade (por exemplo, AWS_VPN_Star) e escolha Center Gateways no

painel de categoria.4. Escolha Add e adicione o gateway ou cluster à lista de gateways participantes.5. No painel de categoria, escolha Satellite Gateways, Add, e adicione os dispositivos interoperáveis

que você criou anteriormente (AWS_VPC_Tunnel_1 e AWS_VPC_Tunnel_2) à lista de gatewaysparticipantes.

6. No painel de categoria, escolha Encryption. Na seção Encryption Method, escolha IKEv1 only. Naseção Encryption Suite, escolha Custom, Custom Encryption.

7. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha OK aoconcluir:

• Propriedades da associação de segurança IKE (fase 1):• Perform key exchange encryption with: AES-128• Perform data integrity with: SHA1

• Propriedades da associação de segurança IPsec (fase 2):• Perform IPsec data encryption with: AES-128• Perform data integrity with: SHA-1

8. No painel de categoria, escolha Tunnel Management. Escolha Set Permanent Tunnels, On all tunnelsin the community. Na seção VPN Tunnel Sharing, escolha One VPN tunnel per Gateway pair.

9. No painel de categoria, expanda Advanced Settings e escolha Shared Secret.10. Selecione o nome do peer para o primeiro túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #1.11. Selecione o nome do peer para o segundo túnel, escolha Edit e insira a chave pré-compartilhada tal

como especificado no arquivo de configuração na seção IPSec Tunnel #2.

30


Etapa 5: configurar o firewall

12. Ainda na categoria Advanced Settings, escolha Advanced VPN Properties, configure as propriedadescomo a seguir e escolha OK ao concluir:

• IKE (fase 1):• Use Diffie-Hellman group: Group 2• Renegotiate IKE security associations every 480 minutes

• IPsec (fase 2):• Escolha Use Perfect Forward Secrecy• Use Diffie-Hellman group: Group 2• Renegotiate IPsec security associations every 3600 seconds

Etapa 5: configurar o firewallNesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcionalque permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seugateway.

Para criar regras de firewall

1. No SmartDashboard, escolha Global Properties para seu gateway. No painel de categoria, expandaVPN e escolha Advanced.

2. Escolha Enable VPN Directional Match in VPN Column e salve suas alterações.

31


Etapa 6: ativar o Dead PeerDetection e o ajuste de MSS TCP

3. No SmartDashboard, escolha Firewall e crie uma política com as regras a seguir:

• Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos.• Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

4. Abra o menu de contexto da célula na coluna VPN e escolha Edit Cell.5. Na caixa de diálogo VPN Match Conditions, escolha Match traffic in this direction only. Crie as regras

de correspondência direcional a seguir escolhendo Add para cada uma e escolha OK ao concluir:

• internal_clear > VPN community (A Star Community da VPN que você criou anteriormente; porexemplo, AWS_VPN_Star)

• VPN community > VPN community• VPN community > internal_clear

6. No SmartDashboard, escolha Policy, Install.7. Na caixa de diálogo, escolha seu gateway e clique em OK para instalar a política.

Etapa 6: ativar o Dead Peer Detection e o ajuste deMSS TCPO gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando umaassociação IKE está inativa.

Para configurar o DPD para um túnel permanente, o túnel permanente precisa ser configurado nacomunidade VPN AWS (consulte a Etapa 8 em Etapa 4: criar uma comunidade VPN e configurar o IKE eIPsec (p. 30)).

Por padrão, a propriedade tunnel_keepalive_method para um gateway VPN é configurada comotunnel_test. Você precisa alterar o valor para dpd. Cada gateway de VPN na comunidade VPN querequer monitoramento de DPD deve ser configurado com a propriedade tunnel_keepalive_method,incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos demonitoramento para o mesmo gateway.

Você pode atualizar a propriedade tunnel_keepalive_method usando a ferramenta GuiDBedit.

Para modificar a propriedade tunnel_keepalive_method

1. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain ManagementServer.

2. Escolha File, Database Revision Control... e crie um snapshot de revisão.3. Feche todas as janelas do SmartConsole, como SmartDashboard, SmartView Tracker e SmartView

Monitor.4. Inicie a ferramenta GuiBDedit. Para obter mais informações, consulte o artigo Check Point Database

Tool no Check Point Support Center.5. Escolha Security Management Server, Domain Management Server.6. No painel superior esquerdo, escolha Table, Network Objects, network_objects.7. No painel superior direito, selecione o objeto Security Gateway, Cluster pertinente.8. Pressione CTRL+F ou use o menu Search para procurar o seguinte: tunnel_keepalive_method.9. No painel inferior, abra o menu de contexto para tunnel_keepalive_method e escolha Edit...

(Editar). Selecione dpd e clique em OK.10. Repita as etapas 7 a 9 para cada gateway que faz parte da comunidade VPN da AWS.11. Escolha File, Save All.

32





12. Feche a ferramenta GuiDBedit.13. Abra o Check Point SmartDashboard e escolha Security Management Server, Domain Management

Server.14. Instale a política no objeto Security Gateway, Cluster pertinente.

Para obter mais informações, consulte o artigo New VPN features in R77.10 no Check Point SupportCenter.

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentaçãode pacotes.

Para ativar o ajuste de MSS TCP

1. Navegue até o seguinte diretório C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra o Check Point Database Tool executando o arquivo GuiDBEdit.exe.3. Escolha Table, Global Properties, properties.4. Em fw_clamp_tcp_mss, escolha Edit. Altere o valor para true e escolha OK.



1. Certifique-se de que o gateway do cliente tenha uma rota estática para o seu VPC, conforme sugeridonos modelos de configuração fornecidos pela AWS.

2. Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR a sua conexão VPN. Certifique-se deque os dois túneis tenham uma rota estática em seu VPC.



• Configure a rede ACL e o grupo de segurança da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN - a tabela de rotas da sub-rede



1. Inicie a instância de uma das AMIs Amazon Linux na VPC. As AMIs do Amazon Linux estãolistadas no assistente de execução ao quando você executa uma instância a partir do Console degerenciamento da AWS. Para obter mais informações, consulte o Guia de conceitos básicos doAmazon VPC.


33









ping 10.0.0.4





Note



No gateway do Check Point, você pode verificar o status do túnel executando o comando a seguir naferramenta de linha de comando, no modo especialista:

vpn tunnelutil

Nas opções exibidas, escolha 1 para verificar as associações IKE e 2 verificar as associações IPsec.

Você pode usar também Check Point Smart Tracker Log para verificar se os pacotes na conexãoestão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foicriptografada.

34



35


uma visão detalhada do gateway do cliente

Exemplo: dispositivo Cisco ASANesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um dispositivo Cisco ASA que executa o software Cisco ASA 8.2ou superior.

O mostra um layout de alto nível do gateway do cliente. Você deve usar informações da configuração realque receber de sua equipe de integração e aplicá-las ao gateway do cliente.




Tópicos• uma visão detalhada do gateway do cliente (p. 36)• Umaa configuração de exemplo (p. 37)• Como testar a configuração do gateway do cliente (p. 41)

uma visão detalhada do gateway do clienteO diagrama a seguir mostra detalhes gerais do gateway do cliente. A conexão VPN consiste em doistúneis separados. O uso de túneis redundantes garante disponibilidade contínua em caso de falha em umdispositivo.

36


Amazon Virtual Private CloudGuia do administrador de redesUmaa configuração de exemplo

Observe que alguns dispositivos Cisco ASA comportam somente o modo ativo/espera. Ao usar um CiscoASA, é possível ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnelficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meiode um dos túneis.

Umaa configuração de exemploNesta seção, a configuração é um exemplo de informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.

A configuração de exemplo inclui valores de exemplo para ajudá-lo a compreender como a configuraçãofunciona. Por exemplo, fornecemos valores de exemplo para o ID da conexão VPN (vpn-12345678)e o ID do gateway privado virtual (vgw-12345678) e espaços reservados para os endpoints da AWS(AWS_ENDPOINT_1 e AWS_ENDPOINT_2). Substitua esses valores de exemplo pelos valores reaispresentes nas informações de configuração que você receber.

Além disso, é preciso:

• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garanta que o número Crypto List Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Garantir que o número de monitoramento de SLA seja exclusivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração forneça. Muitos dos valores no exemplo a seguir são diferentes daquelesdas informações de configuração reais que você recebe. Você dever usar os valores reais e nãoos valores de exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.

! Amazon Web Services! Virtual Private Cloud!! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway. Only a single tunnel will be up at a! time to the VGW.! ! You may need to populate these values throughout the config based on your setup:! outside_interface - External interface of the ASA! outside_access_in - Inbound ACL on the external interface! amzn_vpn_map - Outside crypto map! vpc_subnet and vpc_subnet_mask - VPC address range! local_subnet and local_subnet_mask - Local subnet address range! sla_monitor_address - Target address that is part of acl-amzn to run SLA monitoring

37


!! --------------------------------------------------------------------------------! IPSec Tunnels! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same or lower number depending on ! the encryption type. If so, we recommend changing the sequence number to ! avoid conflicts and overlap.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!crypto isakmp identity address crypto isakmp enable outside_interfacecrypto isakmp policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash shaexit!! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group AWS_ENDPOINT_1 type ipsec-l2ltunnel-group AWS_ENDPOINT_1 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit!tunnel-group AWS_ENDPOINT_2 type ipsec-l2ltunnel-group AWS_ENDPOINT_2 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! --------------------------------------------------------------------------------! #2: Access List Configuration!! Access lists are configured to permit creation of tunnels and to send applicable traffic over them.! This policy may need to be applied to an inbound ACL on the outside interface that is used to manage control-plane traffic.

38


! This is to allow VPN traffic into the device from the Amazon endpoints.!access-list outside_access_in extended permit ip host AWS_ENDPOINT_1 host YOUR_UPLINK_ADDRESSaccess-list outside_access_in extended permit ip host AWS_ENDPOINT_2 host YOUR_UPLINK_ADDRESS!! The following access list named acl-amzn specifies all traffic that needs to be routed to the VPC. Traffic will! be encrypted and transmitted through the tunnel to the VPC. Association with the IPSec security association! is done through the "crypto map" command.!! This access list should contain a static route corresponding to your VPC CIDR and allow traffic from any subnet.! If you do not wish to use the "any" source, you must use a single access-list entry for accessing the VPC range.! If you specify more than one entry for this ACL without using "any" as the source, the VPN will function erratically.! The any rule is also used so the security association will include the ASA outside interface where the SLA monitor! traffic will be sourced from.! See section #4 regarding how to restrict the traffic going over the tunnel!!access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask

!---------------------------------------------------------------------------------! #3: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. !crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac

! The crypto map references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime. The mapping is created! as #1, which may conflict with an existing crypto map using the same! number. If so, we recommend changing the mapping number to avoid conflicts.!crypto map amzn_vpn_map 1 match address acl-amzncrypto map amzn_vpn_map 1 set pfs group2crypto map amzn_vpn_map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map amzn_vpn_map 1 set transform-set transform-amzncrypto map amzn_vpn_map 1 set security-association lifetime seconds 3600!! Only set this if you do not already have an outside crypto map, and it is not applied:!crypto map amzn_vpn_map interface outside_interface!! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.!! This option instructs the firewall to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear-df outside_interface!! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!

39


crypto ipsec security-association replay window-size 128!! This option instructs the firewall to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption outside_interface!! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.sysopt connection tcpmss 1379!! In order to keep the tunnel in an active or always up state, the ASA needs to send traffic to the subnet! defined in acl-amzn. SLA monitoring can be configured to send pings to a destination in the subnet and! will keep the tunnel active. This traffic needs to be sent to a target that will return a response.! This can be manually tested by sending a ping to the target from the ASA sourced from the outside interface.! A possible destination for the ping is an instance within the VPC. For redundancy multiple SLA monitors ! can be configured to several instances to protect against a single point of failure.!! The monitor is created as #1, which may conflict with an existing monitor using the same! number. If so, we recommend changing the sequence number to avoid conflicts.!sla monitor 1 type echo protocol ipIcmpEcho sla_monitor_address interface outside_interface frequency 5exitsla monitor schedule 1 life forever start-time now!! The firewall must allow icmp packets to use "sla monitor"icmp permit any outside_interface

!---------------------------------------------------------------------------------! #4: VPN Filter! The VPN Filter will restrict traffic that is permitted through the tunnels. By default all traffic is denied. ! The first entry provides an example to include traffic between your VPC Address space and your office.! You may need to run 'clear crypto isakmp sa', in order for the filter to take effect.!! access-list amzn-filter extended permit ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_maskaccess-list amzn-filter extended deny ip any anygroup-policy filter internalgroup-policy filter attributesvpn-filter value amzn-filtertunnel-group AWS_ENDPOINT_1 general-attributesdefault-group-policy filterexittunnel-group AWS_ENDPOINT_2 general-attributesdefault-group-policy filterexit

!---------------------------------------------------------------------------------------! #5: NAT Exemption! If you are performing NAT on the ASA you will have to add a nat exemption rule.! This varies depending on how NAT is set up. It should be configured along the lines of:! object network obj-SrcNet! subnet 0.0.0.0 0.0.0.0! object network obj-amzn! subnet vpc_subnet vpc_subnet_mask! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn

40



! If using version 8.2 or older, the entry would need to look something like this:! nat (inside) 0 access-list acl-amzn! Or, the same rule in acl-amzn should be included in an existing no nat ACL.

Como testar a configuração do gateway do clienteAo usar um Cisco ASA como gateway do cliente, somente um túnel estará no estado UP (ATIVO). Osegundo túnel deverá ser configurado, mas só será usado se o primeiro ficar inativo. O segundo túnel nãopode estar no estado ATIVO quando o primeiro se encontra no estado ATIVO. O console exibe apenasum túnel ativo e mostra o segundo como inativo. Esse comportamento é esperado no caso de túneis degateway de cliente Cisco ASA porque o gateway de cliente comporta apenas um túnel ativo por vez.

Você pode testar a configuração do gateway para cada túnel.


• Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR à conexão VPN. Certifique-se de queos dois túneis tenham uma rota estática em seu VPC.


• Use uma AMI que responda a solicitações de ping. Recomendamos que você use uma das AmazonLinux AMIs.

• Configure a rede ACL e o security group da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN - a tabela de rotas da sub-rede



1. Inicie uma instância de uma das Amazon Linux AMIs em sua VPC. O Amazon Linux AMI constarálistado no assistente de inicialização quando você iniciar uma instância do Console de Gerenciamentoda AWS. Para obter mais informações, consulte o Guia de conceitos básicos do Amazon VPC.



ping 10.0.0.4




41







Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente Cisco ASA (p. 174).

42



Exemplo: dispositivo de Cisco ASAcom interface de túnel virtual eBorder Gateway Protocol

Nesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um dispositivo Cisco ASA que executa o software Cisco ASA9.7.1 ou superior.




Tópicos• uma visão detalhada do gateway do cliente (p. 43)• Exemplo de configuração (p. 44)• Como testar a configuração do gateway do cliente (p. 50)


43



Exemplo de configuração

Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deveráter conectividade com sua VPC por meio de um dos túneis.

Exemplo de configuraçãoNesta seção, a configuração é um exemplo de informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.


