amazon virtual private clouddocs.aws.amazon.com/it_it/vpc/latest/adminguide/vpc-nag.pdfprivate cloud...

Amazon Virtual Private CloudGuida per l'amministratore di rete


Amazon Virtual Private Cloud: Guida per l'amministratore di reteCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsBenvenuto ......................................................................................................................................... 1Il dispositivo gateway del cliente ........................................................................................................... 2

Che cos'è un dispositivo gateway del cliente? ................................................................................. 2Ruolo ................................................................................................................................ 4

Panoramica di configurazione di una connessione VPN .................................................................... 4Informazioni di rete ............................................................................................................. 4Informazioni di routing ......................................................................................................... 5

AWS VPN CloudHub e gateway del cliente ridondanti ...................................................................... 5Configurazione di più connessioni VPN al VPC ............................................................................... 6Dispositivi gateway del cliente sottoposti a test ............................................................................... 7Requisiti per il dispositivo gateway del cliente ................................................................................. 8Configurazione di un firewall tra Internet e il dispositivo gateway del cliente ........................................ 11

Esempio: dispositivo Check Point che utilizza BGP ................................................................................ 13Vista generale del gateway del cliente ......................................................................................... 13File di configurazione ................................................................................................................ 14Configurazione del dispositivo Check Point ................................................................................... 15

Fase 1: configurazione delle interfacce del tunnel .................................................................. 15Fase 2: configurazione BGP ............................................................................................... 16Fare 3: creazione di oggetti di rete ...................................................................................... 17Fase 4: creazione di una comunità VPN e configurazione di IKE e IPsec ................................... 18Fase 5: configurazione firewall ............................................................................................ 20Fase 6: abilitazione di Dead Peer Detection e TCP MSS Clamping ........................................... 20

Come testare la configurazione del gateway del cliente .................................................................. 21Esempio: dispositivo Check Point (senza BGP) ..................................................................................... 24

Vista generale del gateway del cliente ......................................................................................... 24File di configurazione ................................................................................................................ 25Configurazione del dispositivo Check Point ................................................................................... 26

Fase 1: configurazione dell'interfaccia di tunnel ..................................................................... 26Fase 2: configurazione della route statica ............................................................................. 28Fare 3: creazione di oggetti di rete ...................................................................................... 29Fase 4: creazione di una comunità VPN e configurazione di IKE e IPsec ................................... 30Fase 5: configurazione firewall ............................................................................................ 32Fase 6: abilitazione di Dead Peer Detection e TCP MSS Clamping ........................................... 33

Come testare la configurazione del gateway del cliente .................................................................. 34Esempio: dispositivo Cisco ASA .......................................................................................................... 37

Vista di alto livello del gateway del cliente .................................................................................... 37na configurazione di esempio ..................................................................................................... 38Come testare la configurazione del gateway del cliente .................................................................. 42

Esempio: dispositivo Cisco ASA con interfaccia VTI e BGP ..................................................................... 44Vista di alto livello del gateway del cliente .................................................................................... 44Configurazione di esempio ......................................................................................................... 45Come testare la configurazione del gateway del cliente .................................................................. 51

Esempio: dispositivo Cisco ASA con interfaccia VTI (senza BGP) ............................................................. 53Vista di alto livello del gateway del cliente .................................................................................... 53Configurazione di esempio ......................................................................................................... 54Come testare la configurazione del gateway del cliente .................................................................. 59

Esempio: dispositivo Cisco IOS ........................................................................................................... 61Vista di alto livello del gateway del cliente .................................................................................... 61Vista dettagliata del gateway del cliente e configurazione di esempio ................................................ 62Come testare la configurazione del gateway del cliente .................................................................. 69

Esempio: dispositivo Cisco IOS (senza BGP) ........................................................................................ 71Vista di alto livello del gateway del cliente .................................................................................... 71Vista dettagliata del gateway del cliente e configurazione di esempio ................................................ 72Come testare la configurazione del gateway del cliente .................................................................. 78

iii


Esempio: Dispositivo SonicWALL ........................................................................................................ 80Vista di alto livello del dispositivo gateway del cliente ..................................................................... 80Esempio di file di configurazione ................................................................................................. 81Configurazione del dispositivo SonicWALL tramite l'interfaccia di gestione .......................................... 85Come testare la configurazione del gateway del cliente .................................................................. 85

Esempio: dispositivo SonicWALL (senza BGP) ...................................................................................... 87Vista di alto livello del dispositivo gateway del cliente ..................................................................... 87Esempio di file di configurazione ................................................................................................. 88Configurazione del dispositivo SonicWALL tramite l'interfaccia di gestione .......................................... 91Come testare la configurazione del gateway del cliente .................................................................. 93

Esempio: dispositivo Fortinet Fortigate ................................................................................................. 95Vista di alto livello del dispositivo gateway del cliente ..................................................................... 95Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................. 96Come testare la configurazione del gateway del cliente ................................................................. 104

Esempio: dispositivo Juniper J-Series JunOS ...................................................................................... 106Vista di alto livello del dispositivo gateway del cliente ................................................................... 106Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 107Come testare la configurazione del gateway del cliente ................................................................. 113

Esempio: dispositivo Juniper SRX JunOS ........................................................................................... 116Vista di alto livello del dispositivo gateway del cliente ................................................................... 116Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 117Come testare la configurazione del gateway del cliente ................................................................. 124

Esempio: dispositivo Juniper ScreenOS .............................................................................................. 126Vista di alto livello del dispositivo gateway del cliente ................................................................... 126Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 127Come testare la configurazione del gateway del cliente ................................................................. 133

Esempio: dispositivo Netgate PfSense (senza BGP) ............................................................................. 135Vista di alto livello del dispositivo gateway del cliente ................................................................... 135Configurazione di esempio ....................................................................................................... 136Come testare la configurazione del gateway del cliente ................................................................. 139

Esempio: dispositivo Palo Alto Networks ............................................................................................. 141Vista di alto livello del dispositivo gateway del cliente ................................................................... 141Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 142Come testare la configurazione del gateway del cliente ................................................................. 149

Esempio: dispositivo Yamaha ............................................................................................................ 151Vista di alto livello del dispositivo gateway del cliente ................................................................... 151Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 152Come testare la configurazione del gateway del cliente ................................................................. 158

Esempio: gateway generico del cliente che utilizza BGP ....................................................................... 160Vista di alto livello del dispositivo gateway del cliente ................................................................... 160Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 161Come testare la configurazione del gateway del cliente ................................................................. 166

Esempio: dispositivo gateway del cliente generico (senza BGP) ............................................................. 168Vista di alto livello del dispositivo gateway del cliente ................................................................... 168Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio ................................ 169Come testare la configurazione del gateway del cliente ................................................................. 174

Risoluzione dei problemi .................................................................................................................. 176Connettività del gateway del cliente CISCO ASA ......................................................................... 176

IKE ............................................................................................................................... 176IPsec ............................................................................................................................. 177Routing .......................................................................................................................... 178

Connettività del gateway del cliente CISCO IOS .......................................................................... 179IKE ............................................................................................................................... 179IPsec ............................................................................................................................. 180Tunnel ........................................................................................................................... 182BGP .............................................................................................................................. 183Collegamento del gateway virtuale privato ........................................................................... 184

iv


Connettività del gateway del cliente CISCO IOS (senza BGP) ........................................................ 184IKE ............................................................................................................................... 184IPsec ............................................................................................................................. 185Tunnel ........................................................................................................................... 186Collegamento del gateway virtuale privato ........................................................................... 188

Connettività del gateway del cliente Juniper JunOS ...................................................................... 188IKE ............................................................................................................................... 189IPsec ............................................................................................................................. 189Tunnel ........................................................................................................................... 189BGP .............................................................................................................................. 190Collegamento del gateway virtuale privato ........................................................................... 191

Connettività del gateway del cliente Juniper ScreenOS ................................................................. 192IKE e IPsec .................................................................................................................... 192Tunnel ........................................................................................................................... 192BGP .............................................................................................................................. 193Collegamento del gateway virtuale privato ........................................................................... 194

Connettività del gateway del cliente Yamaha ............................................................................... 195IKE ............................................................................................................................... 195IPsec ............................................................................................................................. 195Tunnel ........................................................................................................................... 196BGP .............................................................................................................................. 197Collegamento del gateway virtuale privato ........................................................................... 198

Connettività del gateway del cliente per dispositivi generici ............................................................ 198Connettività del gateway del cliente per dispositivi generici (senza BGP) .......................................... 201

Configurazione di Windows Server 2008 R2 come dispositivo gateway del cliente ..................................... 204Configurazione di Windows Server ............................................................................................. 204Fase 1: creazione di una connessione VPN e configurazione del VPC ............................................ 205Fase 2: download del file di configurazione per la connessione VPN ............................................... 206Fase 3: configurazione di Window Server ................................................................................... 208Fase 4: configurazione del tunnel VPN ....................................................................................... 209

Opzione 1: esecuzione dello script netsh ............................................................................ 209Opzione 2: utilizzo dell'interfaccia utente di Windows Server .................................................. 210

Fase 5: abilitazione del rilevamento Dead Gateway ...................................................................... 216Fase 6: test della connessione VPN .......................................................................................... 216

Configurazione di Windows Server 2012 R2 come dispositivo gateway del cliente ..................................... 218Configurazione di Windows Server ............................................................................................. 218Fase 1: creazione di una connessione VPN e configurazione del VPC ............................................ 219Fase 2: download del file di configurazione per la connessione VPN ............................................... 220Fase 3: configurazione di Window Server ................................................................................... 222Fase 4: configurazione del tunnel VPN ....................................................................................... 223

Opzione 1: esecuzione dello script netsh ............................................................................ 223Opzione 2: utilizzo dell'interfaccia utente di Windows Server .................................................. 2232.4: configurazione di Windows Firewall .............................................................................. 227

Fase 5: abilitazione del rilevamento Dead Gateway ...................................................................... 228Fase 6: test della connessione VPN .......................................................................................... 228

Cronologia dei documenti ................................................................................................................. 230

v


BenvenutoQuesta guida (Guida dell’amministratore della rete) è stata unita a Guida per l'utente di AWS Site-to-SiteVPN e non è più gestita. Per ulteriori informazioni sulla configurazione del dispositivo gateway del cliente,consulta Guida per l'utente di AWS Site-to-Site VPN.

Benvenuto nella Guida per gli amministratori di rete AWS Site-to-Site VPN. Questa è una guida per iclienti che intendono utilizzare una connessione AWS Site-to-Site VPN con il relativo virtual private cloud(VPC). Gli argomenti in questa guida consentono di configurare il dispositivo gateway del cliente, ovvero ildispositivo sul lato della connessione VPN.

Sebbene il termine connessione VPN sia generale, in questa documentazione una connessione VPN siriferisce alla connessione tra il VPC e la propria rete locale. Il VPN da sito a sito supporta le connessioniVPN di sicurezza del protocollo Internet (IPsec). Per un elenco dei dispositivi gateway del cliente chesono stati sottoposti a test, consulta the section called “Dispositivi gateway del cliente sottoposti atest” (p. 7).

La connessione VPN consente di unire il VPC e l'infrastruttura IT e di estendere le policy di sicurezza egestione esistenti alle istanze EC2 nel VPC come se fossero eseguite all'interno della propria infrastruttura.

Per ulteriori informazioni, consultare i seguenti argomenti:

• Il dispositivo gateway del cliente (p. 2)• Esempio: dispositivo Check Point con Border Gateway Protocol (p. 13)• Esempio: dispositivo Check Point senza Border Gateway Protocol (p. 24)• Esempio: dispositivo Cisco ASA (p. 37)• Esempio: dispositivo Cisco IOS (p. 61)• Esempio: dispositivo Cisco IOS senza Border Gateway Protocol (p. 71)• Esempio: dispositivo Cisco ASA con un'interfaccia VTI e Border Gateway Protocol (p. 44)• Esempio: dispositivo Cisco ASA con un'interfaccia VTI (senza Border Gateway Protocol) (p. 53)• Esempio: dispositivo SonicWALL SonicOS senza Border Gateway Protocol (p. 87)• Esempio: Dispositivo SonicWALL (p. 80)• Esempio: dispositivo Juniper J-Series JunOS (p. 106)• Esempio: dispositivo Juniper SRX JunOS (p. 116)• Esempio: dispositivo Juniper ScreenOS (p. 126)• Esempio: dispositivo Netgate PfSense senza Border Gateway Protocol (p. 135)• Esempio: dispositivo Palo Alto Networks (p. 141)• Esempio: dispositivo Yamaha (p. 151)• Esempio: dispositivo gateway generico del cliente che utilizza Border Gateway Protocol (p. 160)• Esempio: dispositivo gateway del cliente generico senza Border Gateway Protocol (p. 168)• Configurazione di Windows Server 2008 R2 come dispositivo gateway del cliente (p. 204)• Configurazione di Windows Server 2012 R2 come dispositivo gateway del cliente (p. 218)

1

https://docs.aws.amazon.com/vpn/latest/s2svpn/your-cgw.html


Che cos'è un dispositivo gateway del cliente?

Il dispositivo gateway del cliente

Questa guida (Guida dell’amministratore della rete) è stata unita a Guida per l'utente di AWS Site-to-SiteVPN e non è più gestita. Per ulteriori informazioni sulla configurazione del dispositivo gateway del cliente,consulta Guida per l'utente di AWS Site-to-Site VPN.

Argomenti• Che cos'è un dispositivo gateway del cliente? (p. 2)• Panoramica di configurazione di una connessione VPN (p. 4)• AWS VPN CloudHub e gateway del cliente ridondanti (p. 5)• Configurazione di più connessioni VPN al VPC (p. 6)• Dispositivi gateway del cliente sottoposti a test (p. 7)• Requisiti per il dispositivo gateway del cliente (p. 8)• Configurazione di un firewall tra Internet e il dispositivo gateway del cliente (p. 11)

Che cos'è un dispositivo gateway del cliente?Una connessione VPN Amazon VPC consente di collegare il data center (o la rete) al Amazon VirtualPrivate Cloud (VPC). Un dispositivo gateway del cliente è l'ancoraggio sul lato di tale connessione. Puòessere un'appliance fisica o software. L'ancoraggio sul lato AWS della connessione VPN è denominatagateway virtuale privato.

Nel diagramma sottostante viene mostrata la rete, il gateway del cliente, la connessione VPN che va algateway virtuale privato e il VPC. Tra il dispositivo gateway del cliente e il gateway virtuale privato sonopresenti due linee perché la connessione VPN è costituita da due tunnel per fornire maggiore disponibilitàper il servizio Amazon VPC. Se all'interno di AWS è presente un errore dispositivo, la connessione VPNesegue automaticamente il failover al secondo tunnel per non interrompere l'accesso. Occasionalmente,AWS esegue anche manutenzione di routine sul gateway virtuale privato, che può brevemente disabilitareuno dei due tunnel della connessione VPN. La connessione VPN esegue automaticamente il failoveral secondo tunnel durante l'esecuzione della manutenzione. Durante la configurazione del gateway delcliente, è pertanto importante configurare Entrambi i tunnel.

2



Che cos'è un dispositivo gateway del cliente?

Puoi creare connessioni VPN aggiuntive ad altri VPC utilizzando lo stesso dispositivo gateway del cliente.Puoi riutilizzare lo stesso indirizzo IP del gateway del cliente per ciascuna di tali connessioni VPN.

Quando crei una connessione VPN, il tunnel VPN diventa attivo quando il traffico viene generato dal latodella connessione VPN. Il gateway virtuale privato non è l'iniziatore; i tunnel devono essere avviati daldispositivo gateway del cliente. Gli endpoint VPN AWS supportano l'emissione nuova chiave e possonoavviare rinegoziazioni quando la fase 1 sta per scadere se il dispositivo gateway del cliente non ha inviatoalcun traffico di rinegoziazione.

Per ulteriori informazioni sui componenti di una connessione VPN, consulta Connessioni VPN nella Guidaper l'utente di AWS Site-to-Site VPN.

Per garantire la protezione da una perdita di connettività nel caso in cui il dispositivo gateway del clientediventi non disponibile, puoi configurare una seconda connessione VPN. Per ulteriori informazioni sulleconnessioni ridondanti, consulta l'argomento relativo all'utilizzo delle connessioni VPN ridondanti per ilfailover nella Guida per l'utente di AWS Site-to-Site VPN.

3

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPN

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html


Ruolo

RuoloIn questa guida, si fa riferimento al team di integrazione dell'azienda, ovvero la persona (o le persone)dell'azienda impegnate nell'integrazione dell'infrastruttura con Amazon VPC. Questo team (che può o menocomprendere l'utente) deve utilizzare la Console di gestione AWS per creare una connessione VPN eottenere le informazioni necessarie per configurare il gateway del cliente. La tua azienda potrebbe avereun team separato per ciascuna attività (un team di integrazione che usa la Console di gestione AWS).Potrebbe avere un gruppo di progettazione della rete separato che ha accesso ai dispositivi di rete econfigura il gateway del cliente. Questa guida presuppone che l'utente faccia parte del gruppo di tecnici direte che riceve informazioni dal team di integrazione dell'azienda in modo da poter configurare il dispositivogateway del cliente.

Panoramica di configurazione di una connessioneVPN

Il processo di configurazione della connessione VPN in AWS è descritto nella Guida per l'utente di AWSSite-to-Site VPN. Un'attività nel processo complessivo è configurare il gateway del cliente. Per creare laconnessione VPN, AWS richiede informazioni sul gateway del cliente E occorre configurare il dispositivogateway del cliente.

Per configurare una connessione VPN, segui le fasi generali sottostanti:

1. Specifica un'appliance che funzioni come dispositivo gateway del cliente. Per ulteriori informazioni,consulta Dispositivi gateway del cliente sottoposti a test (p. 7) e Requisiti per il dispositivo gatewaydel cliente (p. 8).

2. Recupera le Informazioni di rete (p. 4) necessarie e fornisci queste informazioni al team perché creila connessione VPN in AWS.

3. Crea la connessione VPN in AWS e ottieni il file di configurazione per il gateway del cliente. Perulteriori informazioni su come configurare una connessione VPN AWS, consulta l'argomento relativoallaconfigurazione di una connessione VPN AWS nella Guida per l'utente di AWS Site-to-Site VPN.

4. Configura il dispositivo gateway del cliente utilizzando le informazioni del file di configurazione. Esempivengono forniti in questa guida.

5. Genera traffico dal lato della connessione VPN per visualizzare il tunnel VPN.

Informazioni di retePer creare una connessione VPN in AWS, occorrono le informazioni seguenti.