Além disso, você precisa fazer o seguinte:

• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração forneça. Muitos dos valores no exemplo a seguir são diferentes daqueles

44



das informações de configuração reais que você recebe. Você dever usar os valores reais e nãoos valores de exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.


! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!

crypto ikev1 enable 'outside_interface'

crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.

45



!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit

! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.

crypto ipsec df-bit clear-df 'outside_interface'

! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.

sysopt connection tcpmss 1379

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!

46



! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.

interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit

! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.197 remote-as 7224 neighbor 169.254.33.197 timers 10 30 30 neighbor 169.254.33.197 default-originate neighbor 169.254.33.197 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summaryno synchronization exit-address-familyexit!

! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

47



! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-1 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-1exit





! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.

48



!crypto ipsec security-association replay window-size 128


! -------------------------------------------------------------------------


! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.


! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!

49



! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.193 remote-as 7224 neighbor 169.254.33.193 timers 10 30 30 neighbor 169.254.33.193 default-originate neighbor 169.254.33.193 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summary no synchronization exit-address-familyexit!

Como testar a configuração do gateway do clienteAo usar um Cisco ASA como gateway do cliente em modo roteado, os dois túneis estarão no estadoATIVO.



• Verifique se as rotas estão anunciadas com BGP corretamente e à mostra na tabela de roteamentode modo que o tráfego possa voltar ao gateway do cliente. Por exemplo, se o prefixo da sub-redelocal é 198.10.0.0/16, você deve anunciá-lo por meio do BGP. Verifique se os dois túneis estãoconfigurados com roteamento BGP.






1. Inicie uma instância de uma das Amazon Linux AMIs em sua VPC. O Amazon Linux AMI constarálistado no assistente de inicialização quando você iniciar uma instância do Console de Gerenciamentoda AWS. Para obter mais informações, consulte o Guia de conceitos básicos do Amazon VPC.


50







ping 10.0.0.4





Note




51



Exemplo: dispositivo de Cisco ASAcom interface de túnel virtual (semBorder Gateway Protocol)

Nesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se o gateway do cliente for um dispositivo Cisco ASA que executa o software Cisco ASA9.7.1+, e se você desejar configurar uma conexão VPN roteada estaticamente.




Tópicos• uma visão detalhada do gateway do cliente (p. 52)• Exemplo de configuração (p. 53)• Como testar a configuração do gateway do cliente (p. 58)


52




Cisco ASAs de versão 9.7.1 e ou posterior são compatíveis com o modo Ativo/Ativo. Ao usar esses CiscoASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deveráter conectividade com sua VPC por meio de um dos túneis.

Exemplo de configuraçãoNesta seção, a configuração é um exemplo de informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.


Além disso, você precisa fazer o seguinte:

• Configurar a interface externa.• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.

53



• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.

54



! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------


55





! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-0 10.0.0.0 255.255.0.0 169.254.33.197 100 ! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes

56



authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!

57



tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit



! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-1 10.0.0.0 255.255.0.0 169.254.33.193 200

Como testar a configuração do gateway do clienteAo usar um Cisco ASA como gateway do cliente em modo roteado, os dois túneis estarão no estadoATIVO.



• Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR à conexão VPN. Certifique-se de queos dois túneis tenham uma rota estática em seu VPC.

58











ping 10.0.0.4





Note




59







Exemplo: dispositivo Cisco IOSNesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um dispositivo Cisco IOS que executa o software Cisco IOS 12.4(ou posterior).

Dois diagramas mostram a configuração de exemplo. O primeiro mostra o layout geral do gatewaydo cliente e o segundo mostra detalhes da configuração de exemplo. Você deve usar informações daconfiguração real que receber de sua equipe de integração e aplicá-las ao gateway do cliente.




Tópicos• uma visão detalhada do gateway do cliente (p. 60)• Uma visão detalhada do gateway do cliente e uma configuração de exemplo (p. 61)• Como testar a configuração do gateway do cliente (p. 67)


60



Uma visão detalhada do gateway docliente e uma configuração de exemplo

Uma visão detalhada do gateway do cliente e umaconfiguração de exemplo

Nesta seção, o diagrama mostra um exemplo de gateway de cliente Cisco IOS. Logo após o diagramaencontra-se um exemplo correspondente das informações de configuração que sua equipe de integraçãodeve fornecer. A configuração de exemplo contém um conjunto de informações para cada um dos túneisque você precisa configurar.

Além disso, a configuração de exemplo refere-se aos itens a seguir que você precisa fornecer:

• YOUR_UPLINK_ADDRESS—O endereço IP para a interface externa roteável para Internet no gateway docliente. O endereço deve ser estático e pode estar subjacente a um dispositivo que esteja executandoconversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deveajustar suas regras de firewall para desbloquear a porta UDP 4500.

• YOUR_BGP_ASN—O BGP ASN do gateway do cliente (nós usamos 65000 por padrão)

A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender comoa configuração funciona. Por exemplo, fornecemos valores de exemplos para o ID de conexãoVPN (vpn-44a8938f), o ID do gateway privado virtual (vgw-8db04f81) e os endereços (72.21.209.*,169.254.255.*) e o ASN (7224) remoto. Substitua esses valores de exemplo pelos valores reais presentesnas informações de configuração que você receber.


• Configurar a interface externa• Configure os IDs de interface de túnel (referidas como Tunnel1 e Tunnel2 na configuração de

exemplo).• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

No diagrama e configuração de exemplo a seguir, substitua os valores de espaço reservado indicados pelotexto em itálico colorido pelos valores que sejam aplicáveis à sua configuração específica.

61



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier ! and is associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! -------------------------------------------------------------------------! IPsec Tunnel #1! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

62



! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.225 key plain-text-password1exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.225 keyring keyring-vpn-44a8938f-0exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-0exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.

63



! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption

! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.255.2 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.225 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !

64



! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 activate neighbor 169.254.255.1 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 timers 10 30 30 neighbor 169.254.255.1 default-originate neighbor 169.254.255.1 activate neighbor 169.254.255.1 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit

! -------------------------------------------------------------------------! IPsec Tunnel #2! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.193 key plain-text-password2exit

65



! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.193 keyring keyring-vpn-44a8938f-1exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-1exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be

66



! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your Cloud.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 activate neighbor 169.254.255.5 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 timers 10 30 30 neighbor 169.254.255.5 default-originate neighbor 169.254.255.5 activate neighbor 169.254.255.5 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit


67
















ping 10.0.0.4





Note


68







Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Cisco IOS (p. 177).

69



Exemplo: dispositivo Cisco IOS semprotocolo de gateway de borda

Nesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se seu gateway de cliente for um roteador Cisco Integrated Services que executa o softwareCisco IOS.

Dois diagramas mostram a configuração de exemplo. O primeiro mostra o layout geral do gatewaydo cliente e o segundo mostra detalhes da configuração de exemplo. Você deve usar informações daconfiguração real que receber de sua equipe de integração e aplicá-las ao gateway do cliente.




Tópicos• uma visão detalhada do gateway do cliente (p. 70)• Uma visão detalhada do gateway do cliente e uma configuração de exemplo (p. 71)• Como testar a configuração do gateway do cliente (p. 77)


70




Uma visão detalhada do gateway do cliente e umaconfiguração de exemplo

O diagrama nesta seção mostra um exemplo do gateway de cliente Cisco IOS (sem BGP). Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.

Além disso, a configuração de exemplo refere-se ao seguinte item que você precisa fornecer:


A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID de conexão VPN(vpn-1a2b3c4d), o ID do gateway privado virtual (vgw-12345678), os endereços IP (205.251.233.*,169.254.255.*). Substitua esses valores de exemplo pelos valores reais presentes nas informações deconfiguração que você receber.


• Configurar a interface externa.

71



• Configure os IDs de interface de túnel (referidas como Tunnel1 e Tunnel2 na configuração deexemplo).

• Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.• Garantir que Crypto IPsec Transform Set e Crypto ISAKMP Policy Sequence sejam condizentes com

qualquer outro túnel IPsec configurado no dispositivo.• Garantir que o número de monitoramento de SLA seja exclusivo.• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.


Warning


! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.

72



!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-0 local-address CUSTOMER_IP pre-shared-key address 205.251.233.121 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-0 local-address CUSTOMER_IP match identity address 205.251.233.121 keyring keyring-vpn-1a2b3c4d-0exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-0exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

73



! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.249.18 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #100, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 100 icmp-echo 169.254.249.17 source-interface Tunnel1 timeout 1000 frequency 5exitip sla schedule 100 life forever start-time nowtrack 100 ip sla 100 reachability ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!

74



! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-1 local-address CUSTOMER_IP pre-shared-key address 205.251.233.122 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-1 local-address CUSTOMER_IP match identity address 205.251.233.122 keyring keyring-vpn-1a2b3c4d-1exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-1exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.

75



! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.249.22 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.122 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #200, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 200 icmp-echo 169.254.249.21 source-interface Tunnel2

76



timeout 1000 frequency 5exitip sla schedule 200 life forever start-time nowtrack 200 ip sla 200 reachability ! --------------------------------------------------------------------------------



1. Certifique-se de que o gateway do cliente tenha uma rota estática para o seu VPC, conforme sugeridonos modelos de configuração fornecidos pela AWS.

2. Certifique-se de que uma rota estática foi adicionada à conexão VPN, de modo que o tráfego possaretornar ao gateway do cliente. Por exemplo, se o prefixo local da sub-rede for 198.10.0.0/16, vocêprecisará adicionar uma rota estática com esse intervalo CIDR a sua conexão VPN. Certifique-se deque os dois túneis tenham uma rota estática em seu VPC.



• Configure a rede ACL e o grupo de segurança da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN - a tabela de rotas da sub-rede






ping 10.0.0.4




77








Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de gateway de cliente doCisco IOS sem conectividade de protocolo de gateway de borda (p. 181).

78


Uma visão detalhada do dispositivo de gateway do cliente

Exemplo: dispositivo SonicWALLEsse tópico exemplifica como configurar o roteador se o dispositivo de gateway do cliente for um roteadorSonicWALL.




Tópicos• Uma visão detalhada do dispositivo de gateway do cliente (p. 79)• Exemplo: arquivo de configuração (p. 80)• Configurar o dispositivo SonicWALL, usando a interface de gerenciamento (p. 83)• Como testar a configuração do gateway do cliente (p. 84)

Uma visão detalhada do dispositivo de gateway docliente

O diagrama a seguir mostra detalhes gerais do dispositivo de gateway do cliente. A conexão VPN consisteem dois túneis distintos: Túnel 1 e Túnel 2. O uso de túneis redundantes garante disponibilidade contínuaem caso de falha em um dispositivo.

79



Exemplo: arquivo de configuração

Exemplo: arquivo de configuraçãoO arquivo de configuração, que foi obtido por download da Amazon VPC, inclui os valores necessáriospara o uso das ferramentas da linha de comando no OS 6.2, assim como para a configuração de cadatúnel, do IKE e do IPsec para o dispositivo SonicWALL.

Important

As informações de configuração a seguir usam valores de exemplo. Você dever usar os valoresreais e não os valores de exemplo mostrados aqui. Do contrário, sua implementação serámalsucedida.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC address range!! IPSec Tunnel !1! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193end!

80



! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.44.242 netmask 255.255.255.252!!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24

81



neighbor 169.254.44.242 remote-as 7224neighbor 169.254.44.242 timers 10 30neighbor 169.254.44.242 soft-reconfiguration inboundendwriteexitcommitend!! IPSec Tunnel #2! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225 end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120

82


Configurar o dispositivo SonicWALL,usando a interface de gerenciamento

- DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.44.114 netmask 255.255.255.252!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.114 remote-as 7224neighbor 169.254.44.114 timers 10 30neighbor 169.254.44.114 soft-reconfiguration inboundendwriteexitcommitend

Configurar o dispositivo SonicWALL, usando ainterface de gerenciamento

Também é possível configurar o dispositivo SonicWALL, usando a interface de gerenciamento SonicOS.Para obter mais informações, consulte Configurar o dispositivo SonicWALL, usando a interface degerenciamento (p. 90).

Não é possível configurar o BGP para o dispositivo, usando a interface de gerenciamento. Em vez disso,use as instruções da linha de comando fornecidas no exemplo do arquivo de configuração acima, na seçãochamada BGP.

83

















ping 10.0.0.4





84






Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente em dispositivo genérico usando o protocolo de gateway de borda (p. 195).

85



Exemplo: dispositivo SonicWALLSonicOS sem protocolo de gatewayde borda

Este tópico fornece um exemplo de como configurar o roteador se o dispositivo de gateway do cliente forum roteador SonicWALL executando o SonicOS 5.9 ou 6.2.




Tópicos• Uma visão detalhada do dispositivo de gateway do cliente (p. 86)• Exemplo: arquivo de configuração (p. 87)• Configurar o dispositivo SonicWALL, usando a interface de gerenciamento (p. 90)• Como testar a configuração do gateway do cliente (p. 92)



86




Exemplo: arquivo de configuraçãoO arquivo de configuração, que foi obtido por download da Amazon VPC, inclui os valores necessáriospara o uso das ferramentas da linha de comando no OS 6.2 e para a configuração de cada túnel, do IKE edo IPsec para o dispositivo SonicWALL.

Important

As informações de configuração a seguir usam valores de exemplo. Você dever usar os valoresreais e não os valores de exemplo mostrados aqui. Do contrário, sua implementação serámalsucedida.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496

87



! ! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC IP address range! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193 end

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.

! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3

88



! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.255.6 netmask 255.255.255.252exit!! ! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T1 metric 1 source any destination name AWSVPC service any gateway 169.254.255.5! IPSec Tunnel !2 ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-2gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225end!

! #2: IPSec Configuration

89



! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128 proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enable commit end!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.!! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.255.2 netmask 255.255.255.252!! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T2 metric 1 source any destination name AWSVPC service any gateway 169.254.255.1

Configurar o dispositivo SonicWALL, usando ainterface de gerenciamento

O procedimento a seguir demonstra como configurar os túneis VPN no dispositivo SonicWALL usando ainterface de gerenciamento SonicOS. Você precisa substituir os valores de exemplo nos procedimentospelos valores fornecidos no arquivo de configuração.

90



Para configurar os túneis

1. Abra a interface de gerenciamento SonicWALL SonicOS.2. No painel esquerdo, escolha VPN, Configurações. Em VPN Policies, escolha Adicionar....3. Na janela de política VPN na guia Geral , conclua com as seguintes informações:

• Policy Type (Tipo de política): escolha Tunnel Interface (Interface do túnel).• Em Método de autenticação: Escolha IKE using Preshared Secret.• Nome: Insira um nome para a política VPN. Recomendamos que você use o nome do ID VPN,

conforme fornecido no arquivo de configuração.• IPsec Primary Gateway Name or Address: Insira o endereço IP do gateway privado virtual (endpoint

da AWS) conforme fornecido no arquivo de configuração; por exemplo, 72.21.209.193.• Nome ou endereço IPsec Secondary Gateway: Deixe o valor padrão.• Shared Secret: Insira a chave pré-compartilhada conforme fornecida no arquivo de configuração, e

insira-a novamente em Confirm Shared Secret.• Local IKE ID: insira o endereço IPv4 do gateway do cliente (o dispositivo SonicWALL).• Peer IKE ID: Insira o endereço IPv4 do gateway privado virtual (endpoint da AWS).