Elemento Commenti

Fornitore del gateway del cliente (ad esempio,Cisco), piattaforma (ad esempio, Router della serieISR) e versione software (ad esempio, IOS 12.4)

Queste informazioni vengono utilizzate pergenerare un file di configurazione per il dispositivogateway del cliente.

L'indirizzo IP Internet instradabile per l'interfacciaesterna del dispositivo gateway del cliente.

Il valore deve essere statico. Se il dispositivogateway del cliente risiede dietro a un dispositivoche esegue la traduzione degli indirizzi di rete(Network Address Translation, NAT), utilizzal'indirizzo IP pubblico del dispositivo NAT:

4

http://aws.amazon.com/console

https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html


Informazioni di routing

Elemento CommentiPer il dispositivo NAT di origine, non utilizzarel'indirizzo IP pubblico del gateway del cliente comeindirizzo IP di origine per i pacchetti inviati tramiteun tunnel VPN. Utilizza invece un indirizzo IPdiverso, non in uso.

(Facoltativo) Border Gateway Protocol (BGP)Autonomous System Number (ASN) del gatewaydel cliente.

Puoi utilizzare un ASN esistente assegnato allatua rete. Se non ne hai uno, puoi utilizzare un ASNprivato compreso nell'intervallo 64512-65534. Incaso contrario, si presume che il BGP ASN delgateway del cliente sia 65000.

(Facoltativo) L'ASN per il lato Amazon dellasessione BGP.

Specificato durante la creazione di un gatewayvirtuale privato. Se non specifichi un valore, siapplica l'ASN predefinito. Per ulteriori informazioni,consulta gateway virtuale privato.

(Facoltativo) Informazioni sul tunnel per ogni tunnelVPN

È possibile configurare alcune opzioni del tunnelper la connessione VPN. Per ulteriori informazioni,consulta VPN da sito a sito Tunnel Options forYour VPN da sito a sito Connection nella Guida perl'utente di AWS Site-to-Site VPN.

(Facoltativo) Certificato privato da Autorità dicertificazione privata di AWS Certificate Managerper autenticare la VPN

È necessario creare un'autorità di certificazioneprivata utilizzando Autorità di certificazione privatadi AWS Certificate Manager. Per informazionisulla creazione di un certificato privato, consultaCreating and Managing a Private CA nella Autoritàdi certificazione privata di AWS Certificate ManagerUser Guide.

Il file di configurazione per il dispositivo gateway del cliente include i valori specificati per gli elementiprecedenti. Contiene anche gli eventuali valori aggiuntivi richiesti per la configurazione dei tunnelVPN, incluso l'indirizzo IP esterno del gateway virtuale privato. Questo valore è statico a meno che laconnessione VPN in AWS non venga ricreata.

Informazioni di routingAWS consiglia di pubblicizzare route BGP più specifiche per influenzare le decisioni di routing nel gatewayvirtuale privato. Controlla la documentazione del fornitore per i comandi specifici del dispositivo.

Per ulteriori informazioni sulla priorità di routing, consulta Tabelle di routing e priorità della route VPN nellaGuida per l'utente di AWS Site-to-Site VPN.

AWS VPN CloudHub e gateway del clienteridondanti

Puoi stabilire più connessioni VPN a un singolo gateway virtuale privato da più dispositivi gateway delcliente. Questa configurazione può essere utilizzata in modi diversi. Tra il data center e il VPC possonoessere presenti dispositivi gateway del cliente ridondanti oppure più posizioni possono essere connesse adAWS VPN CloudHub.

5

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#VPNGateway

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNTunnels.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreatingManagingCA.html

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html#vpn-route-priority


Configurazione di più connessioni VPN al VPC

Nel caso di dispositivi gateway del cliente ridondanti, ogni dispositivo pubblicizza lo stesso prefisso (adesempio, 0.0.0.0/0) al gateway virtuale privato. Il routing BGP serve a determinare il percorso per il traffico.Se si verifica un errore in un dispositivo gateway del cliente, il gateway virtuale privato indirizza tutto iltraffico al dispositivo gateway del cliente in funzione.

Se utilizzi la configurazione AWS VPN CloudHub, più siti possono accedere al VPC o accedere inmaniera sicura l'uno all'altro utilizzando un semplice modello hub-and-spoke. Configura ogni dispositivogateway del cliente per pubblicizzare un prefisso specifico del sito (ad esempio 10.0.0.0/24, 10.0.1.0/24)al gateway virtuale privato. Il gateway virtuale privato instrada il traffico al sito appropriato e pubblicizza laraggiungibilità di un sito a tutti gli altri siti.

Per configurare AWS VPN CloudHub, utilizza la console Amazon VPC per creare più gateway del cliente,ciascuno con l'indirizzo IP pubblico del gateway. Per ogni gateway del cliente, utilizza un Border GatewayProtocol (BGP) Autonomous System Number (ASN). Quindi, crea una connessione VPN da ogni gatewaydel cliente a un gateway virtuale privato comune. Utilizza le istruzioni che seguono per configurare ognidispositivo gateway del cliente per la connessione al gateway virtuale privato.

Per consentire alle istanze nel VPC di raggiungere il gateway virtuale privato (e quindi i dispositivi gatewaydel cliente), devi configurare le route nelle tabelle di routing VPC. Per le istruzioni complete, consultaConnessioni VPN nella Guida per l'utente di AWS Site-to-Site VPN. Per AWS VPN CloudHub, è possibileconfigurare una route aggregata nella tabella di routing VPC (ad esempio, 10.0.0.0/16). Utilizza prefissi piùspecifici tra i dispositivi gateway del cliente e il gateway virtuale privato.

Configurazione di più connessioni VPN al VPCPuoi creare fino a 10 connessioni VPN al VPC. Puoi utilizzare più connessioni VPN per collegare gli ufficiremoti allo stesso VPC. Ad esempio, se disponi di uffici a Los Angeles, Chicago, New York e Miami, puoicollegare ciascuno di questi uffici al VPC. Puoi anche utilizzare più connessioni VPN per stabilire dispositivigateway del cliente ridondanti da una singola posizione.

Note

Se hai bisogno di più di dieci connessioni VPN, invia una richiesta per aumentare la tua quota.

Quando crei più connessioni VPN, il gateway virtuale privato invia il traffico di rete alla connessioneVPN appropriata utilizzando route assegnate staticamente o annunci di routing BGP, a seconda dellaconfigurazione della connessione VPN. Le route assegnate staticamente sono preferite rispetto alle routepubblicizzate BGP nei casi in cui sono presenti route identiche nel gateway virtuale privato. Se selezionil'opzione per utilizzare l'annuncio BGP, non puoi specificare route statiche.

Quando disponi di dispositivi gateway del cliente in corrispondenza di più posizioni geografiche, ognidispositivo deve promuovere un set univoco di intervalli IP specifici per la posizione. Quando stabiliscidispositivi gateway del cliente ridondanti in una singola posizione, entrambi i dispositivi devono promuoveregli stessi intervalli IP.

Quando un gateway virtuale privato riceve informazioni di routing, utilizza la selezione percorso perdeterminare in che modo instradare il traffico. Per ulteriori informazioni, consulta Tabelle di routing e prioritàdella route VPN nella Guida per l'utente di AWS Site-to-Site VPN.

Nel seguente diagramma viene mostrata la configurazione di più VPN.

6

https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-connections.html

http://aws.amazon.com/contact-us/vpc-request/




Dispositivi gateway del cliente sottoposti a test

Dispositivi gateway del cliente sottoposti a testIl dispositivo gateway del cliente può essere un'appliance fisica o software.

In questa guida vengono fornite informazioni su come configurare i seguenti dispositivi che sono già statisottoposti a test:

• Check Point Security Gateway che Esegue il software R77.10 (o versioni successive)• Cisco ASA che Esegue il software Cisco ASA 8.2 (o versioni successive)• Cisco IOS che Esegue il software Cisco IOS 12.4 (o versioni successive)• SonicWALL con software SonicOS 5.9 (o versioni successive)• Fortinet Fortigate serie 40+ con software FortiOS 4.0 (o versione successiva)• Juniper J-Series che Esegue il software JunOS 9.5 (o versioni successive)• Juniper SRX che Esegue il software JunOS 11.0 (o versioni successive)• Juniper SSG con software ScreenOS 6.1 o 6.2 (o versione successiva)• Juniper ISG con software ScreenOS 6.1 o 6.2 (o versione successiva)• Netgate pfSense che Esegue il software OS 2.2.5 (o versioni successive).• Software Palo Alto Networks PANOS 4.1.2 (o versioni successive)• Router Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 e SRT100• Microsoft Windows Server 2008 R2 (o versione successiva)• Microsoft Windows Server 2012 R2 (o versione successiva)

7


Requisiti per il dispositivo gateway del cliente

• Software Zyxel Zywall Series 4.20 (o versioni successive) per connessioni VPN instradate staticamente osoftware 4.30 (o versioni successive) per connessioni VPN instradate dinamicamente

Se uno di questi dispositivi è disponibile ma la configurazione IPsec utilizzata è diversa da quellapresentata in questa guida, puoi modificare la configurazione suggerita per soddisfare particolari esigenze.

Requisiti per il dispositivo gateway del clienteLa configurazione del dispositivo gateway del cliente comprende quattro parti principali. In questa guida siutilizza un simbolo per ciascuna di questa parti per meglio comprendere le azioni da eseguire. Nella tabellaseguente vengono mostrate le quattro parti e i simboli corrispondenti.