4. Na guia Network, conclua com as seguintes informações:

• Em Local Networks, escolha Any address. Recomendamos esta opção para evitar problemas deconectividade na rede local.

• Em Remote Networks, escolha Choose a destination network from list. Crie um objeto de endereçocom o CIDR da VPC na AWS.

5. Na guia Proposals conclua com as seguintes informações.

• Em IKE (Phase 1) Proposal, faça o seguinte:• Exchange: Escolha Main Mode.• DH Group: Insira um valor para o grupo Diffie-Hellman; por exemplo, 2.• Encryption: Escolha AES-128 ou AES-256.• Autenticação: Escolha SHA1 ou SHA256.• Life Time: Insira 28800.

• Em IKE (Phase 2) Proposal, faça o seguinte:• Protocol: Escolha ESP.• Encryption: Escolha AES-128 ou AES-256.• Autenticação: Escolha SHA1 ou SHA256.• Selecione a caixa de seleção Enable Perfect Forward Secrecy e escolha o grupo Diffie-Hellman.• Life Time: Insira 3600.

Important

Se criou o gateway privado virtual antes de outubro de 2015, você deve especificar Diffie-Hellman grupo 2, AES-128 e SHA1 para ambas as fases.

6. Na guia Advanced conclua com as seguintes informações:

• Selecione Enable Keep Alive.• Selecione Enable Phase2 Dead Peer Detection e insira o seguinte:

• Em Dead Peer Detection Interval, insira 60 (este é o mínimo que o dispositivo SonicWALL aceita).• Em Failure Trigger Level, insira 3.

• Em VPN Policy bound to, selecione Interface X1. Essa é a interface designada normalmente paraendereços IP públicos.

91



7. Escolha OK. Na página Configurações a caixa de seleção Habilitar para o túnel deve ser selecionadapor padrão. Um ponto verde indica que o túnel está ativo.

Como testar a configuração do gateway do clientePrimeiro, teste a configuração do gateway para cada túnel.

Como testar a configuração do dispositivo de gateway do cliente para cada túnel

• No dispositivo de gateway do cliente, verifique se você adicionou uma rota estática ao espaço IP CIDRda VPC para usar a interface do túnel.



• Configure a rede ACL e o security group da sua instância para permitir o tráfego ICMP de entrada.• Certifique-se de ter configurado o roteamento para a sua conexão VPN. A tabela de rotas da sub-rede



1. Inicie a instância de uma das AMIs Amazon Linux na VPC. As AMIs Amazon Linux estão disponíveisno menu Quick Start (Início rápido) quando você usa o assistente de ativação de instâncias noConsole de gerenciamento da AWS. Para obter mais informações, consulte o Guia de conceitosbásicos do Amazon VPC.

2. Depois que a instância estiver em execução, obtenha o endereço IP privado (por exemplo, 10.0.0.4).O console exibe o endereço como parte dos detalhes da instância.


ping 10.0.0.4





Note

Se você executar um ping em uma instância do roteador do gateway do cliente, certifique-se deenviar mensagens de ping de um endereço IP interno e não de um endereço IP de túnel. AlgumasAMIs não respondem mensagens de ping de endereços IP de túnel.

92








93



Exemplo: dispositivo FortinetFortigate

O tópico a seguir apresenta informações de configuração de exemplo fornecidas por sua equipe deintegração se o dispositivo de gateway do cliente for um dispositivo Fortinet Fortigate 40+.

Dois diagramas mostram a configuração de exemplo. O primeiro diagrama mostra um layout de alto níveldo dispositivo de gateway do cliente e o segundo mostra detalhes da configuração de exemplo. Você deveusar informações da configuração real que receber de equipe de integração e aplicá-las ao dispositivo degateway do cliente.




Tópicos• Uma visão detalhada do dispositivo de gateway do cliente (p. 94)• Uma visão detalhada do dispositivo de gateway do cliente e uma configuração de exemplo (p. 95)• Como testar a configuração do gateway do cliente (p. 103)


O diagrama a seguir mostra detalhes gerais do dispositivo de gateway do cliente. A conexão VPN consisteem dois túneis separados. O uso de túneis redundantes garante disponibilidade contínua em caso de falhaem um dispositivo.

94



Uma visão detalhada do dispositivo de gatewaydo cliente e uma configuração de exemplo

Uma visão detalhada do dispositivo de gateway docliente e uma configuração de exemplo

Nesta seção, o diagrama mostra um exemplo de dispositivo de gateway do cliente Fortinet. Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.


• YOUR_UPLINK_ADDRESS — Endereço IP da interface externa roteável para a Internet no gateway docliente (que deve ser estático e subjacente a um dispositivo que esteja executando a conversão deendereços de rede (NAT)).




95



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be

96



! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. ! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. ! ! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.193 set psksecret plain-text-password1 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-0" set phase1name "vpn-44a8938f-0" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

97



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-0" set vdom "root" set ip 169.254.255.2 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.1 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.1 set remote-as 7224 end

98



! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.1 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-0"set dstintf internal set srcaddr all

99



set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-0" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.225 set psksecret plain-text-password2 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration!

100



! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-1" set phase1name "vpn-44a8938f-1" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-1" set vdom "root" set ip 169.254.255.6 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.5 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)

101



! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.5 set remote-as 7224 end

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.5 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

!! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa

102



!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-1"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-1" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------









103









ping 10.0.0.4





Note



104






Exemplo: dispositivo Juniper J-Seriescom o JunOS

Nesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se o dispositivo de gateway do cliente for um roteador Juniper J-Series que executa o softwareJunOS 9.5 (ou posterior).

Dois diagramas mostram a configuração de exemplo. O primeiro mostra o layout geral do dispositivo degateway do cliente e o segundo mostra detalhes da configuração de exemplo. Você deve usar informaçõesda configuração real que receber de equipe de integração e aplicá-las ao dispositivo de gateway do cliente.







105





Nesta seção, o diagrama mostra um exemplo de dispositivo de gateway do cliente Juniper JunOS. Logoapós o diagrama encontra-se um exemplo correspondente das informações de configuração que suaequipe de integração deve fornecer. A configuração de exemplo contém um conjunto de informações paracada um dos túneis que você precisa configurar.


• YOUR_UPLINK_ADDRESS — o endereço IP da interface externa roteável para Internet no dispositivode gateway do cliente. O endereço deve ser estático e pode estar subjacente a um dispositivo queesteja executando conversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possafuncionar, você deve ajustar suas regras de firewall para desbloquear a porta UDP 4500.




• Configurar a interface exterior (referida como ge-0/0/0.0 na configuração de exemplo).• Configure os IDs de interface de túnel (referidas como st0.1 e st0.2 na configuração de exemplo).• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

106



• Identifique a zona de segurança da interface de uplink (as informações de configuração a seguir usam azona padrão "untrust").

• Identifique a zona de segurança da interface interna (as informações de configuração a seguir usam azona padrão "trust").

No diagrama e na configuração de exemplo a seguir, você deve substituir os itens em vermelho e itálicopelos valores que se aplicam à sua configuração específica.

Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

107



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2

# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-0set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225

# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all

# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol esp

108



set security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600

# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-0

# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection

# #3: Tunnel Interface Configuration#

# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1

# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike

# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp

# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387

# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.#

109



# To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject

set protocols bgp group ebgp type external

set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.

110



# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600





# The tunnel interface is configured with the internal IP address.#set interfaces st0.2 family inet address 169.254.255.6/30set interfaces st0.2 family inet mtu 1436

111



set security zones security-zone trust interfaces st0.2




# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN


112
















ping 10.0.0.4





Note


113







Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Juniper JunOS (p. 186).

114



Exemplo: dispositivo Juniper SRXcom o JunOS

Nesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se o dispositivo de gateway do cliente for um roteador Juniper SRX que executa o softwareJunOS 11.0 (ou posterior).








115





Nesta seção, o diagrama mostra um exemplo de dispositivo de gateway do cliente Juniper JunOS11.0 ou posterior. Logo após o diagrama encontra-se um exemplo correspondente das informações deconfiguração que sua equipe de integração deve fornecer. A configuração de exemplo contém um conjuntode informações para cada um dos túneis que você precisa configurar.






• Configurar a interface exterior (referida como ge-0/0/0.0 na configuração de exemplo).• Configure os IDs de interface de túnel (referidas como st0.1 e st0.2 na configuração de exemplo).• Configure todo roteamento interno que move o tráfego entre o gateway do cliente e sua rede local.

116



• Identifique a zona de segurança da interface de uplink (as informações de configuração a seguir usam azona padrão "untrust").

• Identifique a zona de segurança da interface interna (as informações de configuração a seguir usam azona padrão "trust").


Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

117



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #

118



set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600





# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1




# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.

119



## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.#

120



# This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-2set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193set security ike gateway gw-vpn-44a8938f-2 no-nat-traversal


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600





# The tunnel interface is configured with the internal IP address.#

121



set interfaces st0.2 family inet address 169.254.255.6/30set interfaces st0.2 family inet mtu 1436set security zones security-zone trust interfaces st0.2




# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN


122
















ping 10.0.0.4





Note


123







Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Juniper JunOS (p. 186).

124



Exemplo: Dispositivo JuniperScreenOS

Nesta seção, você verá um exemplo das informações de configuração fornecidas pela equipe deintegração, se o dispositivo de gateway do cliente for um dispositivo da série Juniper SSG ou Netscreenque executa o software Juniper ScreenOS.








125





O diagrama desta seção ilustra um exemplo de dispositivo de gateway do cliente Juniper ScreenOS. Logoapós o diagrama encontra-se um exemplo correspondente das informações de configuração que suaequipe de integração deve fornecer. A configuração de exemplo contém informações para cada um dostúneis que você deve configurar.






• Configure a interface exterior (referida como ethernet0/0 na configuração de exemplo).• Configure os IDs de interface de túnel (referidas como tunnel.1 e tunnel.2 na configuração de

exemplo).

126





Warning

As informações de configuração a seguir são um exemplo do que você pode esperar quesua equipe de integração forneça. Muitos dos valores no exemplo a seguir são diferentes dasinformações de configuração que você recebe. Você dever usar os valores reais e não os valoresde exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.Important

A configuração abaixo é apropriada para versões ScreenOS 6.2 e posterior. Você pode baixaruma configuração específica para o ScreenOS versão 6.1. Na caixa de diálogo DownloadConfiguration (Configuração de download), selecione Juniper Networks, Inc. na listaVendor (Fornecedor), SSG and ISG Series Routers na lista Platform (Plataforma) eScreenOS 6.1 na lista Software.

# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of a VPN # Connection. Each VPN Connection is assigned a VPN Connection Identifier# and is associated with two other identifiers, namely the Customer Gateway# Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be configured# on your Customer Gateway.#

127



# This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.## --------------------------------------------------------------------------------# IPsec Tunnel #1# --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.##If the address changes, the Customer Gateway and VPN Connection must be recreated.#

set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ike-prop-vpn-44a8938f-1

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal ipsec-prop-vpn-44a8938f-1

128



# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.#

set interface tunnel.1 zone Trustset interface tunnel.1 ip 169.254.255.2/30set interface tunnel.1 mtu 1436set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.#

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0). ## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop.

set enableset neighbor 169.254.255.1 remote-as 7224set neighbor 169.254.255.1 enableexitexitset interface tunnel.1 protocol bgp

129



# -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#

set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.## This address is configured with the setup for your Customer Gateway. If the# address changes, the Customer Gateway and VPN Connection must be recreated.#set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ike-prop-vpn-44a8938f-2

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal ipsec-prop-vpn-44a8938f-2

130



# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.

set interface tunnel.2 zone Trustset interface tunnel.2 ip 169.254.255.6/30set interface tunnel.2 mtu 1436set vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0).## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop. set enableset neighbor 169.254.255.5 remote-as 7224set neighbor 169.254.255.5 enableexitexitset interface tunnel.2 protocol bgp


131
















ping 10.0.0.4





Note


132







Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente do Juniper ScreenOS (p. 189).

133



Exemplo: dispositivo NetgatePfSense sem protocolo de gatewayde ponta

Este tópico fornece um exemplo de como configurar o roteador se o gateway do cliente for um firewallNetgate pfSense executando o OS 2.2.5 ou posterior.




Tópicos• Uma visão detalhada do dispositivo de gateway do cliente (p. 134)• Exemplo de configuração (p. 135)• Como testar a configuração do gateway do cliente (p. 138)



Você deve usar informações da configuração real que receber de equipe de integração e aplicá-las aodispositivo de gateway do cliente.

134




Exemplo de configuraçãoA configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID da conexão VPN(vpn-12345678), o ID do gateway privado virtual (vgw-12345678) e espaços reservados para os endpointsda AWS (AWS_ENDPOINT_1 e AWS_ENDPOINT_2).

Na configuração de exemplo a seguir, substitua os valores de espaço reservado indicados pelo texto emitálico colorido pelos valores que sejam aplicáveis à sua configuração específica.

Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração lhe forneça. Muitos dos valores no exemplo a seguir são diferentes daquelesdas informações de configuração reais que você recebe. Você dever usar os valores reais e nãoos valores de exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.


! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.

135



!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway for redundancy.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_1 f. Description: Amazon-IKE-vpn-12345678-0 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password1 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec

136



! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-0 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.

! --------------------------------------------------------------------------------

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_2 f. Description: Amazon-IKE-vpn-12345678-1 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address

137



e. Pre-Shared Key: plain-text-password2 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-1 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.



• No console da Amazon VPC verifique se a rota estática foi adicionada à conexão VPN, de modoque o tráfego possa retornar ao gateway do cliente. Por exemplo, se o prefixo da sub-rede local for198.10.0.0/16, você deverá adicionar uma rota estática com esse intervalo CIDR à conexão VPN.Certifique-se de que os dois túneis tenham uma rota estática em seu VPC.


138







1. Inicie uma instância de uma das AMIs do Amazon Linux na VPC. As AMIs do Amazon Linux estãodisponíveis no menu Quick Start quando você usa o Launch Instances Wizard no console do AmazonEC2. Para obter mais informações, consulte Executar uma instância no Guia do usuário do AmazonEC2 para instâncias do Linux.



ping 10.0.0.4





Note



139



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html



Exemplo: Dispositivo Palo AltoNetworks

O tópico a seguir apresenta informações de configuração de exemplo fornecidas pela equipe de integraçãose o dispositivo de gateway do cliente for um dispositivo Palo Alto Networks PANOS 4.1.2+.








140





Nesta seção, o diagrama ilustra um exemplo de dispositivo de gateway do cliente Palo Alto. Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.


• YOUR_UPLINK_ADDRESS — o endereço IP da interface externa roteável pela Internet no dispositivode gateway do cliente (que deve ser estática e pode estar por trás de um dispositivo que executa aconversão de endereços de rede (NAT); no entanto, NAT transversal (NAT-T) não é compatível).




141



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!

142



!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-0 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-0 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchange-mode main set authentication pre-shared-key key plain-text-password1 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.193 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

143



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.5/30 set units tunnel.1 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-1 set auto-key ike-gateway ike-vpn-44a8938f-0 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0 set tunnel-interface tunnel.1 set anti-replay yes

! --------------------------------------------------------------------------------


edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-0 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.5/30

144



set local-address interface tunnel.1 set peer-as 7224 set peer-address ip 169.254.255.2 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.

edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-1 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-1

145



set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchange-mode main set authentication pre-shared-key key plain-text-password2 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.225 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.1/30 set units tunnel.2 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-2 set auto-key ike-gateway ike-vpn-44a8938f-1 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1 set tunnel-interface tunnel.2 set anti-replay yes

146




edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-1 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.1/30 set local-address interface tunnel.2 set peer-as 7224 set peer-address ip 169.254.255.6.113 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.


! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

147

















ping 10.0.0.4





148






Note



149



Exemplo: dispositivo YamahaNesta seção, apresentamos um exemplo das informações de configuração fornecidas pela equipe deintegração, caso o dispositivo de gateway do cliente seja um roteador Yamaha RT107e, RTX1200,RTX1210, RTX1500, RTX3000 ou SRT100.







O diagrama a seguir mostra detalhes gerais do dispositivo de gateway do cliente. A conexão VPN consisteem dois túneis separados. O uso de túneis redundantes garante a disponibilidade contínua em caso defalha em um dispositivo.

150





Nessa seção, o diagrama mostra um exemplo de dispositivo de gateway do cliente Yamaha. Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.



• YOUR_LOCAL_NETWORK_ADDRESS — O endereço IP atribuído à interface LAN, conectado à rede local(provavelmente um endereço privado como 192.168.0.1)



Além disso, também é preciso:

• Configurar a interface exterior (referida como LAN3 na configuração de exemplo).

151



• Configure os IDs de interface de túnel (referidas como Tunnel #1 e Tunnel #2 na configuração deexemplo).



Warning

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração forneça. Muitos dos valores no exemplo a seguir são diferentes daquelesdas informações de configuração reais que você recebe. Você dever usar os valores reais e nãoos valores de exemplo mostrados aqui. Caso contrário, sua implantação falhará.

# Amazon Web Services # Virtual Private Cloud # AWS utilizes unique identifiers to manage the configuration of # a VPN Connection. Each VPN Connection is assigned an identifier and is # associated with two other identifiers, namely the # Customer Gateway Identifier and Virtual Private Gateway Identifier. # # Your VPN Connection ID : vpn-44a8938f # Your Virtual Private Gateway ID : vgw-8db04f81 # Your Customer Gateway ID : cgw-b4dc3961 # # # This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway. # # -------------------------------------------------------------------------------- # IPsec Tunnel #1 # --------------------------------------------------------------------------------

152



# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 1 ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha # This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 1 text plain-text-password1

# #2: IPsec Configuration # The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPSec policies, each identified by # sequence number. This policy is defined as #201, which may conflict with# an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.# ipsec tunnel 201 ipsec sa policy 201 1 esp aes-cbc sha-hmac # The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime. ipsec ike duration ipsec-sa 1 3600 ipsec ike pfs 1 on # Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

153



# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational. ipsec ike keepalive use 1 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS ipsec ike remote address 1 72.21.209.225 ip tunnel address 169.254.255.2/30 ip tunnel remote address 169.254.255.1 # This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation ip tunnel tcp mss limit 1387tunnel enable 1tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC#

154



# bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

# -------------------------------------------------------------------------------- # IPsec Tunnel #2 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 2 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha

# This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 2 text plain-text-password2

# #2: IPsec Configuration

# The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPsec policies, each identified by # sequence number. This policy is defined as #202, which may conflict with # an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts. #

ipsec tunnel 202ipsec sa policy 202 2 esp aes-cbc sha-hmac

# The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime.

155



ipsec ike duration ipsec-sa 2 3600ipsec ike pfs 2 on

# Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational.

ipsec ike keepalive use 2 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # Association with the IPsec security association is done through the # "tunnel protection" command. # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESSipsec ike remote address 2 72.21.209.193 ip tunnel address 169.254.255.6/30 ip tunnel remote address 169.254.255.5

# This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation

ip tunnel tcp mss limit 1387tunnel enable 2tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.## # The BGP timers are adjusted to provide more rapid detection of outages.

156



# # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

bgp configure refresh













157








ping 10.0.0.4





Note



Se os testes com os túneis não derem certo, consulte Solução de problemas de conectividade de gatewayde cliente da Yamaha (p. 192).

158



Exemplo: dispositivo de gateway docliente genérico que usa protocolo degateway de borda

Se o dispositivo de gateway do cliente não for um dos tipos examinados neste guia, a equipe de integraçãopoderá fornecer informações genéricas que podem ser usadas para configurá-lo. Esta seção contém umexemplo dessas informações.








159





Nesta seção, o diagrama mostra um exemplo de dispositivo de gateway do cliente genérico. Logo após odiagrama encontra-se um exemplo correspondente das informações de configuração que sua equipe deintegração deve fornecer. A configuração de exemplo contém um conjunto de informações para cada umdos túneis que você precisa configurar.






160



Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration===============================================AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-b4dc3961

A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured.

IPsec Tunnel #1================================================

#1: Internet Key Exchange Configuration

Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key

161



- Pre-Shared Key : plain-text-password1- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption

#3: Tunnel Interface Configuration

Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.

The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.

The Customer Gateway inside IP address should be configured on your tunnelinterface.

Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.2/30- Virtual Private Gateway : 169.254.255.1/30

162



Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

#4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.1- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

IPsec Tunnel #2=====================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We

163



recommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.6/30- Virtual Private Gateway : 169.254.255.5/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

" #4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.5- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

164

















ping 10.0.0.4





165






Note




166



Exemplo: dispositivo de gateway docliente genérico sem protocolo degateway de borda

Se o dispositivo de gateway do cliente não for um dos tipos examinados neste guia, a equipe de integraçãopoderá fornecer informações genéricas que podem ser usadas para configurá-lo. Esta seção contém umexemplo dessas informações.








167





O diagrama nesta seção ilustra um dispositivo de gateway do cliente genérico que usa roteamento estáticopara sua conexão VPN. Ele não oferece suporte ao roteamento dinâmico ou ao BGP (Border GatewayProtocol). Logo após o diagrama, há um exemplo correspondente das informações de configuração quesua equipe de integração deve fornecer a você. A configuração de exemplo contém um conjunto deinformações para cada um dos dois túneis que você precisa configurar.

Além disso, a configuração de exemplo refere-se a um item que você precisa fornecer:


A configuração de exemplo inclui vários valores de exemplo para ajudá-lo a compreender como aconfiguração funciona. Por exemplo, fornecemos valores de exemplo para o ID de conexão VPN(vpn-44a8938f), o ID do gateway privado virtual (vgw-8db04f81) e os endereços IP VGW (72.21.209.*,169.254.255.*). Substitua esses valores de exemplo pelos valores reais presentes nas informações deconfiguração que você receber.

168




Important

As informações de configuração a seguir são um exemplo do que você pode esperar que suaequipe de integração lhe forneça. Muitos dos valores no exemplo a seguir são diferentes daquelesdas informações de configuração reais que você recebe. Você dever usar os valores reais e nãoos valores de exemplo mostrados aqui. Do contrário, sua implementação será malsucedida.

Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration================================================================================AWS utilizes unique identifiers to manipulate the configuration ofa VPN Connection. Each VPN Connection is assigned a VPN Connection Identifierand is associated with two other identifiers, namely theCustomer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-ff628496

A VPN Connection consists of a pair of IPSec tunnel security associations (SAs).It is important that both tunnel security associations be configured.

IPSec Tunnel #1================================================================================


Configure the IKE SA as followsPlease note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

169



You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



170



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.73

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

IPSec Tunnel #2 ================================================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds

171



- Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225

Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.77

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

172




Como testar a configuração do dispositivo de gateway do cliente para cada túnel

• No dispositivo de gateway do cliente, verifique se você adicionou uma rota estática ao espaço IP CIDRda VPC para usar a interface do túnel.






1. Inicie uma instância de uma das Amazon Linux AMIs em sua VPC. As Amazon Linux AMIs estãodisponíveis no menu Início Rápido quando você usar o Launch Instances Wizard do Console deGerenciamento da AWS. Para obter mais informações, consulte o Guia de conceitos básicos doAmazon VPC.



PROMPT> ping 10.0.0.4Pinging 10.0.0.4 with 32 bytes of data:




Note

Se você executar um ping em uma instância do roteador do gateway do cliente, certifique-se deenviar mensagens de ping de um endereço IP interno e não de um endereço IP de túnel. AlgumasAMIs não respondem mensagens de ping de endereços IP de túnel.


173






Conectividade de gateway de cliente Cisco ASA

Solução de problemasSe os túneis não estiverem no estado correto ao testar o dispositivo de gateway do cliente, use asinformações sobre solução de problemas a seguir.

Tópicos• Solução de problemas de conectividade de gateway de cliente Cisco ASA (p. 174)• Solução de problemas de conectividade de gateway de cliente do Cisco IOS (p. 177)• Solução de problemas de gateway de cliente do Cisco IOS sem conectividade de protocolo de gateway

de borda (p. 181)• Solução de problemas de conectividade de gateway de cliente do Juniper JunOS (p. 186)• Solução de problemas de conectividade de gateway de cliente do Juniper ScreenOS (p. 189)• Solução de problemas de conectividade de gateway de cliente da Yamaha (p. 192)• Solução de problemas de conectividade de gateway de cliente em dispositivo genérico usando o

protocolo de gateway de borda (p. 195)• Solução de problemas de conectividade de gateway de cliente em dispositivo genérico sem o protocolo

de gateway de borda (p. 198)

Solução de problemas de conectividade de gatewayde cliente Cisco ASA

Ao solucionar um problema de conectividade em um gateway de cliente da Cisco, considere três fatores:IKE, IPsec e roteamento. É possível solucionar problemas nessas áreas em qualquer sequência, mas érecomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

Important

Alguns Cisco ASA comportam apenas o modo ativo/espera. Ao usar um Cisco ASA, é possívelter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeirotúnel ficar indisponível. O túnel em espera pode gerar o erro a seguir nos arquivos de log, oqual pode ser ignorado: Rejecting IPSec tunnel: no matching crypto map entryfor remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 oninterface outside

IKEUse o seguinte comando. A resposta mostra um gateway de cliente com o IKE configurado corretamente.

ciscoasa# show crypto isakmp sa

Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2

1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

174


IPsec

Provavelmente você verá uma ou mais linhas contendo um valor de src do gateway remoto especificadonos túneis. O valor de state deve ser MM_ACTIVE e o status deve ser ACTIVE. A ausência de umaentrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log quefornecem informações de diagnóstico.

router# term monrouter# debug crypto isakmp

Para desativar a depuração, use o comando a seguir:

router# no debug crypto isakmp

IPsecUse o seguinte comando. A resposta mostra um gateway de cliente com o IPsec configuradocorretamente.

ciscoasa# show crypto ipsec sa

interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0

local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6

inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y

175


Roteamento

Anti replay bitmap: 0x00000000 0x00000001

Para a interface de cada túnel, você deve ver inbound esp sas e outbound esp sas. Nesse caso,pressupõe-se que uma SA esteja listada (por exemplo, spi: 0x48B456A6) e o IPsec esteja configuradocorretamente.

No Cisco ASA, o IPsec só aparece depois que "tráfego interessante" é enviado. Para sempre manter oIPsec ativo, é recomendável configurar o monitor de SLA. O monitor de SLA continua a enviar tráfegointeressante, mantendo assim o IPsec ativo.

Além disso, é possível usar o comando ping a seguir para forçar o IPsec a iniciar a negociação eprosseguir:

ping ec2_instance_ip_address

Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128



Para solucionar outros problemas, use o comando a seguir para ativar a depuração:

router# debug crypto ipsec


router# no debug crypto ipsec

RoteamentoExecute ping na outra extremidade do túnel. Se estiver funcionando, é provável que seu IPsec tambémesteja funcionando adequadamente. Se não estiver, verifique suas listas de acesso e consulte a seção deIPsec anterior.

Se não conseguir alcançar suas instâncias, verifique o seguinte:

1. Verifique se a lista de acesso está configurada para permitir tráfego associado com o mapa decriptografia.

Faça isso usando o seguinte comando:

ciscoasa# show run crypto

crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

176


Conectividade de gateway de cliente do Cisco IOS

2. Em seguida, verifique a lista de acesso da maneira a seguir:

ciscoasa# show run access-list access-list-name

access-list access-list-name extended permit ip any vpc_subnet subnet_mask

Por exemplo:

access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

3. Verifique se essa lista de acesso está correta. A lista de acesso de exemplo na etapa anterior permitetodo tráfego interno para a sub-rede da VPC 10.0.0.0/16.

4. Execute o comando traceroute no dispositivo Cisco ASA para ver se é possível alcançar os routers daAmazon (por exemplo, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

Se conseguir alcançar o roteador da Amazon, verifique as rotas estáticas que você adicionou noConsole de gerenciamento da AWS e também os grupos de segurança para instâncias específicas.

5. Para solucionar outros problemas, revise a configuração.

Solução de problemas de conectividade de gatewayde cliente do Cisco IOS

Ao solucionar um problema de conectividade em um gateway de cliente da Cisco, considere quatro fatores:IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas érecomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE

Provavelmente você verá uma ou mais linhas contendo um valor de src do gateway remoto especificadonos túneis. O state deve ser QM_IDLE e o status deve ser ACTIVE. A ausência de uma entrada, ou dequalquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.





177


IPsec


router# show crypto ipsec sa

interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:


protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26

178


Túnel

#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Para a interface de cada túnel, você deve ver inbound esp sas e outbound esp sas. Supondoque uma SA esteja listada (spi: 0xF95D2F3C, por exemplo) e o Status seja ACTIVE, o IPsec estaráconfigurado corretamente.

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.


Use o comando a seguir para desativar a depuração.


TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações,consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet (p. 11).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemascom o comando a seguir:

router# show interfaces tun1

179


BGP

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Verifique se o line protocol está em execução. Verifique se o endereço IP de origem, a interfacede origem e o destino correspondem respectivamente ao endereço IP externo do gateway do cliente, àinterface e ao endereço IP externo do gateway privado virtual na configuração do túnel. Verifique se oTunnel protection via IPSec está presente. Lembre-se de executar o comando em ambas asinterfaces do túnel. Para resolver qualquer problema aqui, revise a configuração e verifique as conexõesfísicas de seu gateway do cliente.

Além disso, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual.

router# ping 169.254.255.1 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Você deve ver cinco pontos de exclamação.

Para solucionar outros problemas, revise a configuração.

BGPUse o seguinte comando:

router# show ip bgp summary

BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory

180


Conexão de um gateway privado virtual

0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1

Aqui, ambos os vizinhos deve ser listados. Para cada um, você verá o valor de State/PfxRcd de 1.

Se o pareamento BGP estiver ativo, verifique se o router do gateway do cliente está anunciando a rotapadrão (0.0.0.0/0) para a VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes

For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i

Total number of prefixes 1

Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual.

router# show ip route bgp

10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20


Conexão de um gateway privado virtualConfirme se o gateway privado virtual está anexado à sua VPC. Sua equipe de integração faz isso pormeio do Console de gerenciamento da AWS.

Se você tiver dúvidas ou precisar de mais assistência, use o Amazon VPC forum.