Associazione di sicurezza IKE (richiesta per scambiare chiavi utilizzate per stabilirel'associazione sicurezza IPsec)

Associazione di sicurezza IPsec (gestisce la crittografia, l'autenticazione E altrecaratteristiche del tunnel)

Interfaccia del tunnel (riceve traffico diretto e proveniente dal tunnel)

Opzionale Peering BGP (scambia route tra il dispositivo gateway del cliente e il gateway virtualeprivato) per dispositivi che utilizzano BGP

Se è disponibile un dispositivo non incluso nell'elenco precedente di dispositivi sottoposti a test, in questasezione vengono descritti i requisiti che il dispositivo deve soddisfare per l'utilizzo con Amazon VPC. Nellatabella seguente viene elencato il requisito che deve soddisfare il dispositivo gateway del cliente, l'RFC (oriferimento) correlato e i commenti su tale requisito. Per un esempio delle informazioni di configurazionese il dispositivo non è uno dei dispositivi Cisco o Juniper sottoposti a test, consulta Esempio: dispositivogateway generico del cliente che utilizza Border Gateway Protocol (p. 160).

Ogni connessione VPN è composta da due tunnel separati. Ogni tunnel contiene un'associazione disicurezza IKE, un'associazione di sicurezza IPsec e un peering BGP. Esiste un vincolo di una 1 coppia diassociazione di sicurezza univoca (SA) per tunnel (1 in entrata e 1 in uscita), ovvero 2 coppie SA univochein totale per 2 tunnel (4 SA). Alcuni dispositivi utilizzano una VPN basata su policy e creano il numeromassimo consentito di SA come voci ACL. Pertanto, potrebbe Essere necessario consolidare le regole Efiltrare in modo da non consentire traffico non desiderato.

Il tunnel VPN viene visualizzato quando il traffico viene generato dal lato della connessione VPN.L'endpoint AWS non è l'iniziatore; il dispositivo gateway del cliente deve avviare i tunnel.

Requisito RFC Commenti

Stabilire un'associazione disicurezza IKE tramite chiaviprecondivise

RFC 2409

RFC 7296

L'associazione di sicurezza IKE viene stabilita prima trail gateway virtuale privato e il dispositivo gateway delcliente utilizzando la chiave precondivisa o un certificatoprivato utilizzando Autorità di certificazione privata diAWS Certificate Manager come autenticatore. Una voltastabilita, IKE negozia una chiave Effimera per rendere

8

http://tools.ietf.org/html/rfc2409

https://tools.ietf.org/html/rfc7296



Requisito RFC Commentisicuri i messaggi IKE futuri. Per stabilire in manieracorretta un'associazione di sicurezza IKE occorre l'accordocompleto tra i parametri, inclusi i parametri di crittografia eautenticazione.

Quando si crea una connessione VPN in AWS, è possibilespecificare la chiave precondivisa per ogni tunnel olasciare che venga generata da AWS. In alternativa, èpossibile specificare il certificato privato da utilizzare conil dispositivo gateway del cliente mediante Autorità dicertificazione privata di AWS Certificate Manager. Perulteriori informazioni sulla configurazione dei tunnel VPNconsulta l'argomento relativo allaconfigurazione dei tunnelVPN per la connessione VPN nella Guida per l'utente diAWS Site-to-Site VPN.

Sono supportate le seguenti versioni: IKEv1 e IKEv2.Con IKEv1 supportiamo solamente la modalità Main.

Stabilire un'associazione disicurezza tramite protocolloIPsec in modalità Tunnel

RFC 4301 Utilizzando la chiave effimera IKE, le chiavi vengonostabilite tra il gateway virtuale privato e il dispositivogateway del cliente per formare un'associazione disicurezza IPsec (SA). Il traffico tra i gateway è crittografatoe decrittografato utilizzando questa SA. Le chiavieffimere utilizzate per crittografare il traffico all'internodella SA IPsec vengono automaticamente ruotate daIKE periodicamente per garantire la riservatezza dellecomunicazioni.

Utilizzare la funzione dicrittografia a 128 bit o 256bit AES

RFC 3602 La funzione di crittografia viene utilizzata per garantire laprivacy tra le associazioni di sicurezza IKE e IPsec.

Utilizzare la funzione dihashing SHA-1 o SHA-256

RFC 2404 Questa funzione di hashing viene utilizzata per autenticarele associazioni di sicurezza IKE è IPsec.

Utilizzare Diffie-HellmanPerfect Forward Secrecy.Sono supportati i seguentigruppi:

• Gruppi fase 1: 2, 14-18,22, 23 e 24

• Gruppi fase 2: 2, 5, 14-18,22, 23 e 24

RFC 2409 IKE utilizza Diffie-Hellman per stabilire chiavi effimereper rendere sicura tutta la comunicazione tra i dispositivigateway del cliente e i gateway virtuali privati.

Utilizzare la funzione diDead Peer Detection suprotocollo IPsec

RFC 3706 L'utilizzo di Dead Peer Detection consente ai dispositiviVPN di identificare rapidamente quando una condizionedi rete impedisce la consegna di pacchetti su Internet.Quando ciò si verifica, i gateway eliminano le associazionidi sicurezza e tentano di creare nuove associazioni.Durante questo processo, viene utilizzato il tunnel IPsecalternativo, se possibile.

9

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNTunnels

https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html#VPNTunnels








Requisito RFC Commenti

Vincolare tunnel ainterfaccia logica (VPNbasata su route)

Nessuna Il gateway deve supportare la capacità di vincolare il tunnelIPsec a un'interfaccia logica. L'interfaccia logica contieneun indirizzo IP utilizzato per stabilire il peering BGP algateway virtuale privato. Questa interfaccia logica nondeve Eseguire ulteriore incapsulamento (ad esempio,GRE, IP in IP). L'interfaccia deve Essere impostata suun'unità massima di trasmissione (MTU) di 1399 byte.

Frammentare pacchetti IPprima della crittografia

RFC 4459 Quando i pacchetti sono troppo grandi per esseretrasmessi, devono essere frammentati. I pacchetticrittografati frammentati non vengono riassemblati.Pertanto, il dispositivo VPN deve frammentare i pacchettiprima dell'incapsulamento con le intestazioni VPN. Iframmenti vengono trasmessi individualmente all'hostremoto che li riassembla. Per ulteriori informazioni sullaframmentazione, consulta l'articolo di Wikipedia sullaframmentazione IP.

(Facoltativo) Stabilirepeering BGP

RFC 4271 BGP viene utilizzato per scambiare route tra i dispositivigateway del cliente e il gateway virtuale privato perdispositivi che utilizzano BGP. Tutto il traffico BGPè crittografato e trasmesso tramite l'associazione disicurezza IPsec. BGP è obbligatorio per entrambi igateway per scambiare i prefissi IP raggiungibili tramitel'SA IPsec.

È consigliabile utilizzare le tecniche elencate nella tabella seguente. Ciò consente di ridurre al minimo iproblemi relativi alla quantità di dati che possono essere trasmessi attraverso il tunnel IPsec. Poiché laconnessione incapsula i pacchetti con intestazioni di rete aggiuntive (incluso IPsec), la quantità di dati chepuò essere trasmessa in un singolo pacchetto è ridotta.

Tecnica RFC Commenti

Regolare la dimensionesegmento massima dipacchetti TCP che Entranonel tunnel VPN

RFC 4459 I pacchetti TCP sono spesso il tipo prevalente di pacchettisu tunnel IPsec. Alcuni gateway possono modificare ilparametro TCP Maximum Segment Size. In conseguenzadi ciò, gli endpoint TCP (client, server) riducono la quantitàdi dati inviati con ogni pacchetto. Questo è un approccioideale, poiché i pacchetti che arrivano ai dispositivi VPNsono abbastanza piccoli da essere incapsulati e tramessi.

Ripristinare il flag"Don't Fragment" (Nonframmentare) sui pacchetti

RFC 791 Alcuni pacchetti trasportano un flag, noto come il flagDon't Fragment (DF), che indica che il pacchetto nondeve Essere frammentato. Se i pacchetti trasportanoil flag, i gateway generano un messaggio ICMP PathMTU Exceeded (MTU percorso ICMP superato). Inalcuni casi, le applicazioni non contengono meccanismiadeguati per elaborare questi messaggi ICMP e ridurrela quantità di dati trasmessa in ogni pacchetto. Alcunidispositivi VPN possono ignorare il flag DF e frammentarei pacchetti incondizionatamente come richiesto. Se ildispositivo gateway del cliente dispone di questa capacità,ti consigliamo di utilizzarla in maniera adeguata.

10


http://en.wikipedia.org/wiki/IP_fragmentation





Configurazione di un firewall tra Internete il dispositivo gateway del cliente

Una connessione VPN AWS non supporta il rilevamento della MTU del percorso (RFC 1191).

Se tra il dispositivo gateway del cliente e Internet è presente un firewall, consulta Configurazione di unfirewall tra Internet e il dispositivo gateway del cliente (p. 11).

Configurazione di un firewall tra Internet e ildispositivo gateway del cliente

Per utilizzare questo servizio, devi disporre di un indirizzo IP Internet instradabile da utilizzare comeendpoint per i tunnel IPsec che collegano il dispositivo gateway del cliente al gateway virtuale privato. Setra Internet e il gateway è presente un firewall, è necessario predisporre le regole nelle seguenti tabelleper stabilire i tunnel IPsec. Gli indirizzi del gateway virtuale privato sono inclusi nelle informazioni diconfigurazione ottenute dal team di integrazione.