Solução de problemas de gateway de cliente doCisco IOS sem conectividade de protocolo degateway de borda

Ao solucionar um problema de conectividade em um gateway de cliente da Cisco, considere três fatores:IKE, IPsec e túnel. É possível solucionar problemas nessas áreas em qualquer sequência, mas érecomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

181

https://forums.aws.amazon.com/forum.jspa?forumID=58


IKE


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE

Provavelmente você verá uma ou mais linhas contendo um valor de src do gateway remoto especificadonos túneis. O state deve ser QM_IDLE e o status deve ser ACTIVE. A ausência de uma entrada, ou dequalquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.






router# show crypto ipsec sa



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189)

182


IPsec

IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

183


Túnel

outbound pcp sas:

Para a interface de cada túnel, você deve ver esp sas de entrada e esp sas de saída. Nesse caso,pressupõe-se que uma SA esteja listada (por exemplo, spi: 0x48B456A6), o status seja ACTIVE e oIPsec esteja configurado corretamente.





TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações,consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet (p. 11).


router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Verifique se o protocolo de linha está em execução. Verifique se o endereço IP de origem, a interface deorigem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externodo gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual. Verifique se oTunnel protection through IPSec está presente. Lembre-se de executar o comando em ambas asinterfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicasde seu gateway do cliente.

Você pode também usar o comando a seguir e substituir 169.254.249.18 pelo endereço IP interno deseu gateway privado virtual.

184


Túnel

router# ping 169.254.249.18 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Você deve ver cinco pontos de exclamação.

RoteamentoPara ver sua tabela de rotas estáticas, use o comando a seguir:

router# sh ip route static

1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2

Você verá que existe uma rota estática para o CIDR da VPC por meio de ambos os túneis. Se não houver,adicione as rotas estáticas mostradas aqui:

router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200

Verificação do monitor de SLArouter# show ip sla statistics 100

IPSLAs Latest Operation Statistics

IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

router# show ip sla statistics 200

IPSLAs Latest Operation Statistics

IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

O valor de "Number of successes" indica se o monitor de SLA foi configurado com êxito.


185



Conexão de um gateway privado virtualVerifique se o gateway privado virtual está conectado à VPC. Sua equipe de integração faz isso por meiodo Console de gerenciamento da AWS.

Se você tiver dúvida ou precisar de maior assistência, use o Amazon VPC forum.

Solução de problemas de conectividade de gatewayde cliente do Juniper JunOS

Ao solucionar um problema de conectividade em um gateway de cliente da Juniper, considere quatrofatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência,mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.


user@router> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main

Provavelmente você verá uma ou mais linhas contendo um endereço remoto do gateway remotoespecificado nos túneis. O State deve ser UP. A ausência de uma entrada, ou de qualquer entrada emoutro estado (como DOWN), indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, ative as opções de rastreamento de IKE, tal como recomendadonas informações de configuração de exemplo (consulte Exemplo: dispositivo Juniper J-Series com oJunOS (p. 105)). Em seguida, execute o comando a seguir para imprimir na tela uma variedade demensagens de depuração.

user@router> monitor start kmd

Em um host externo, é possível recuperar o arquivo de log completo com o comando a seguir:

scp [email protected]:/var/log/kmd


user@router> show security ipsec security-associations

Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0

186



Túnel

>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0

Mais especificamente, você deve ver pelo menos duas linhas por endereço de gateway (correspondentesao gateway remoto). Observe os operadores maior e menor no início de cada linha (< >) que indicam adireção do tráfego para a entrada específica. A saída tem linhas distintas para tráfego de entrada ("<",tráfego do gateway privado virtual para esse gateway de cliente) e tráfego de saída (">").

Para solucionar outros problemas, ative as opções de rastreamento de IKE (para obter mais informações,consulte a seção precedente sobre IKE).

TúnelPrimeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma listade regras, consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet (p. 11).


user@router> show interfaces st0.1

Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2

Confirme se Security: Zone está correto e o endereço Local corresponde ao túnel do gateway decliente dentro do endereço.

Em seguida, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.

user@router> ping 169.254.255.1 size 1382 do-not-fragment

PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms



user@router> show bgp summary

Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...

187


BGP

169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0

Para solucionar outros problemas, use o comando a seguir e substitua 169.254.255.1 pelo endereço IPinterno de seu gateway privado virtual.

user@router> show bgp neighbor 169.254.255.1

Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0

Aqui você deve visualizar Received prefixes e Advertised prefixes listados com 1. Isso deverestar dentro da seção Table inet.0.

Se o State não for Established, verifique o Last State e o Last Error para obter detalhes sobre oque é necessário para corrigir o problema.


user@router> show route advertising-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path

188



* 0.0.0.0/0 Self I

Além disso, verifique se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual.

user@router> show route receive-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I



Solução de problemas de conectividade de gatewayde cliente do Juniper ScreenOS

Ao solucionar um problema de conectividade em um gateway de cliente do Juniper ScreenOS, considerequatro fatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquersequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

IKE e IPsecUse o seguinte comando. A resposta mostra um gateway de cliente com o IKE configurado corretamente.

ssg5-serial-> get sa

total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Provavelmente você verá uma ou mais linhas contendo um endereço remoto do gateway remotoespecificado nos túneis. O valor Sta deve ser A/- e o SPI deve ser um número hexadecimal diferente de00000000. As entradas em outros estados indicam que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, ative as opções de rastreamento de IKE, tal como recomendado nasinformações de configuração de exemplo (consulte Exemplo: Dispositivo Juniper ScreenOS (p. 125)).

TúnelPrimeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma listade regras, consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet (p. 11).


189



BGP

ssg5-serial-> get interface tunnel.1

Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1

Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN

pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Confirme se link:ready está presente e o endereço IP corresponde ao endereço interno do túnel dogateway de cliente.

Em seguida, use o comando a seguir e substitua 169.254.255.1 pelo endereço IP interno de seugateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.

ssg5-serial-> ping 169.254.255.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms



ssg5-serial-> get vrouter trust-vr protocol bgp neighbor

Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

Ambos os peers de BGP devem estar listados como State: ESTABLISH, o que significa que a conexão deBGP com o gateway privado virtual está ativa.

190


BGP

Para solucionar outros problemas, use o comando a seguir e substitua 169.254.255.1 pelo endereço IPinterno de seu gateway privado virtual.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1

peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds

Se o pareamento BGP estiver ativo, verifique se o router do gateway do cliente está anunciando a rotapadrão (0.0.0.0/0) para a VPC. Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1

Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual. Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1

191





Solução de problemas de conectividade de gatewayde cliente da Yamaha

Ao solucionar um problema de conectividade em um gateway de cliente da Yamaha, considere quatrofatores: IKE, IPsec túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência,mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.


# show ipsec sa gateway 1

sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1

Provavelmente você verá uma linha contendo um valor remote-id do gateway remoto especificado nostúneis. Você pode listar todas as associações de segurança (SAs) omitindo o número de túneis.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log de nívelde DEPURAÇÃO que fornecem informações de diagnóstico.

# syslog debug on# ipsec ike log message-info payload-info key-info

Para cancelar os itens registrados, use o comando a seguir:

# no ipsec ike log# no syslog debug on


# show ipsec sa gateway 1 detail

SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **

192



Túnel

----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------

Para a interface de cada túnel, você deve ver receive sas e send sas.


# syslog debug on# ipsec ike log message-info payload-info key-info

Use o comando a seguir para desativar a depuração.

# no ipsec ike log# no syslog debug on

TúnelPrimeiro, verifique se você implementou as regras de firewall necessárias. Para obter uma lista de regras,consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e a Internet (p. 11).


# show status tunnel 1

TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]

193


BGP

Verifique se o valor de current status é online e se Interface type é IPsec. Lembre-se deexecutar o comando em ambas as interfaces do túnel. Para solucionar qualquer problema aqui, revise aconfiguração.


# show status bgp neighbor

BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:

Aqui, ambos os vizinhos deve ser listados. Para cada um, você verá o valor Active em BGP state.


# show status bgp neighbor 169.254.255.1 advertised-routes

Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP

Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privadovirtual.

# show ip route

Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124


194



Conexão de um gateway privado virtualConfirme se o gateway privado virtual está anexado à sua VPC. Sua equipe de integração faz isso pormeio do Console de Gerenciamento da AWS.


Solução de problemas de conectividade de gatewayde cliente em dispositivo genérico usando oprotocolo de gateway de borda

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas de gatewayde cliente que usa o protocolo de gateway de borda (BGP, Border Gateway Protocol) em dispositivosdiferentes dos listados neste guia.

Tip

Ao solucionar problemas, é provável que você considere útil ativar os recursos de depuração dodispositivo do gateway. Consulte o fornecedor do dispositivo do gateway para obter informaçõesdetalhadas.

195


Amazon Virtual Private CloudGuia do administrador de redesConectividade de gateway decliente em dispositivo genérico

196

Amazon Virtual Private CloudGuia do administrador de redesConectividade de gateway decliente em dispositivo genérico

Determine se existe uma associação de segurança IKE.

A associação de segurança IKE é necessária para trocar chaves usadas para estabelecera associação de segurança IPsec.

Se não houver nenhuma associação de segurança IKE, revise as definições deconfiguração de IKE. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se houver uma associação de segurança IKE, passe para IPsec.

Determine se existe uma associação de segurança IPsec.

Uma associação de segurança IPsec é o túnel em si. Examine o gateway do cliente paradeterminar se a associação de segurança IPsec está ativa. A configuração apropriada daSA IPsec é essencial. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se não houver nenhuma associação de segurança IPsec, revise as definições deconfiguração de IPsec.

Se houver uma associação de segurança IPsec, passe para o túnel.

Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista deregras, consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e aInternet (p. 11)). Se não, prossiga.

Determine se existe conectividade IP por meio do túnel.

Cada lado do túnel tem um endereço IP tal como especificado na configuração do gatewayde cliente. O endereço do gateway privado virtual é endereço usado como endereço devizinho BGP. No gateway do cliente, execute ping nesse endereço para determinar se otráfego de IP está sendo criptografado descriptografado apropriadamente.

Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se oendereço IP apropriado está configurado.

Se o ping tiver êxito, prossiga para o BGP.

Determine se o pareamento BGP está ativo.

Para cada túnel, faça o seguinte:

• No gateway do cliente, determine se o status do BGP é Active ou Established.Pode levar aproximadamente 30 segundos para uma sessão de BGP entre pares ficarativa.

• Confirme se o gateway do cliente está anunciando a rota padrão (0.0.0.0/0) gatewayprivado virtual.

Se os túneis não estiverem nesse estado, revise a configuração do BGP.

Se a sessão de BGP entre pares for estabelecida e você estiver recebendo um prefixoe anunciando um prefixo, isso quer dizer que o túnel está configurado corretamente.Verifique se ambos os túneis estão nesse estado. Se sim, você terá terminado.

197


Conectividade de gateway de clienteem dispositivo genérico (com BGP)

Confirme se o gateway privado virtual está anexado à sua VPC. Sua equipe de integraçãofaz isso por meio do Console de gerenciamento da AWS.

Para obter instruções gerais de teste aplicáveis a todos os gateways de cliente, consulte Como testar aconfiguração do gateway do cliente (p. 165).


Solução de problemas de conectividade de gatewayde cliente em dispositivo genérico sem o protocolode gateway de borda

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas para umdispositivo de gateway de cliente que não usa o protocolo de gateway de borda (BGP, Border GatewayProtocol).

Tip

Ao solucionar problemas, é provável que você considere útil ativar os recursos de depuração dodispositivo do gateway. Consulte o fornecedor do dispositivo do gateway para obter informaçõesdetalhadas.

198




199



Determine se existe uma associação de segurança IKE.

A associação de segurança IKE é necessária para trocar chaves usadas para estabelecera associação de segurança IPsec.

Se não houver nenhuma associação de segurança IKE, revise as definições deconfiguração de IKE. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se houver uma associação de segurança IKE, passe para IPsec.

Determine se existe uma associação de segurança IPsec.

Uma associação de segurança IPsec é o túnel em si. Examine o gateway do cliente paradeterminar se a associação de segurança IPsec está ativa. A configuração apropriada daSA IPsec é essencial. Você deve configurar os parâmetros de criptografia, autenticação,sigilo de encaminhamento perfeito e modo, tal como listado na configuração de gatewayde cliente.

Se não houver nenhuma associação de segurança IPsec, revise as definições deconfiguração de IPsec.

Se houver uma associação de segurança IPsec, passe para o túnel.

Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista deregras, consulte Configurar um firewall entre o seu dispositivo de gateway do cliente e aInternet (p. 11)). Se não, prossiga.

Determine se existe conectividade IP por meio do túnel.

Cada lado do túnel tem um endereço IP tal como especificado na configuração do gatewayde cliente. O endereço do gateway privado virtual é endereço usado como endereço devizinho BGP. No gateway do cliente, execute ping nesse endereço para determinar se otráfego de IP está sendo criptografado descriptografado apropriadamente.

Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se oendereço IP apropriado está configurado.

Se o ping tiver êxito, prossiga para roteamento.

Rotasestáticas

Roteamento:

Para cada túnel, faça o seguinte:

• Verifique se você adicionou uma rota estática ao CIDR da VPC com os túneis como osalto seguinte.

• Verifique se você adicionou uma rota estática ao Console de gerenciamento da AWSpara informar o VGW para rotear o tráfego de volta para suas redes internas.

Se os túneis não estiverem nesse estado, revise a configuração de seu dispositivo.

Verifique se ambos os túneis estão nesse estado. Se sim, você terá terminado.

Confirme se o gateway privado virtual está anexado à sua VPC. Sua equipe de integraçãofaz isso no Console de gerenciamento da AWS.

200




201



Configuração do Windows Server

Configurar o Windows Server 2008R2 como dispositivo de gateway docliente

É possível configurar o Windows Server 2008 R2 como um dispositivo de gateway do cliente para a VPC.Use o processo a seguir se estiver executando o Windows Server 2008 R2 em uma instância do EC2, emuma VPC ou em seu próprio servidor.

Tópicos• Configuração do Windows Server (p. 202)• Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 203)• Etapa 2: fazer download do arquivo de configuração para a conexão VPN (p. 204)• Etapa 3: configurar o Windows Server (p. 206)• Etapa 4: configurar o túnel de VPN (p. 207)• Etapa 5: habilitar a detecção de gateway inativo (p. 214)• Etapa 6: testar a conexão VPN (p. 214)

Configuração do Windows ServerPara configurar o Windows Server como um dispositivo de gateway do cliente, verifique se o WindowsServer 2008 R2 está instalado na sua própria rede ou em uma instância do EC2 em uma VPC. Se usaruma instância do EC2 executada de uma AMI do Windows, faça o seguinte:

• Desative a verificação de origem/destino da instância:1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione a instância do Windows Server e escolha Actions, Networking, Change Source/Dest.

Check. Escolha Yes, Disable.• Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:

1. Conecte-se à sua instância do Windows. Para obter mais informações, acesse Connecting to YourWindows Instance.

2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.3. Expanda o nó Adaptadores de rede.4. Abra o menu de contexto (clique com o botão direito do mouse) para o adaptador de rede Citrix ou

AWS PV e escolha Properties (Propriedades).5. Na guia Advanced, desative as propriedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4)

e UDP Checksum Offload (IPv4) e escolha OK.• Associe um endereço IP elástico à instância:

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Elastic IPs (IPs elásticos). Escolha Allocate new address.3. Selecione o endereço IP elástico e escolha Actions, Associate Address.

202

https://console.aws.amazon.com/ec2/

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html




Etapa 1: Criar uma conexão VPN e configurar a VPC

4. Para Instance, selecione a instância do Windows Server. Escolha Associate.

Anote este endereço; ele será necessário quando você criar o gateway do cliente na sua VPC.• Verifique se as regras do security group da instância permitem tráfego IPsec de saída. Por padrão, um

security group permite todos os tráfegos de saída; entretanto, se as regras de saída do security grouptiverem sido modificadas em relação ao seu estado original, você deve criar as regras personalizadas deprotocolo de saída a seguir para tráfego IPsec: protocolo IP 50, protocolo IP 51 e UDP 500.

Anote o intervalo de CIDRs da rede na qual o servidor Windows está localizado; por exemplo,172.31.0.0/16.

Etapa 1: Criar uma conexão VPN e configurar aVPC

Para criar uma conexão VPN na VPC, você deve primeiro criar um gateway privado virtual e associá-loà VPC. Em seguida, você pode criar uma conexão VPN e configurar a VPC. Você precisa ter o intervaloCIDR da rede na qual o servidor Windows está localizado; por exemplo, 172.31.0.0/16.

Criar um gateway privado virtual

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Gateways privados virtuais e Criar gateways privados virtuais.3. Opcionalmente, digite um nome para o gateway privado virtual e, em seguida, selecione Yes, Create.4. Selecione o gateway privado virtual criado e, em seguida, escolha Attach to VPC.5. Na caixa de diálogo Attach to VPC, escolha a VPC da lista e selecione Yes, Attach.

Para criar uma conexão VPN

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Conexões VPN e Criar conexão VPN.3. Selecione o gateway privado virtual na lista.4. Para Customer Gateway, escolha New. Para IP address, especifique o endereço IP público do

Windows Server.

Note

O endereço IP deve ser estático e pode estar subjacente a um dispositivo que estejaexecutando conversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T)possa funcionar, você deve ajustar suas regras de firewall para desbloquear a porta UDP4500. Se o dispositivo de gateway do cliente for uma instância do Windows Server do EC2,use seu endereço IP elástico.

5. Selecione a opção de roteamento Static, insira os valores de Static IP Prefixes para sua rede nanotação CIDR e escolha Yes, Create.

Para configurar a VPC

• Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para inicializar instâncias que secomunicarão com o servidor Windows. Para obter mais informações, consulte Adding a Sub-rede to YourVPC.

203

https://console.aws.amazon.com/vpc/


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#AddaSubnet



Etapa 2: fazer download do arquivode configuração para a conexão VPN

Note

Uma sub-rede privada é uma sub-rede que não tem uma rota para um gateway da Internet. Oroteamento para esta sub-rede é descrito no próximo item.

• Atualize as tabelas de rotas para a conexão VPN:• Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como

destino e a rede (intervalo CIDR) do servidor Windows como destino.• Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte

Tabelas de rotas no Guia do usuário da Amazon VPC.• Crie uma configuração de um security group para suas instâncias que permita a comunicação entre a

rede e sua VPC:• Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você

se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores emsua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSHe o conjunto de fontes para o intervalo CIDR de sua rede; por exemplo, 172.31.0.0/16. Para obtermais informações, consulte Grupos de segurança para sua VPC no Guia do usuário da Amazon VPC.

• Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você testesua conexão VPN executando ping em uma instância em sua VPC em seu servidor Windows.

Etapa 2: fazer download do arquivo de configuraçãopara a conexão VPN

Você pode usar o console da Amazon VPC para fazer download de um arquivo de configuração doservidor Windows para sua conexão VPN.

Para fazer download do arquivo de configuração

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN Connections (Conexões VPN).3. Selecione sua conexão VPN e escolha Download Configuration (Fazer download da configuração).4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2008 R2 como software.

Escolha Yes, Download. Você pode abrir ou salvar o arquivo.

O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essasinformações serão apresentadas duas vezes, uma vez para cada túnel. Utilize-as para configurar oservidor Windows Server 2008 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

O endereço IP do dispositivo de gateway do cliente — nesse caso, o servidor Windows — que encerraa conexão VPN em sua rede. Se o dispositivo de gateway do cliente for uma instância do servidorWindows, esse será o endereço IP privado da instância.

204

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html




Remote Tunnel Endpoint

Um dos dois endereços IP para o gateway privado virtual que encerra a conexão VPN na AWS.Endpoint 1

O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IPem sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.

Endpoint 2

O intervalo de endereço IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo,10.0.0.0/16).

Preshared key

A chave pré-compartilhada que é usada para estabelecer a conexão VPN de IPsec entre LocalTunnel Endpoint e Remote Tunnel Endpoint.

É aconselhável configurar ambos os túneis como parte da conexão VPN. Cada túnel conecta-se com umconcentrador VPN separado em sua conexão VPN na Amazon. Embora somente um túnel por vez fiqueativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garante adisponibilidade contínua em caso de falha em um dispositivo. Pelo fato de somente um túnel por vez estardisponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento éesperado, nenhuma ação é necessária de sua parte.

Com dois túneis configurados, se houver uma falha de dispositivo dentro da AWS, sua conexão VPNexecutará failover automaticamente no segundo túnel do gateway privado virtual da AWS em questão deminutos. Ao configurar o dispositivo de gateway do cliente, é importante configurar ambos os túneis.

Note

De vez em quando, a AWS realiza manutenção de rotina no gateway privado virtual. Essamanutenção pode desativar um dos dois túneis da conexão VPN durante um breve espaçode tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquantorealizamos essa manutenção.

Outras informações sobre o IKE (Internet Key Exchange) e associações de segurança (SA) IPsec sãoapresentadas no arquivo de configuração baixado. Como as configurações sugeridas VPN da VPC sãoiguais às definições de configuração padrão de IPsec do Windows Server 2008 R2, um trabalho mínimo énecessário de sua parte.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2

MainModeSecMethods

Os algoritmos de criptografia e autenticação da SA IKE. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2008 R2.

MainModeKeyLifetime

Vida útil da chave SA IKE. Esta é a configuração sugerida para a conexão VPN e é a configuraçãopadrão para conexões VPN IPsec do Windows Server 2008 R2.

QuickModeSecMethods

Os algoritmos de criptografia e autenticação da SA IPsec. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2008 R2.

205


Etapa 3: configurar o Windows Server

QuickModePFS

É aconselhável usar a chave mestra sigilo de encaminhamento perfeito (PFS) para as sessões IPsec.

Etapa 3: configurar o Windows ServerAntes de configurar o túnel VPN, você precisa instalar e configurar os Serviços de Roteamento e AcessoRemoto no servidor Windows. Isso permite que os usuários remotos acessem os recursos na rede.

Para instalar os Serviços de Roteamento e Acesso Remoto no Windows Server 2008 R2

1. Conecte-se ao servidor Windows Server 2008 R2.2. Escolha Iniciar, Todos os Programas, Ferramentas Administrativas, Gerenciador de Servidores.3. Instale Serviços de Roteamento e Acesso Remoto:

a. No painel de navegação do Gerenciador de Servidores, escolha Funções.b. No painel Funções, escolha Adicionar Funções.c. Na página Antes de começar, verifique se seu servidor atende aos pré-requisitos e escolha

Próximo.d. Na página Selecionar Funções do Servidor, escolha Serviços de Acesso e Diretiva de Rede,

Próximo.e. Na página Network Policy and Access Services, escolha Next.f. Na página Selecionar Serviços de Função, escolha Serviços de Roteamento e Acesso Remoto,

deixe Serviço de Acesso Remoto e Roteamento selecionados e, em seguida, escolha Próximo.

g. Na página Confirmar Seleções de Instalação, escolha Instalar.h. Quando o assistente chegar ao fim, escolha Fechar.

Para configurar e ativar o Servidor de Roteamento e Acesso Remoto

1. No painel de navegação do Gerenciador de Servidores, escolha Funções, Acesso e Diretiva de Rede.

206


Etapa 4: configurar o túnel de VPN

2. Abra o menu de contexto (clique com o botão direito do mouse) de Servidor de Roteamento e AcessoRemoto e escolha Configurar e Habilitar Roteamento e Acesso Remoto.

3. Em Assistente para Configuração do Servidor de Roteamento e Acesso Remoto, na página de Boas-vindas, escolha Próximo.

4. Na página Configuração, escolha Configuração Personalizada, Próximo.5. Escolha LAN routing (Roteamento de LAN), Próximo.6. Escolha Finish.7. Quando solicitado pela caixa de diálogo Routing and Remote Access, escolha Start service.

Etapa 4: configurar o túnel de VPNVocê pode configurar o túnel de VPN executando os scripts netsh incluídos no arquivo de configuraçãobaixado ou usando o Assistente para Nova Regra de Segurança de Conexão no servidor Windows.

Important

É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra para as sessões IPsec. Entretanto, não é possível ativar o PFS usando a interfacede usuário do Windows Server 2008 R2; só é possível ativar essa configuração executando oscript netsh com qmpfs=dhgroup2. Por isso, você deve considerar seus requisitos primeiro paraescolher uma opção.

Opção 1: Executar script netshCopie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se umexemplo de script.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix Êndpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: Você pode substituir o nome sugerido (VGW-1a2b3c4d Tunnel 1) por um nome de sua escolha.

LocalTunnelEndpoint: digite o endereço IP privado do servidor Windows na sua rede.

Endpoint1: o bloco CIDR da sua rede em que o servidor Windows reside, por exemplo, 172.31.0.0/16.

Endpoint2: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, 10.0.0.0/16.

Execute o script atualizado em uma janela do prompt de comando. (O sinal ^ permite que você corte e coleo texto contornado na linha de comando.) Para configurar o segundo túnel VPN para essa conexão VPN,repita o processo usando o segundo script netsh no arquivo de configuração.

Quando terminar, vá para 2.4: Configurar o Firewall do Windows (p. 212).

Para obter mais informações sobre os parâmetros netsh, vá para Netsh AdvFirewall Consec Commands naMicrosoft TechNet Library.

207

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set


Opção 2: usar a interface de usuário do servidor Windows

Opção 2: usar a interface de usuário do servidorWindowsVocê pode também usar a interface de usuário do servidor Windows para configurar o túnel VPN. Estaseção o conduz ao longo das etapas.

Important

Você não pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra usando a interface de usuário do Windows Server 2008 R2. Por isso, se decidir usaro PFS, deverá usar os scripts netsh descritos na opção 1, e não a interface de usuário descritanesta opção.

• 2.1: Configurar uma regra de segurança para um túnel VPN (p. 208)• 2.3: Confirmar a configuração do túnel (p. 212)• 2.4: Configurar o Firewall do Windows (p. 212)

2.1: Configurar uma regra de segurança para um túnel VPNNesta seção, você configurará uma regra de segurança em seu servidor Windows para criar um túnel VPN.

Para configurar uma regra de segurança para um túnel VPN

1. No painel de navegação do Gerenciador de Servidores, expanda Configuração e depois expandaFirewall do Windows com Segurança Avançada.

2. Abra o menu de contexto (clique com o botão direito do mouse) em Regras de Segurança da Conexãoe escolha Nova Regra.

3. No assistente Nova Regra de Segurança da Conexão, na página Tipo de Regra, escolha Túnel ePróximo.

4. Na página Tunnel Type (Tipo de túnel), em What type of tunnel would you like to create (Qual tipo detúnel gostaria de criar), selecione Custom Configuration (Configuração personalizada). Em Gostariade isentar as conexões protegidas por IPsec deste túnel, deixe o valor padrão marcado selecionado(Não. Envie todo o tráfego de rede correspondente a essa regra de segurança de conexão pelo túnel)e escolha Próximo.

5. Na página Requirements, escolha Require authentication for inbound connections. Do not establishtunnels for outbound connections e Next.

208



6. Na página Tunnel Endpoints, em Which computers are in Endpoint 1, escolha Add. Digite o intervaloCIDR de rede (atrás do dispositivo de gateway do cliente do servidor Windows) e selecione OK. Ointervalo pode incluir o endereço IP do dispositivo de gateway do cliente.

7. Em What is the local tunnel endpoint (closest to computer in Endpoint 1), escolha Edit. Digite oendereço IP privado de seu servidor Windows e, em seguida, escolha OK.

8. Em What is the remote tunnel endpoint (closest to computers in Endpoint 2), escolha Edit. Digiteo endereço IP do gateway privado virtual do túnel 1 do arquivo de configuração (consulte RemoteTunnel Endpoint) e escolha OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar oendpoint para o túnel 2.

9. Em Which computers are in Endpoint 2, escolha Add. Insira o bloco CIDR de sua VPC e escolha OK.

Important

Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are inEndpoint 2. Não escolha Next até ter concluído esta etapa, caso contrário, não poderá seconectar ao servidor.

209



10. Confirme que todas as configurações que você especificou estão corretas e escolha Próximo.11. Na página Método de Autenticação, selecione Avançado, Personalizar.12. Em First authentication methods, escolha Add.13. Selecione Chave pré-compartilhada, digite o valor da chave pré-compartilhada do arquivo de

configuração e escolha OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar achave pré-compartilhada para o túnel 2.

210



14. Certifique-se de que First authentication is optional não esteja selecionada e escolha OK.15. Na página Método de Autenticação, escolha Próximo.16. Na página Perfil, marque todas as três caixas de seleção: Domínio, Privado e Público. Escolha Next.17. Na página Nome, digite um nome para sua regra de conexão e escolha Concluir.

Repita o procedimento anterior e especifique os dados para o túnel 2 de seu arquivo de configuração.

Assim que concluir, terá dois túneis configurados para sua conexão VPN.

211



2.3: Confirmar a configuração do túnelPara confirmar a configuração do túnel

1. No painel de navegação do Gerenciador de Servidores, expanda o nó Configuração, expanda Firewalldo Windows com Segurança Avançada e escolha Regras de Segurança de Conexão.

2. Verifique o seguinte para os dois túneis:

• Enabled (Habilitado) está como Yes.• Authentication mode (Modo de autenticação) é Require inbound and clear outbound.• Authentication method (Método de autenticação) é Custom.• Endpoint 1 port (Porta do endpoint 1) é Any.• Endpoint 2 port (Porta do endpoint 2) é Any.• Protocol (Protocolo) é Any.

3. Clique duas vezes na regra de segurança de seu primeiro túnel.4. Na guia Computadores, verifique o seguinte:

• Em Ponto de extremidade 1, o intervalo do bloco CIDR corresponde ao intervalor do bloco CIDR desua rede.

• Em Ponto de extremidade 2, o intervalo do bloco CIDR corresponde ao intervalor do bloco CIDR desua VPC.

5. Na tabela Autenticação, em Método, escolha Personalizar e verifique se Primeiros métodos deautenticação contém a chave pré-compartilhada correta do arquivo de configuração para o túnel.Escolha OK.

6. Na guia Advanced (Avançado), verifique se Domain (Domínio), Private (Privado) e Public (Público)estão todos selecionados.