In entrata (da Internet)

Regola in entrata I1

IP di origine gateway virtuale privato 1

IP dest Gateway del cliente

Protocollo UDP

Porta di origine 500

Destinazione 500




Protocollo UDP


Porta di destinazione 500




Protocollo IP 50 (ESP)





11

https://tools.ietf.org/html/rfc1191


Configurazione di un firewall tra Internete il dispositivo gateway del cliente

In uscita (a Internet)

Regola in uscita O1

IP di origine Gateway del cliente

IP dest gateway virtuale privato 1

Protocollo UDP



Regola in uscita O2



Protocollo UDP



Regola in uscita O3




Regola in uscita O4




Le regole I1, I2, O1 e O2 abilitano la trasmissione di pacchetti IKE. Le regole I3, I4, O3 e O4 abilitano latrasmissione di pacchetti IPsec contenenti il traffico di rete crittografato.

Se si utilizza NAT Traversal (NAT-T) sul dispositivo, occorre includere le regole che consentono l'accessoUDP sulla porta 4500. Verifica se il dispositivo pubblicizza NAT-T.

12


Vista generale del gateway del cliente

Esempio: dispositivo Check Point conBorder Gateway Protocol


Questa sezione contiene informazioni di configurazione di esempio fornite dal team di integrazione seil gateway del cliente è un dispositivo Check Point Security Gateway che Esegue R77.10 o versionisuccessive e utilizza i sistema operativo Gaia.

Prima di iniziare, assicurati di avere effettuato le operazioni seguenti:

• Hai creato una connessione VPN da sito a sito in Amazon VPC. Per ulteriori informazioni, consulta lenozioni di base nella Guida per l'utente di AWS Site-to-Site VPN.

• Hai letto i requisiti (p. 8) per il dispositivo gateway del cliente.

Argomenti• Vista generale del gateway del cliente (p. 13)• File di configurazione (p. 14)• Configurazione del dispositivo Check Point (p. 15)• Come testare la configurazione del gateway del cliente (p. 21)

Vista generale del gateway del clienteIl seguente diagramma mostra i dettagli generali del gateway del cliente. Ogni connessione VPN ècomposta da due tunnel distinti. L'utilizzo di tunnel ridondanti assicura una disponibilità continua in caso dierrore di un dispositivo.

13


https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html


File di configurazione

File di configurazioneIl team di integrazione fornisce un file di configurazione con i valori necessari per configurare ciascun tunnele le impostazioni IKE e IPsec per il dispositivo VPN. Il file di configurazione include istruzioni su comeutilizzare il portale Web Gaia e Check Point SmartDashboard per configurare il dispositivo. Le stesse fasivengono fornite nella sezione successiva.

Di seguito è riportato un estratto di un file di configurazione di esempio. Il file contiene due sezioni: IPSecTunnel #1 e IPSec Tunnel #2. Devi utilizzare i valori forniti in ogni sezione per configurare ciascuntunnel.

! Amazon Web Services! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

14


Configurazione del dispositivo Check Point

! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configurazione del dispositivo Check PointNelle procedure seguenti viene dimostrato come configurare i tunnel VPN, gli oggetti di rete e la sicurezzaper la connessione VPN. Dovrai sostituire i valori di esempio presenti nelle procedure con quelli forniti nelfile di configurazione.

Note

Per ulteriori informazioni, vai all'articolo Amazon Web Services (AWS) VPN BGP in Check PointSupport Center.

Argomenti• Fase 1: configurazione delle interfacce del tunnel (p. 15)• Fase 2: configurazione BGP (p. 16)• Fare 3: creazione di oggetti di rete (p. 17)• Fase 4: creazione di una comunità VPN e configurazione di IKE e IPsec (p. 18)• Fase 5: configurazione firewall (p. 20)• Fase 6: abilitazione di Dead Peer Detection e TCP MSS Clamping (p. 20)

Fase 1: configurazione delle interfacce del tunnelLa prima fase è creare i tunnel VPN e fornire gli indirizzi IP (interni) privati del gateway del cliente e delgateway virtuale privato per ogni tunnel. Per il primo tunnel, utilizza le informazioni fornite nella sezioneIPSec Tunnel #1 del file di configurazione. Per il secondo tunnel, utilizza i valori forniti nella sezioneIPSec Tunnel #2 del file di configurazione.

Per configurare l'interfaccia del tunnel

1. Connettersi al gateway di sicurezza su SSH. Se si utilizza la shell non predefinita, modificare in clisheseguendo il seguente comando: clish

2. Impostare l'ASN del gateway del cliente (l'ASN che è stato fornito quando il gateway del cliente è statocreato in AWS) eseguendo il seguente comando:

set as 65000

3. Creare l'interfaccia del tunnel per il primo tunnel utilizzando le informazioni fornite nella sezioneIPSec Tunnel #1 del file di configurazione. Fornire un nome univoco per il tunnel, ad esempioAWS_VPC_Tunnel_1.

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1

15

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108958


Fase 2: configurazione BGP

set interface vpnt1 state on set interface vpnt1 mtu 1436

4. Ripetere questi comandi per creare il secondo tunnel utilizzando le informazioni fornite nella sezioneIPSec Tunnel #2 del file di configurazione. Fornire un nome univoco per il tunnel, ad esempioAWS_VPC_Tunnel_2.

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436

5. Impostare l'ASN del gateway virtuale privato:

set bgp external remote-as 7224 on

6. Configurare il BGP per il primo tunnel, utilizzando le informazioni fornite nella sezione IPSec Tunnel#1 del file di configurazione:

set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. Configurare il BGP per il secondo tunnel, utilizzando le informazioni fornite nella sezione IPSecTunnel #2 del file di configurazione:

set bgp external remote-as 7224 peer 169.254.44.37 on set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

8. Salvare la configurazione:

save config

Fase 2: configurazione BGPIn questa fase creeremo una policy BGP che consente di importare route pubblicizzate da AWS. Quindi,configureremo il gateway del cliente per pubblicizzare le route locali ad AWS.

Per creare una policy BGP

1. Nella interfaccia utente Web Gaia, scegli Advanced Routing (Routing avanzato), Inbound Route Filters(Filtri route in entrata). Scegli Add (Aggiungi) e seleziona Add BGP Policy (Based on AS) (Aggiungipolicy BGP (basata su AS)).

2. Per Add BGP Policy (Aggiungi policy BGP), seleziona un valore compreso tra 512 e 1024 nel primocampo e immetti l'ASN del gateway virtuale privato nel secondo campo, ad esempio 7224.

3. Seleziona Salva.

Le fasi seguenti sono relative alla distribuzione delle route dell'interfaccia locale. Puoi anche ridistribuireroute da origini diverse; ad esempio, route statiche o route ottenute tramite protocolli di routing dinamici.Per ulteriori informazioni, visita la pagina Gaia Advanced Routing R77 Versions Administration Guide.

16

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

Amazon Virtual Private CloudGuida per l'amministratore di reteFare 3: creazione di oggetti di rete

Per pubblicizzare route locali

1. Nella interfaccia utente Web Gaia, scegliere Advanced Routing (Routing avanzato), RoutingRedistribution (Ridistribuzione routing). Selezionare Add Redistribution From (Aggiungi ridistribuzioneda) e selezionare Interface (Interfaccia).

2. In To Protocol (A protocollo), selezionare l'ASN del gateway virtuale privato, ad esempio 7224.3. In Interface (Interfaccia), selezionare un'interfaccia interna. Seleziona Save (Salva).

Fare 3: creazione di oggetti di reteIn questa fase, viene creato un oggetto di rete per ogni tunnel VPN, specificando gli indirizzi IP (esterni)pubblici per il gateway virtuale privato. In seguito questi oggetti vengono aggiunti come gateway satelliteper la comunità VPN. Occorre anche creare un gruppo vuoto che agisce come segnaposto per il dominioVPN.

Per definire un nuovo oggetto di rete

1. Aprire Check Point SmartDashboard.2. In Groups (Gruppi), aprire il menu contestuale e scegliere Groups (Gruppi), Simple Group (Gruppo

semplice). Lo stesso gruppo può essere utilizzato per ogni oggetto di rete.3. In Network Objects (Oggetti di rete), aprire il menu contestuale (clic destro) e scegliere New (Nuovo),

Interoperable Device (Dispositivo interoperabile).4. In Name (Nome), immettere il nome fornito per il tunnel nella fase 1, ad esempio AWS_VPC_Tunnel_1

o AWS_VPC_Tunnel_2.5. In IPv4 Address (Indirizzo IPv4), immettere l'indirizzo IP esterno del gateway virtuale privato fornito nel

file di configurazione, ad esempio 54.84.169.196. Salvare le impostazioni e chiudere la finestra didialogo.

6. Nel riquadro delle categorie a sinistra, scegliere Topology (Topologia).7. Nella sezione VPN Domain (Dominio VPN), scegliere Manually defined (Definito manualmente), quindi

individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Seleziona OK.8. Ripetere queste fasi per creare un secondo oggetto di rete, utilizzando le informazioni fornite nella

sezione IPSec Tunnel #2 del file di configurazione.