7. Em IPsec tunneling, escolha Customize. Verifique as configurações a seguir de encapsulamentoIPsec.

• Use IPsec tunneling (Usar encapsulamento IPsec) está selecionada.• Ponto de extremidade do túnel local (mais próximo ao Ponto de Extremidade 1) contém o endereço

IP seu servidor. Se o dispositivo de gateway do cliente for uma instância do servidor Windows, esseserá o endereço IP privado da instância.

• Remote tunnel endpoint (closest to Endpoint 2) (Ponto de extremidade de túnel remoto [maispróximo ao Ponto de Extremidade 2]) contém o endereço IP do gateway privado virtual para essetúnel.

8. Clique duas vezes na regra de segurança de seu segundo túnel. Repita as etapas 4 a 7 para essetúnel.

2.4: Configurar o Firewall do WindowsAssim que configurar suas regras de segurança em seu servidor, defina algumas configurações básicas deIPsec para trabalhar com o gateway privado virtual.

Para configurar o Firewall do Windows

1. No painel de navegação do Gerenciador de Servidores, abra o menu de contexto (clique com o botãodireito do mouse) em Firewall do Windows com Segurança Avançada e escolha Propriedades.

2. Escolha Configurações de IPsec.3. Em Isenções IPsec, verifique se Isentar ICMP de IPsec está definida como Não (padrão). Verifique se

Autorização de túnel IPsec está definida como Nenhuma.4. Em IPsec defaults, escolha Customize.

212



5. Na caixa de diálogo Personalizar Configurações de IPsec, em Troca de Chaves (Modo Principal),selecione Avançadas e escolha Personalizar.

6. Em Customize Advanced Key Exchange Settings, sob Security methods, verifique se os valorespadrão são usados para a primeira entrada.

• Integridade: SHA-1• Criptografia: AES-CBC 128• Algoritmo de troca de chaves: Grupo Diffie-Hellman 2• Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.

Essas configurações correspondem às seguintes entradas no arquivo de configuração:

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

7. Em Key exchange options, selecione Use Diffie-Hellman for enhanced security e escolha OK.8. Em Proteção de dados (Modo Rápido), escolha Avançado e Personalizar.9. Escolha Exigir criptografia para todas as regras de segurança de conexão que usam estas

configurações.10. Em Integridade e criptografia de dados, deixe os valores padrão:

• Protocolo: ESP• Integridade: SHA-1• Criptografia: AES-CBC 128• Tempo de vida: 60 minutos

Esses valores correspondem às entradas a seguir no arquivo de configuração.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb

213


Etapa 5: habilitar a detecção de gateway inativo

11. Para retornar à caixa de diálogo Personalizar Configurações de IPsec, escolha OK. Escolha OK.

Etapa 5: habilitar a detecção de gateway inativoEm seguida, configure o TCP para detectar quando um gateway fica indisponível. Você pode fazerisso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seções precedentes. Assim que alterar achave de registro, deverá reinicializar o servidor.

Para habilitar a detecção de gateway inativo

1. No servidor, escolha Iniciar e digite regedit para iniciar o Editor de Registro.2. Expanda HKEY_LOCAL_MACHINE, Sistema, CurrentControlSet, Serviços, Tcpip e Parâmetros.3. No outro painel, abra o menu de contexto (clique com o botão direito do mouse) em Novo e selecione

Valor DWORD (32 bits).4. Digite o nome EnableDeadGWDetect.5. Abra o menu de contexto (clique com o botão direito do mouse) em EnableDeadGWDetect e escolha

Modificar.6. Em Dados de valor, digite 1 e escolha OK.7. Feche o Editor de Registro e reinicialize o servidor.

Para obter mais informações, vá para EnableDeadGWDetect em Biblioteca do TechNet da Microsoft.

Etapa 6: testar a conexão VPNPara testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC egaranta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping norespectivo endereço IP privado em seu servidor Windows. O túnel VPN aparece quando é gerado tráfegono dispositivo de gateway do cliente, portanto, o comando ping também inicia a conexão VPN.

Para executar uma instância em sua VPC e obter o respectivo endereço IP privado

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione Launch Instance (Executar instância).3. Selecione uma AMI do Amazon Linux e um tipo de instância.4. Na página Step3: Configure Instance Details (Etapa 3: Configurar detalhes da instância), em Network

(Rede), selecione sua VPC. Em Subnet (Sub-rede), selecione uma sub-rede. Verifique se selecionoua sub-rede privada que você configurou em Etapa 1: Criar uma conexão VPN e configurar aVPC (p. 203).

5. Na lista Auto-assign Public IP, certifique-se de que a configuração esteja definida como Disable.6. Escolha Next até você chegar à página Step 6: Configure Security Group. Você pode selecionar um

grupo de segurança existente que você configurou em Etapa 1: Criar uma conexão VPN e configurara VPC (p. 203). Você também pode criar um novo grupo de segurança e incluir uma regra de saídaque permite todo o tráfego ICMP do endereço IP do seu servidor Windows.

7. Conclua as demais etapas do assistente e execute sua instância.8. Na página Instances, selecione sua instância. Obtenha o endereço IP privado no campo Private IPs no

painel de detalhes.

Conecte ou faça login no servidor Windows, abra o prompt de comando e use o comando ping paraexecutar ping na sua instância usando seu endereço IP privado, por exemplo:

214

http://technet.microsoft.com/en-us/library/cc960464.aspx


Amazon Virtual Private CloudGuia do administrador de redesEtapa 6: testar a conexão VPN

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Se o comando ping falhar, verifique as seguintes informações:

• Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC.Se seu servidor Windows for uma instância do EC2, confirme se as regras de saída do respectivosecurity group permitem tráfego IPsec. Para obter mais informações, consulte Configuração do WindowsServer (p. 202).

• Confirme se o sistema operacional da instância em que você está executando ping está configuradapara responder a ICMP. Recomendamos que você use uma das AMIs do Amazon Linux.

• Se a instância em que estiver executando ping for uma instância Windows, conecte-se a ela e habiliteICMPv4 de entrada no Firewall do Windows.

• Verifique se configurou as tabelas de rotas corretamente para sua VPC ou sub-rede. Para obter maisinformações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 203).

• Se o dispositivo de gateway do cliente for uma instância do servidor Windows, verifique se vocêdesativou a verificação de origem/destino da instância. Para obter mais informações, consulteConfiguração do Windows Server (p. 202).

No console da Amazon VPC, na página VPN Connections, selecione sua conexão VPN. O primeiro túnelencontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas ele só será usado se o primeiroficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.

215


Configuração do Windows Server

Configurar o Windows Server 2012R2 como um dispositivo de gatewaydo cliente

É possível configurar o Windows Server 2012 R2 como um dispositivo de gateway do cliente para a VPC.Use o processo a seguir se estiver executando o Windows Server 2012 R2 em uma instância do EC2, emuma VPC ou em seu próprio servidor.

Tópicos• Configuração do Windows Server (p. 216)• Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 217)• Etapa 2: fazer download do arquivo de configuração para a conexão VPN (p. 218)• Etapa 3: configurar o Windows Server (p. 220)• Etapa 4: configurar o túnel de VPN (p. 220)• Etapa 5: habilitar a detecção de gateway inativo (p. 226)• Etapa 6: testar a conexão VPN (p. 226)

Configuração do Windows ServerPara configurar o Windows Server como um dispositivo de gateway do cliente, verifique se o WindowsServer 2012 R2 está instalado na sua própria rede ou em uma instância do EC2 em uma VPC. Se usaruma instância do EC2 executada de uma AMI do Windows, faça o seguinte:

• Desative a verificação de origem/destino da instância:1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. Selecione a instância do Windows Server e escolha Actions, Networking, Change Source/Dest.

Check. Escolha Yes, Disable.• Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:

1. Conecte-se à sua instância do Windows. Para obter mais informações, acesse Connecting to YourWindows Instance.

2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.3. Expanda o nó Adaptadores de rede.4. Selecione o dispositivo de rede AWS PV, escolha Action e Properties.5. Na guia Advanced, desative as propriedades IPv4 Checksum Offload, TCP Checksum Offload (IPv4)

e UDP Checksum Offload (IPv4) e escolha OK.• Associe um endereço IP elástico à instância:

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Elastic IPs (IPs elásticos). Escolha Allocate new address.3. Selecione o endereço IP elástico e escolha Actions, Associate Address.

216






Etapa 1: Criar uma conexão VPN e configurar a VPC

4. Para Instance, selecione a instância do Windows Server. Escolha Associate.

Anote este endereço; ele será necessário quando você criar o gateway do cliente na sua VPC.• Verifique se as regras do security group da instância permitem tráfego IPsec de saída. Por padrão, um

security group permite todos os tráfegos de saída; entretanto, se as regras de saída do security grouptiverem sido modificadas em relação ao seu estado original, você deve criar as regras personalizadas deprotocolo de saída a seguir para tráfego IPsec: protocolo IP 50, protocolo IP 51 e UDP 500.

Anote o intervalo de CIDRs da rede na qual o servidor Windows está localizado; por exemplo,172.31.0.0/16.

Etapa 1: Criar uma conexão VPN e configurar aVPC

Para criar uma conexão VPN na VPC, você deve primeiro criar um gateway privado virtual e associá-loà VPC. Em seguida, você pode criar uma conexão VPN e configurar a VPC. Você precisa ter o intervaloCIDR da rede na qual o servidor Windows está localizado; por exemplo, 172.31.0.0/16.

Criar um gateway privado virtual

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Gateways privados virtuais, Criar gateways privados virtuais.3. Opcionalmente, digite um nome para o gateway privado virtual e selecione Yes, Create (Sim, criar).4. Selecione o gateway privado virtual criado e escolha Attach to VPC (Anexar à VPC).5. Na caixa de diálogo Attach to VPC (Anexar à VPC), selecione a VPC na lista e escolha Yes, Attach

(Sim, anexar).

Para criar uma conexão VPN

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Conexões VPN, Criar conexão VPN.3. Selecione o gateway privado virtual na lista.4. Para Customer Gateway, escolha New. Para IP address, especifique o endereço IP público do

Windows Server.

Note

O endereço IP deve ser estático e pode estar subjacente a um dispositivo que estejaexecutando conversão de endereços de rede (NAT). Para que o NAT Traversal (NAT-T) possa funcionar, você deve ajustar suas regras de firewall para desbloquear a portaUDP 4500. Se o gateway do cliente for uma instância do Windows Server do EC2, use seuendereço IP elástico.

5. Selecione a opção de roteamento Static, insira os valores de Static IP Prefixes para sua rede nanotação CIDR e escolha Yes, Create.

Para configurar a VPC

• Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para executar instâncias que secomunicarão com o servidor Windows. Para obter mais informações, consulte Adding a Sub-rede to YourVPC.

217







Note

Uma sub-rede privada é uma sub-rede que não tem uma rota para um gateway da Internet. Oroteamento para esta sub-rede é descrito no próximo item.

• Atualize as tabelas de rotas para a conexão VPN:• Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como

destino e a rede (intervalo CIDR) do servidor Windows como destino.• Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte

Tabelas de rotas no Guia do usuário da Amazon VPC.• Crie uma configuração de um security group para suas instâncias que permita a comunicação entre a

rede e sua VPC:• Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você

se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores emsua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSHe o conjunto de fontes para o intervalo CIDR de sua rede; por exemplo, 172.31.0.0/16. Para obtermais informações, consulte Grupos de segurança para sua VPC no Guia do usuário da Amazon VPC.

• Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você testesua conexão VPN executando ping em uma instância em sua VPC em seu servidor Windows.

Etapa 2: fazer download do arquivo de configuraçãopara a conexão VPN

Você pode usar o console da Amazon VPC para fazer download de um arquivo de configuração doservidor Windows para sua conexão VPN.

Para fazer download do arquivo de configuração

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPN Connections (Conexões VPN).3. Selecione sua conexão VPN e escolha Download Configuration (Fazer download da configuração).4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2012 R2 como software.

Escolha Yes, Download. Você pode abrir ou salvar o arquivo.

O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essasinformações serão apresentadas duas vezes, uma vez para cada túnel. Utilize-as para configurar oservidor Windows Server 2012 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

O endereço IP para o gateway do cliente — nesse caso, o servidor Windows — que encerra aconexão VPN em sua rede. Se seu gateway de cliente for uma instância do servidor Windows, esseserá o endereço IP privado da instância.

218

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html




Remote Tunnel Endpoint

Um dos dois endereços IP para o gateway privado virtual que encerra a conexão VPN do lado AWSda conexão.

Endpoint 1

O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IPem sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.

Endpoint 2

O intervalo de endereço IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo,10.0.0.0/16).

Preshared key

A chave pré-compartilhada que é usada para estabelecer a conexão VPN de IPsec entre LocalTunnel Endpoint e Remote Tunnel Endpoint.

É aconselhável configurar ambos os túneis como parte da conexão VPN. Cada túnel conecta-se com umconcentrador VPN separado em sua conexão VPN na Amazon. Embora somente um túnel por vez fiqueativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garantedisponibilidade contínua em caso de falha em um dispositivo. Pelo fato de somente um túnel por vez estardisponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento éesperado, nenhuma ação é necessária de sua parte.

Com dois túneis configurados, se houver uma falha de dispositivo dentro da AWS, sua conexão VPNexecutará failover automaticamente no segundo túnel do gateway privado virtual da AWS em questão deminutos. Ao configurar o dispositivo de gateway do cliente, é importante configurar ambos os túneis.

Note

De vez em quando, a AWS realiza manutenção de rotina no gateway privado virtual. Essamanutenção pode desativar um dos dois túneis da conexão VPN durante um breve espaçode tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquantorealizamos essa manutenção.

Outras informações sobre o IKE (Internet Key Exchange) e associações de segurança (SA) IPsec sãoapresentadas no arquivo de configuração baixado. Como as configurações sugeridas VPN da VPC sãoiguais às definições de configuração padrão de IPsec do Windows Server 2012 R2, um trabalho mínimo énecessário de sua parte.

MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2

MainModeSecMethods

Os algoritmos de criptografia e autenticação da SA IKE. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2012 R2.

MainModeKeyLifetime

Vida útil da chave SA IKE. Esta é a configuração sugerida para a conexão VPN e é a configuraçãopadrão para conexões VPN IPsec do Windows Server 2012 R2.

QuickModeSecMethods

Os algoritmos de criptografia e autenticação da SA IPsec. Essas configurações são sugeridas paraconexão VPN e são as configurações padrão para conexões VPN IPsec do Windows Server 2012 R2.

219


Etapa 3: configurar o Windows Server

QuickModePFS

É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra para as sessões IPsec.

Etapa 3: configurar o Windows ServerAntes de configurar o túnel VPN, você precisa instalar e configurar os Serviços de Roteamento e AcessoRemoto no servidor Windows. Isso permite que os usuários remotos acessem os recursos na rede.

Para instalar serviços de roteamento e acesso remoto no Windows Server 2012 R2

1. Conecte-se ao servidor Windows Server 2012 R2.2. Vá para o menu Start e escolha Server Manager.3. Instale Serviços de Roteamento e Acesso Remoto:

a. No menu Manage, escolha Add Roles and Features.b. Na página Before You Begin, verifique se seu servidor atende aos pré-requisitos e escolha Next.c. Escolha Role-based or feature-based installation e Next.d. Escolha Select a server from the server pool, selecione o servidor Windows 2012 R2 e clique em

Next.e. Selecione Network Policy and Access Services na lista. Na caixa de diálogo exibida, escolha Add

Features para confirmar os recursos necessários para esta função.f. Na mesma lista, escolha Acesso Remoto, Próximo.g. Na página Select features, escolha Next.h. Na página Network Policy and Access Services, escolha Next. Deixe Network Policy Server

selecionada e escolha Next.i. Na página Remote Access, escolha Next. Na página seguinte, selecione DirectAccess and VPN

(RAS). Na caixa de diálogo exibida, escolha Add Features para confirmar os recursos necessáriospara este serviço de função. Na mesma lista, selecione Routing e escolha Next.

j. Na página Web Server Role (IIS), escolha Next. Deixe a seleção padrão e escolha Next.k. Escolha Install. Quando a instalação terminar, escolha Close.

Para configurar e ativar o Servidor de Roteamento e Acesso Remoto

1. No painel, selecione Notifications (Notificações). Deve haver uma tarefa a ser concluída naconfiguração depois da implantação. Escolha o link Open the Getting Started Wizard.

2. Escolha Deploy VPN only.3. Na caixa de diálogo Routing and Remote Access, escolha o nome do servidor, selecione Action e

Configure and Enable Routing and Remote Access.4. Em Routing and Remote Access Server Setup Wizard, na primeira página, escolha Next.5. Na página Configuração, escolha Configuração Personalizada, Próximo.6. Escolha Roteamento de LAN, Próximo, Concluir.7. Quando solicitado pela caixa de diálogo Routing and Remote Access, escolha Start service.

Etapa 4: configurar o túnel de VPNVocê pode configurar o túnel de VPN, executando os scripts netsh incluídos no arquivo de configuraçãobaixado ou usando o Assistente para Nova Regra de Segurança de Conexão no servidor Windows.

220

Amazon Virtual Private CloudGuia do administrador de redesOpção 1: Executar script netsh

Important

É aconselhável usar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra para as sessões IPsec. Se executar o script netsh, ele incluirá um parâmetro parahabilitar o PFS (qmpfs=dhgroup2). Você não pode habilitar o PFS usando a interface de usuáriodo Windows Server 2012 R2 — é preciso habilitá-la usando a linha de comando.

Opção 1: Executar script netshCopie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se umexemplo de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" Ênable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix Êndpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: Você pode substituir o nome sugerido (vgw-1a2b3c4d Tunnel 1) por um nome de sua escolha.

LocalTunnelEndpoint: digite o endereço IP privado do servidor Windows na sua rede.

Endpoint1: o bloco CIDR da sua rede em que o servidor Windows reside, por exemplo, 172.31.0.0/16.

Endpoint2: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, 10.0.0.0/16.

Execute o script atualizado em uma janela do prompt de comando no servidor Windows. (O sinal ^ permiteque você corte e cole o texto contornado na linha de comando.) Para configurar o segundo túnel VPN paraessa conexão VPN, repita o processo usando o segundo script netsh no arquivo de configuração.

Quando terminar, vá para 2.4: Configurar o Firewall do Windows (p. 225).

Para obter mais informações sobre os parâmetros netsh, vá para Netsh AdvFirewall Consec Commands naMicrosoft TechNet Library.

Opção 2: usar a interface de usuário do servidorWindowsVocê pode também usar a interface de usuário do servidor Windows para configurar o túnel VPN. Estaseção o conduz ao longo das etapas.

Important

Você não pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) dachave mestra usando a interface de usuário do Windows Server 2012 R2. Você precisa habilitar oPFS usando a linha de comando, conforme descrito em Habilite o Perfect Forward Secrecy (PFS -Sigilo de encaminhamento perfeito) da chave mestra (p. 224).

Tópicos• 2.1: Configurar uma regra de segurança para um túnel VPN (p. 222)• 2.3: Confirmar a configuração do túnel (p. 224)

221

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx



• Habilite o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra (p. 224)

2.1: Configurar uma regra de segurança para um túnel VPNNesta seção, você configurará uma regra de segurança em seu servidor Windows para criar um túnel VPN.

Para configurar uma regra de segurança para um túnel VPN

1. Open Server Manager, escolha Tools e selecione Windows Firewall with Advanced Security.2. Selecione Connection Security Rules, escolha Action e New Rule.3. No assistente New Connection Security Rule (Nova Regra de Segurança de Conexão) da página Rule

Type (Tipo de regra), selecione Tunnel (Túnel) e Next (Próximo).4. Na página Tunnel Type (Tipo de túnel), em What type of tunnel would you like to create (Qual tipo de

túnel gostaria de criar), selecione Custom configuration (Configuração personalizada). Em Gostariade isentar as conexões protegidas por IPsec deste túnel, deixe o valor padrão marcado selecionado(Não. Envie todo o tráfego de rede correspondente a essa regra de segurança de conexão pelo túnel)e escolha Próximo.

5. Na página Requirements, escolha Require authentication for inbound connections. Do not establishtunnels for outbound connections e Next.

6. Na página Tunnel Endpoints, em Which computers are in Endpoint 1, escolha Add. Insira o intervaloCIDR da rede (atrás do dispositivo de gateway do cliente do servidor Windows; por exemplo,172.31.0.0/16) e selecione OK. O intervalo pode incluir o endereço IP do dispositivo de gateway docliente.

7. Em What is the local tunnel endpoint (closest to computer in Endpoint 1), escolha Edit. No campo IPv4address, digite o endereço IP privado do servidor Windows e escolha OK.

8. Em What is the remote tunnel endpoint (closest to computers in Endpoint 2), escolha Edit. Nocampo IPv4 address, digite o endereço IP do gateway privado virtual para o túnel 1 do arquivo deconfiguração (consulte Remote Tunnel Endpoint) e escolha OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar oendpoint para o túnel 2.

9. Em Which computers are in Endpoint 2, escolha Add. Em This IP address or subnet field, digite obloco CIDR da VPC e escolha OK.

Important

Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are inEndpoint 2. Não escolha Next até ter concluído esta etapa, caso contrário, não poderá seconectar ao servidor.

222



10. Confirme que todas as configurações que você especificou estão corretas e escolha Próximo.11. Na página Método de Autenticação, selecione Avançado e escolha Personalizar.12. Em First authentication methods, escolha Add.13. Selecione Chave pré-compartilhada, digite o valor da chave pré-compartilhada do arquivo de

configuração e escolha OK.

Important

Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar achave pré-compartilhada para o túnel 2.

14. Certifique-se de que First authentication is optional não esteja selecionada e escolha OK.15. Escolha Next.16. Na página Perfil, marque todas as três caixas de seleção: Domínio, Privado e Público. Escolha Next.

223



17. Na página Name, digite um nome para a regra de conexão, por exemplo, VPN to AWS Tunnel 1 eescolha Finish.

Repita o procedimento anterior e especifique os dados para o túnel 2 de seu arquivo de configuração.

Assim que concluir, terá dois túneis configurados para sua conexão VPN.

2.3: Confirmar a configuração do túnelPara confirmar a configuração do túnel

1. Abra o Server Manager, escolha Tools, selecione Windows Firewall with Advanced Security eConnection Security Rules.

2. Verifique o seguinte para os dois túneis:

• Enabled (Habilitado) está como Yes• Endpoint 1 é o bloco CIDR para a rede• Endpoint 2 é o bloco CIDR da VPC• Authentication mode (Modo de autenticação) é Require inbound and clear outbound• Authentication method (Método de autenticação) é Custom• Endpoint 1 port (Porta do endpoint 1) é Any• Endpoint 2 port (Porta do endpoint 2) é Any• Protocol (Protocolo) é Any

3. Selecione a primeira regra e escolha Properties.4. Na tabela Authentication, em Method, escolha Customize e verifique se First authentication methods

contém a chave pré-compartilhada correta do arquivo de configuração para o túnel e escolha OK.5. Na guia Advanced (Avançado), verifique se Domain (Domínio), Private (Privado) e Public (Público)

estão todos selecionados.6. Em IPsec tunneling, escolha Customize. Verifique as seguintes configurações de túnel IPsec, escolha

OK e OK novamente para fechar a caixa de diálogo.

• Use IPsec tunneling (Usar encapsulamento IPsec) está selecionada.• Local tunnel endpoint (closest to Endpoint 1) contém o endereço IP do servidor Windows. Se o

dispositivo de gateway do cliente for uma instância do EC2, esse será o endereço IP privado dainstância.

• Remote tunnel endpoint (closest to Endpoint 2) (Ponto de extremidade de túnel remoto [maispróximo ao Ponto de Extremidade 2]) contém o endereço IP do gateway privado virtual para essetúnel.

7. Abra as propriedades para o segundo túnel. Repita as etapas 4 a 7 para esse túnel.

Habilite o Perfect Forward Secrecy (PFS - Sigilo deencaminhamento perfeito) da chave mestraVocê pode habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestrausando a linha de comando. Você não pode habilitar esse recurso usando a interface do usuário.

Para habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chavemestra

1. No servidor Windows, abra uma nova janela do prompt de comando.

224


2.4: Configurar o Firewall do Windows

2. Digite o comando a seguir, substituindo rule_name pelo nome que você deu à primeira regra deconexão.

netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Repita a etapa 2 para o segundo túnel, desta vez substituindo rule_name pelo nome que você deu àsegunda regra de conexão.

2.4: Configurar o Firewall do WindowsAssim que configurar suas regras de segurança em seu servidor, defina algumas configurações básicas deIPsec para trabalhar com o gateway privado virtual.

Para configurar o Firewall do Windows

1. Abra o Server Manager, escolha Tools, selecione Windows Firewall with Advanced Security eProperties.

2. Na guia IPsec Settings, em IPsec exemptions, verifique se Exempt ICMP from IPsec está como No(default). Verifique se IPsec tunnel authorization está como None.

3. Em IPsec defaults, escolha Customize.4. Em Key exchange (Main Mode), selecione Advanced e Customize.5. Em Customize Advanced Key Exchange Settings, sob Security methods, verifique se os valores

padrão são usados para a primeira entrada.

• Integridade: SHA-1• Criptografia: AES-CBC 128• Algoritmo de troca de chaves: Grupo Diffie-Hellman 2• Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.

Essas configurações correspondem às seguintes entradas no arquivo de configuração:

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

6. Em Key exchange options, selecione Use Diffie-Hellman for enhanced security e escolha OK.7. Em Data protection (Quick Mode), selecione Advanced e Customize.8. Selecione Require encryption for all connection security rules that use these settings.9. Em Data integrity and encryption, deixe os valores padrão:

• Protocolo: ESP• Integridade: SHA-1• Criptografia: AES-CBC 128• Tempo de vida: 60 minutos

Esses valores correspondem à seguinte entrada no arquivo de configuração.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

10. Escolha OK para retornar à caixa de diálogo Personalizar Configurações de IPsec, e escolha OKnovamente para salvar a configuração.

225


Etapa 5: habilitar a detecção de gateway inativo

Etapa 5: habilitar a detecção de gateway inativoEm seguida, configure o TCP para detectar quando um gateway fica indisponível. Você pode fazerisso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seções precedentes. Assim que alterar achave de registro, deverá reinicializar o servidor.

Para habilitar a detecção de gateway inativo

1. No servidor Windows, inicie o prompt de comando ou uma sessão PowerShell e digite regedit parainiciar o Registry Editor.

2. Expanda HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip e Parameters.3. No menu Edit, selecione New e DWORD (32-bit) Value.4. Digite o nome EnableDeadGWDetect.5. Selecione EnableDeadGWDetect e escolha Editar, Modificar.6. Em Value data, digite 1 e escolha OK.7. Feche o Registry Editor e reinicie o servidor.

Para obter mais informações, consulte EnableDeadGWDetect na Biblioteca Microsoft TechNet.

Etapa 6: testar a conexão VPNPara testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC egaranta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping norespectivo endereço IP privado em seu servidor Windows. O túnel VPN aparece quando é gerado tráfegono dispositivo de gateway do cliente, portanto, o comando ping também inicia a conexão VPN.

Para executar uma instância em sua VPC e obter o respectivo endereço IP privado

1. Abra o console do Amazon EC2 e escolha Launch Instance (Iniciar instância).2. Selecione uma AMI do Amazon Linux e um tipo de instância.3. Na página Step 3: Configure Instance Details, selecione sua VPC na lista Network e selecione uma

sub-rede na lista Subnet. Verifique se selecionou a sub-rede privada que você configurou em Etapa 1:Criar uma conexão VPN e configurar a VPC (p. 217).

4. Na lista Auto-assign Public IP, certifique-se de que a configuração esteja definida como Disable.5. Escolha Next até você chegar à página Step 6: Configure Security Group. Você pode selecionar um

grupo de segurança existente que você configurou em Etapa 1: Criar uma conexão VPN e configurara VPC (p. 217). Você também pode criar um novo grupo de segurança e incluir uma regra de saídaque permite todo o tráfego ICMP do endereço IP do seu servidor Windows.

6. Conclua as demais etapas do assistente e execute sua instância.7. Na página Instances, selecione sua instância. Em Private IPs (IPs privados), anote o endereço IP

privado exibido no painel de detalhes.

Conecte ou faça login no servidor Windows, abra o prompt de comando e use o comando ping paraexecutar ping na sua instância usando seu endereço IP privado, por exemplo:

ping 10.0.0.4


226

http://technet.microsoft.com/en-us/library/cc960464.aspx

Amazon Virtual Private CloudGuia do administrador de redesEtapa 6: testar a conexão VPN

Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Se o comando ping falhar, verifique as seguintes informações:

• Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC.Se seu servidor Windows for uma instância do EC2, confirme se as regras de saída do respectivosecurity group permitem tráfego IPsec. Para obter mais informações, consulte Configuração do WindowsServer (p. 216).

• Confirme se o sistema operacional da instância em que você está executando ping está configuradapara responder a ICMP. Recomendamos que você use uma das AMIs do Amazon Linux.

• Se a instância em que estiver executando ping for uma instância do Windows, conecte-se a ela e habiliteICMPv4 de entrada no firewall do Windows.

• Verifique se configurou as tabelas de rota corretamente para a sua VPC ou sub-rede. Para obter maisinformações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC (p. 217).

• Se o dispositivo de gateway do cliente for uma instância do servidor Windows, verifique se vocêdesativou a verificação de origem/destino da instância. Para obter mais informações, consulteConfiguração do Windows Server (p. 216).

No console da Amazon VPC, na página VPN Connections (Conexões VPN), selecione sua conexão VPN.O primeiro túnel encontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas ele só seráusado se o primeiro ficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.

227


Histórico do documentoPara obter mais informações sobre as alterações importantes em cada versão do Guia do administrador deredes do AWS Site-to-Site VPN, consulte Histórico do documento no Guia do usuário da Amazon VPC.

228

https://docs.aws.amazon.com/vpc/latest/userguide/WhatsNew.html

Date post:	13-Mar-2020
Category:	Documents
Upload:	others
View:	8 times
Download:	0 times

Amazon Virtual Private Cloud · 2020-02-28 · Amazon Virtual Private Cloud Guia do administrador...

Documents