17

Amazon Virtual Private CloudGuida per l'amministratore di reteFase 4: creazione di una comunità

VPN e configurazione di IKE e IPsec9. Passare all'oggetto di rete gateway, aprire il gateway o l'oggetto cluster e scegliere Topology

(Topologia).10. Nella sezione VPN Domain (Dominio VPN), scegliere Manually defined (Definito manualmente), quindi

individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Seleziona OK.

Note

È possibile mantenere qualsiasi dominio VPN esistente che è stato configurato.Tuttavia, assicurarsi che host e reti utilizzate o servite dalla nuova connessione VPNnon siano dichiarate in tale dominio VPN, in particolare se il dominio VPN viene derivatoautomaticamente.

Note

Se stai utilizzando cluster, modifica la topologia e definisci le interfacce come interfacce delcluster. Utilizza gli indirizzi IP specificati nel file di configurazione.

Fase 4: creazione di una comunità VPN econfigurazione di IKE e IPsecIn questa fase, viene creata una comunità VPN nel gateway Check Point a cui aggiungere oggetti direte (dispositivi interoperabili) per ogni tunnel. Vengono anche configurate le impostazioni Internet KeyExchange (IKE) e IPsec.

Per creare e configurare le impostazioni comunità VPN, IKE e IPsec

1. Dalle proprietà del gateway, scegliere IPSec VPN (VPN IPSec) nel riquadro delle categorie.2. Selezionare Communities (Comunità), New (Nuova), Star Community (Comunità stella).3. Fornire un nome per la comunità (ad esempio, AWS_VPN_Star), quindi selezionare Center Gateways

(Gateway centrali) nel riquadro delle categorie.4. Selezionare Add (Aggiungi) e aggiungere il gateway o il cluster all'elenco dei gateway partecipanti.5. Nel riquadro delle categorie, selezionare Satellite Gateways (Gateway satellite), Add

(Aggiungi) e aggiungere i dispositivi interoperabili creati in precedenza (AWS_VPC_Tunnel_1 eAWS_VPC_Tunnel_2) all'elenco di gateway partecipanti.

6. Nel riquadro delle categorie, selezionare Encryption (Crittografia). Nella sezione Encryption Method(Metodo di crittografia), scegliere IKEv1 for IPv4 and IKEv2 for IPv6 (IKEv1 per IPv4 e IKEv2 perIPv6). Nella sezione Encryption Suite (Suite di crittografia), scegliere Custom (Personalizzato), CustomEncryption (Crittografia personalizzata).

Note

Selezionare l'opzione IKEv1 for IPv4 and IKEv2 for IPv6 (IKEv1 per IPv4 e IKEv2 per IPv6)per la funzionalità IKEv1; tuttavia, IKEv2 e IPv6 non sono attualmente supportate.

7. Nella finestra di dialogo, configurare le proprietà di crittografia come riportato di seguito e, al termine,scegliere OK:

• Proprietà IKE Security Association (fase 1):• Perform key exchange Encryption with (Esegui crittografia scambio delle chiavi con): AES-128• Perform data integrity with (Esegui integrità dei dati con): SHA1

• Proprietà IPSec Security Association (fase 2):• Perform IPsec data encryption with (Esegui crittografia dati IPsec con): AES-128• Perform data integrity with (Esegui integrità dei dati con): SHA-1

18


VPN e configurazione di IKE e IPsec8. Nel riquadro delle categorie, selezionare Tunnel Management (Gestione tunnel). Selezionare Set

Permanent Tunnels (Imposta tunnel permanenti), On all tunnels in the community (Su tutti i tunnel nellecomunità). Nella sezione VPN Tunnel Sharing (Condivisione tunnel VPN), scegliere One VPN tunnelper Gateway pair (Un tunnel VPN per coppia gateway).

9. Nel riquadro delle categorie, espandere Advanced Settings (Impostazioni avanzate) e scegliere SharedSecret (Segreto condiviso).

10. Selezionare il nome peer per il primo tunnel, scegliere Edit (Modifica) e immettere la chiave giàcondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #1.

11. Selezionare il nome peer per il secondo tunnel, scegliere Edit (Modifica) e immettere la chiave giàcondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #2.

12. Nella categoria Advanced Settings (Impostazioni avanzate), scegliere Advanced VPN Properties(Proprietà VPN avanzate), configurare le proprietà come segue E, al termine, scegliere OK:

• IKE (fase 1):• Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman): Group 2 (1024 bit)• Renegotiate IKE security associations every (Rinegozia associazioni sicurezza IKE ogni) 480

minutes (minuti)• IPsec (fase 2):

• Selezionare Use Perfect Forward Secrecy (Utilizza Perfect Forward Secrecy)• Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman): Group 2 (1024 bit)• Renegotiate IPsec security associations every (Rinegozia associazioni sicurezza IPsec ogni)3600 seconds (secondi)

19


Fase 5: configurazione firewall

Fase 5: configurazione firewallIn questa fase viene configurata una policy con regole del firewall e regole di corrispondenza direzionali checonsentono la comunicazione tra il VPC e la rete locale. Viene quindi installata la policy nel gateway.

Per creare regole del firewall

1. In SmartDashboard, scegliere Global Properties (Proprietà globali) per il gateway. Nel riquadro dellecategorie, espandere VPN e scegliere Advanced (Avanzate).

2. Selezionare Enable VPN Directional Match in VPN Column (Abilita corrispondenza VPN direzionalenella colonna VPN) e scegliere OK.

3. In SmartDashboard, scegliere Firewall e creare una policy con le seguenti regole:

• Consente la comunicazione tra la sottorete VPC e la rete locale sui protocolli richiesti.• Consente la comunicazione tra la rete locale e la sottorete VPC sui protocolli richiesti.

4. Aprire il menu contestuale per la cella nella colonna VPN e scegliere Edit Cell (Modifica cella).5. Nella finestra di dialogo VPN Match Conditions (Condizioni corrispondenza VPN), scegliere Match

traffic in this direction only (Corrispondenza traffico solo in questa direzione). Creare le seguenti regoledi corrispondenza direzionale scegliendo Add (Aggiungi) per ognuna e, al termine, selezionare OK:

• internal_clear > comunità VPN (la comunità stella VPN creata in precedenza, ad esempioAWS_VPN_Star)

• Comunità VPN > Comunità VPN• Comunità VPN > internal_clear

6. In SmartDashboard, selezionare Policy, Install (Installa).7. Nella finestra di dialogo, scegliere il gateway e quindi OK per installare la policy.

Fase 6: abilitazione di Dead Peer Detection e TCPMSS ClampingIl gateway Check Point può utilizzare Dead Peer Detection (DPD) per identificare quando un'associazioneIKE è inattiva.

Per configurare DPD per un tunnel permanente, quest'ultimo deve essere configurato nella comunitàVPN AWS. Per ulteriori informazioni, consulta la fase 8 in Fase 4: creazione di una comunità VPN econfigurazione di IKE e IPsec (p. 18).

Per impostazione predefinita, la proprietà tunnel_keepalive_method per un gateway VPN è impostatasu tunnel_test. Occorre modificare il valore in dpd. Ogni gateway VPN nella community VPN cherichiede il monitoraggio DPD deve essere configurato con la proprietà tunnel_keepalive_method,inclusi eventuali gateway VPN di terze parti. Non è possibile configurare meccanismi di monitoraggiodiversi per lo stesso gateway.

Puoi aggiornare la proprietà tunnel_keepalive_method utilizzando lo strumento GuiDBedit.

Per modificare la proprietà tunnel_keepalive_method

1. Aprire Check Point SmartDashboard e scegliere Security Management Server (Server di gestione dellasicurezza), Domain Management Server (Server di gestione domini).

2. Selezionare File, Database Revision Control... (Controllo revisione database...) e creare una snapshotdi revisione.

3. Chiudere tutte le finestre SmartConsole, ad esempio SmartDashboard, SmartView Tracker eSmartView Monitor.

20


Come testare la configurazione del gateway del cliente

4. Avviare lo strumento GuiBDedit. Per ulteriori informazioni, consulta l'articolo Check Point DatabaseTool in Check Point Support Center.

5. Selezionare Security Management Server (Server di gestione della sicurezza), Domain ManagementServer (Server di gestione domini).

6. Nel riquadro in alto a sinistra, scegliere Table (Tabella), Network Objects (Oggetti di rete),network_objects.

7. Nel riquadro in alto a destra, selezionare l'oggetto Security Gateway (Gateway di sicurezza), Clusterpertinente.

8. Premere CTRL+F o utilizzare il menu Search (Cerca) per cercare quanto segue:tunnel_keepalive_method.

9. Nel riquadro inferiore, aprire il menu contestuale per tunnel_keepalive_method e selezionareEdit... (Modifica...). Scegliere dpd, OK.

10. Ripetere le fasi 7 - 9 per ogni gateway che fa parte della comunità VPN AWS.11. Selezionare File, Save All (Salva tutto).12. Chiudere lo strumento GuiDBedit.13. Aprire Check Point SmartDashboard e scegliere Security Management Server (Server di gestione della

sicurezza), Domain Management Server (Server di gestione domini).14. Installare la policy nell'oggetto Security Gateway (Gateway di sicurezza), Cluster pertinente.

Per ulteriori informazioni, consulta l'articolo New VPN features in R77.10 in Check Point Support Center.

TCP MSS Clamping riduce la dimensione segmento massima dei pacchetti TCP per impedire laframmentazione pacchetti.

Per abilitare TCP MSS Clamping

1. Accedere alla seguente directory: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. AprireCheck Point Database Tool eseguendo il file GuiDBEdit.exe.3. Selezionare Table (Tabella), Global Properties (Proprietà globali), properties (proprietà).4. In fw_clamp_tcp_mss, scegliere Edit (Modifica). Modificare il valore in true e scegliere OK.

Come testare la configurazione del gateway delcliente

Puoi provare la configurazione del gateway per ciascun tunnel.

Per testare la configurazione del dispositivo gateway del cliente per ciascun tunnel

1. Nel dispositivo gateway del cliente, stabilisci se lo stato BGP è Established.

Occorrono circa 30 secondi perché un peering BGP sia stabilito.2. Verifica che il dispositivo gateway del cliente pubblicizzi un instradamento al gateway virtuale privato.

L'instradamento potrebbe essere quello predefinito (0.0.0.0/0) oppure uno più specifico, secondo letue preferenze.

Se stabilito correttamente, il peering BGP dovrebbe ricevere un instradamento dal gateway virtuale privatocorrispondente al prefisso che il tuo team di integrazione VPC ha specificato per il VPC (ad esempio,

21

http://supportcontent.checkpoint.com/solutions?id=sk13009





10.0.0.0/24). Se il peering BGP viene stabilito, ricevi un prefisso e annunci un prefisso, il tunnel èconfigurato correttamente. Verifica che entrambi i tunnel siano in questo stato.

Devi poi verificare la connessione per ciascun tunnel avviando un'istanza nel tuo VPC ed effettuando il pingdell'istanza dalla tua rete privata. Prima di iniziare, assicurati di:

• Utilizzare un'AMI che risponda alle richieste di ping. Ti consigliamo di utilizzare una delle AMI AmazonLinux.

• Configurare il gruppo di sicurezza e la lista di controllo degli accessi di rete della tua istanza per abilitareil traffico ICMP in entrata.

• Verificare di aver configurato il routing per la tua connessione VPN: la tabella di routing della tuasottorete deve contenere un instradamento al gateway virtuale privato. Per ulteriori informazioni, consultaAbilitazione della propagazione della route nella tabella di routing nella Guida per l'utente di AmazonVPC.

Per verificare la connettività end-to-end di ciascun tunnel

1. Avviare un'istanza di una delle AMI Amazon Linux nel VPC. Le AMI Amazon Linux sono elencate nellaprocedura guidata di avvio rapido quando avvii un'istanza dalla console Amazon EC2. Per ulterioriinformazioni, consulta la guida Guida alle operazioni di base di Amazon VPC.

2. Quando l'istanza è in esecuzione, recuperane l'indirizzo IP privato (ad esempio, 10.0.0.4). Laconsole visualizza l'indirizzo come parte dei dettagli dell'istanza.

3. In un sistema nella propria rete privata, utilizzare il comando ping con l'indirizzo IP dell'istanza. Verificache il computer dal quale effettui il ping si trovi dietro al dispositivo gateway del cliente. Una risposta diesito positivo sarà simile alla seguente.

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Se effettui il ping di un'istanza dal router del dispositivo gateway del cliente, verifica diacquisire i messaggi di ping da un indirizzo IP interno, non un indirizzo IP tunnel. Alcune AMInon rispondono ai messaggi ping da indirizzi IP tunnel.

4. (Opzionale) Per verificare il failover del tunnel, puoi disabilitare temporaneamente uno dei tunnel suldispositivo gateway del cliente e ripetere il passaggio precedente. Non puoi disabilitare un tunnel sullato AWS della connessione VPN.

Sul lato gateway di Check Point, puoi verificare lo stato del tunnel eseguendo il seguente comando dallostrumento a riga di comando in modalità expert:

vpn tunnelutil

Nelle opzioni visualizzate, scegli 1 per verificare le associazioni IKE e 2 per verificare le associazioni IPsec.

22

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_VPN.html#vpn-configure-routing

https://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/



Puoi anche utilizzare Check Point Smart Tracker Log per verificare che i pacchetti sulla connessione sianocrittografati. Ad esempio, il seguente log indica che un pacchetto al VPC è stato inviato su tunnel 1 ed èstato crittografato.

23


Vista generale del gateway del cliente

Esempio: dispositivo Check Pointsenza Border Gateway Protocol


Questa sezione contiene informazioni di configurazione di esempio fornite dal team di integrazione seil gateway del cliente è un dispositivo Check Point Security Gateway che Esegue R77.10 o versionisuccessive E utilizza i sistema operativo Gaia.




Argomenti• Vista generale del gateway del cliente (p. 24)• File di configurazione (p. 25)• Configurazione del dispositivo Check Point (p. 26)• Come testare la configurazione del gateway del cliente (p. 34)

Vista generale del gateway del clienteIl seguente diagramma mostra i dettagli generali del gateway del cliente. Ogni connessione VPN ècomposta da due tunnel distinti. L'utilizzo di tunnel ridondanti assicura una disponibilità continua in caso dierrore di un dispositivo.

24




File di configurazione

File di configurazioneIl team di integrazione fornisce un file di configurazione con i valori necessari per configurare ciascun tunnele le impostazioni IKE e IPsec per il dispositivo VPN. Il file di configurazione include istruzioni su comeutilizzare il portale Web Gaia e Check Point SmartDashboard per configurare il dispositivo. Le stesse fasivengono fornite nella sezione successiva.

Di seguito è riportato un estratto di un file di configurazione di esempio. Il file contiene due sezioni: IPSecTunnel #1 e IPSec Tunnel #2. Devi utilizzare i valori forniti in ogni sezione per configurare ciascuntunnel.


! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!

25


Configurazione del dispositivo Check Point

! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configurazione del dispositivo Check PointNelle procedure seguenti viene dimostrato come configurare i tunnel VPN, gli oggetti di rete e la sicurezzaper la connessione VPN. Dovrai sostituire i valori di esempio presenti nelle procedure con quelli forniti nelfile di configurazione.

Note

Per ulteriori informazioni, consulta l'articolo Check Point Security Gateway IPsec VPN to AmazonWeb Services VPC in Check Point Support Center.

Argomenti• Fase 1: configurazione dell'interfaccia di tunnel (p. 26)• Fase 2: configurazione della route statica (p. 28)• Fare 3: creazione di oggetti di rete (p. 29)• Fase 4: creazione di una comunità VPN e configurazione di IKE e IPsec (p. 30)• Fase 5: configurazione firewall (p. 32)• Fase 6: abilitazione di Dead Peer Detection e TCP MSS Clamping (p. 33)

Fase 1: configurazione dell'interfaccia di tunnelLa prima fase consiste nel creare i tunnel VPN e fornire gli indirizzi IP (interni) privati del gateway del clienteE del gateway virtuale privato per ogni tunnel. Per creare il primo tunnel, utilizza le informazioni fornite nellasezione IPSec Tunnel #1 del file di configurazione. Per creare il secondo tunnel, utilizza i valori fornitinella sezione IPSec Tunnel #2 del file di configurazione.

Per configurare l'interfaccia del tunnel

1. Aprire il portale Gaia del dispositivo Check Point Security Gateway.2. Selezionare Network Interfaces (Interfacce di rete), Add (Aggiungi), VPN Tunnel (Tunnel VPN).3. Nella finestra di dialogo, configurare le impostazioni come riportato di seguito e, al termine, scegliere

OK:

• In VPN Tunnel ID (ID tunnel VPN), immettere un valore univoco, ad esempio 1.

26




Fase 1: configurazione dell'interfaccia di tunnel

• In Peer, immettere un nome univoco per il tunnel, ad esempio AWS_VPC_Tunnel_1 oAWS_VPC_Tunnel_2.

• Assicurarsi che Numbered (Numerato) sia selezionato e in Local Address (Indirizzo locale),immettere l'indirizzo IP specificato per CGW Tunnel IP nel file di configurazione, ad esempio,169.254.44.234.

• In Remote Address (Indirizzo remoto), immettere l'indirizzo IP specificato per VGW Tunnel IP nelfile di configurazione, ad esempio, 169.254.44.233.

4. Connettersi al gateway di sicurezza su SSH. Se si utilizza la shell non predefinita, modificare in clisheseguendo il seguente comando: clish

5. Per tunnel 1, eseguire il seguente comando:

set interface vpnt1 mtu 1436

Per tunnel 2, eseguire il seguente comando:

set interface vpnt2 mtu 1436

6. Ripetere queste fasi per creare un secondo tunnel, utilizzando le informazioni nella sezione IPSecTunnel #2 del file di configurazione.

27


Fase 2: configurazione della route statica

Fase 2: configurazione della route staticaIn questa fase specificherai la route statica alla sottorete nel VPC per ogni tunnel in modo da poter inviaretraffico attraverso le interfacce di tunnel. Il secondo tunnel consente il failover nel caso si verifichi unproblema con il primo tunnel. Se viene rilevato un problema, la route statica basata su policy viene rimossadalla tabella di routing e viene attivato il secondo instradamento. Devi inoltre abilitare il gateway CheckPoint per eseguire il ping dell'altra estremità del tunnel per verificare se il tunnel è attivo.

Per configurare le route statiche

1. Nel portale Gaia, scegliere IPv4 Static Routes (Route statiche IPv4), Add (Aggiungi).2. Specificare il CIDR della sottorete, ad esempio, 10.28.13.0/24.3. Selezionare Add Gateway (Aggiungi gateway), IP Address (Indirizzo IP).4. Immettere l'indirizzo IP specificato per VGW Tunnel IP nel file di configurazione (ad esempio

169.254.44.233) e specificare la priorità 1.5. Selezionare Ping.6. Ripetere le fasi 3 e 4 per il secondo tunnel utilizzando il valore VGW Tunnel IP nella sezione IPSec

Tunnel #2 del file di configurazione. Specificare la priorità 2.

28

Amazon Virtual Private CloudGuida per l'amministratore di reteFare 3: creazione di oggetti di rete

7. Seleziona Salva.

Se utilizzi un cluster, ripeti le fasi precedenti per gli altri membri del cluster.

Fare 3: creazione di oggetti di reteIn questa fase, viene creato un oggetto di rete per ogni tunnel VPN, specificando gli indirizzi IP (esterni)pubblici per il gateway virtuale privato. In seguito questi oggetti vengono aggiunti come gateway satelliteper la comunità VPN. Occorre anche creare un gruppo vuoto che agisce come segnaposto per il dominioVPN.

Per definire un nuovo oggetto di rete

1. Aprire Check Point SmartDashboard.2. In Groups (Gruppi), aprire il menu contestuale e scegliere Groups (Gruppi), Simple Group (Gruppo

semplice). Lo stesso gruppo può essere utilizzato per ogni oggetto di rete.

29


VPN e configurazione di IKE e IPsec3. In Network Objects (Oggetti di rete), aprire il menu contestuale (tasto destro del mouse) e scegliere

New (Nuovo), Interoperable Device (Dispositivo interoperabile).4. In Name (Nome), immettere il nome fornito per il tunnel, ad esempio AWS_VPC_Tunnel_1 o

AWS_VPC_Tunnel_2.5. In IPv4 Address (Indirizzo IPv4), immettere l'indirizzo IP esterno del gateway virtuale privato fornito nel

file di configurazione, ad esempio 54.84.169.196. Salvare le impostazioni e chiudere la finestra didialogo.

6. In SmartDashboard, aprire le proprietà del gateway e nel riquadro delle categorie, scegliere Topology(Topologia).

7. Per recuperare la configurazione dell'interfaccia, scegliere Get Topology (Ottieni topologia).8. Nella sezione VPN Domain (Dominio VPN), scegliere Manually defined (Definito manualmente), quindi

individuare E selezionare il gruppo semplice vuoto creato nella fase 2. Seleziona OK.

Note

È possibile mantenere qualsiasi dominio VPN esistente che è stato configurato.Tuttavia, assicurarsi che host e reti utilizzate o servite dalla nuova connessione VPNnon siano dichiarate in tale dominio VPN, in particolare se il dominio VPN viene derivatoautomaticamente.

9. Ripetere queste fasi per creare un secondo oggetto di rete, utilizzando le informazioni fornite nellasezione IPSec Tunnel #2 del file di configurazione.

Note

Se stai utilizzando cluster, modifica la topologia e definisci le interfacce come interfacce delcluster. Utilizza gli indirizzi IP specificati nel file di configurazione.

Fase 4: creazione di una comunità VPN econfigurazione di IKE e IPsecIn questa fase, viene creata una comunità VPN nel gateway Check Point a cui aggiungere oggetti direte (dispositivi interoperabili) per ogni tunnel. Vengono anche configurate le impostazioni Internet KeyExchange (IKE) e IPsec.

30


VPN e configurazione di IKE e IPsecPer creare e configurare le impostazioni comunità VPN, IKE e IPsec

1. Dalle proprietà del gateway, scegliere IPSec VPN (VPN IPSec) nel riquadro delle categorie.2. Selezionare Communities (Comunità), New (Nuova), Star Community (Comunità stella).3. Fornire un nome per la comunità (ad esempio, AWS_VPN_Star), quindi selezionare Center Gateways

(Gateway centrali) nel riquadro delle categorie.4. Selezionare Add (Aggiungi) e aggiungere il gateway o il cluster all'elenco dei gateway partecipanti.5. Nel riquadro delle categorie, selezionare Satellite Gateways (Gateway satellite), Add

(Aggiungi) e aggiungere i dispositivi interoperabili creati in precedenza (AWS_VPC_Tunnel_1 eAWS_VPC_Tunnel_2) all'elenco di gateway partecipanti.

6. Nel riquadro delle categorie, selezionare Encryption (Crittografia). Nella sezione Encryption Method(Metodo di crittografia), scegliere IKEv1 only (Solo IKEv1). Nella sezione Encryption Suite (Suite dicrittografia), scegliere Custom (Personalizzato), Custom Encryption (Crittografia personalizzata).

7. Nella finestra di dialogo, configurare le proprietà di crittografia come riportato di seguito e, al termine,scegliere OK:

• Proprietà IKE Security Association (fase 1):• Perform key exchange Encryption with (Esegui crittografia scambio delle chiavi con): AES-128• Perform data integrity with (Esegui integrità dei dati con): SHA1

• Proprietà IPSec Security Association (fase 2):• Perform IPsec data encryption with (Esegui crittografia dati IPsec con): AES-128• Perform data integrity with (Esegui integrità dei dati con): SHA-1

8. Nel riquadro delle categorie, selezionare Tunnel Management (Gestione tunnel). Selezionare SetPermanent Tunnels (Imposta tunnel permanenti), On all tunnels in the community (Su tutti i tunnel nellecomunità). Nella sezione VPN Tunnel Sharing (Condivisione tunnel VPN), scegliere One VPN tunnelper Gateway pair (Un tunnel VPN per coppia gateway).

9. Nel riquadro delle categorie, espandere Advanced Settings (Impostazioni avanzate) e scegliere SharedSecret (Segreto condiviso).

10. Selezionare il nome peer per il primo tunnel, scegliere Edit (Modifica) e immettere la chiave giàcondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #1.

11. Selezionare il nome peer per il secondo tunnel, scegliere Edit (Modifica) e immettere la chiave giàcondivisa come specificato nel file di configurazione nella sezione IPSec Tunnel #2.

31


Fase 5: configurazione firewall

12. Nella categoria Advanced Settings (Impostazioni avanzate), scegliere Advanced VPN Properties(Proprietà VPN avanzate), configurare le proprietà come segue E, al termine, scegliere OK:

• IKE (fase 1):• Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman): Group 2• Renegotiate IKE security associations every (Rinegozia associazioni sicurezza IKE ogni) 480

minutes (minuti)• IPsec (fase 2):

• Selezionare Use Perfect Forward Secrecy (Utilizza Perfect Forward Secrecy)• Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman): Group 2• Renegotiate IPsec security associations every (Rinegozia associazioni sicurezza IPsec ogni)3600 seconds (secondi)

Fase 5: configurazione firewallIn questa fase viene configurata una policy con regole del firewall e regole di corrispondenza direzionali checonsentono la comunicazione tra il VPC e la rete locale. Viene quindi installata la policy nel gateway.

Per creare regole del firewall

1. In SmartDashboard, scegliere Global Properties (Proprietà globali) per il gateway. Nel riquadro dellecategorie, espandere VPN e scegliere Advanced (Avanzate).

32

Amazon Virtual Private CloudGuida per l'amministratore di reteFase 6: abilitazione di Dead PeerDetection e TCP MSS Clamping

2. Selezionare Enable VPN Directional Match in VPN Column (Abilita corrispondenza VPN direzionalenella colonna VPN) e salvare le modifiche.

3. In SmartDashboard, scegliere Firewall e creare una policy con le seguenti regole:

• Consente la comunicazione tra la sottorete VPC e la rete locale sui protocolli richiesti.• Consente la comunicazione tra la rete locale e la sottorete VPC sui protocolli richiesti.

4. Aprire il menu contestuale per la cella nella colonna VPN e scegliere Edit Cell (Modifica cella).5. Nella finestra di dialogo VPN Match Conditions (Condizioni corrispondenza VPN), scegliere Match

traffic in this direction only (Corrispondenza traffico solo in questa direzione). Creare le seguenti regoledi corrispondenza direzionale scegliendo Add (Aggiungi) per ognuna e, al termine, selezionare OK:

• internal_clear > comunità VPN (la comunità stella VPN creata in precedenza, ad esempioAWS_VPN_Star)

• Comunità VPN > Comunità VPN• Comunità VPN > internal_clear

6. In SmartDashboard, selezionare Policy, Install (Installa).7. Nella finestra di dialogo, scegliere il gateway e quindi OK per installare la policy.

Fase 6: abilitazione di Dead Peer Detection e TCPMSS ClampingIl gateway Check Point può utilizzare Dead Peer Detection (DPD) per identificare quando un'associazioneIKE è inattiva.

Per configurare DPD per un tunnel permanente, quest'ultimo deve Essere configurato nella comunità VPNAWS (fare riferimento alla fase 8 in Fase 4: creazione di una comunità VPN e configurazione di IKE eIPsec (p. 30)).

Per impostazione predefinita, la proprietà tunnel_keepalive_method per un gateway VPN è impostatasu tunnel_test. Occorre modificare il valore in dpd. Ogni gateway VPN nella community VPN cherichiede il monitoraggio DPD deve essere configurato con la proprietà tunnel_keepalive_method,inclusi eventuali gateway VPN di terze parti. Non è possibile configurare meccanismi di monitoraggiodiversi per lo stesso gateway.

Puoi aggiornare la proprietà tunnel_keepalive_method utilizzando lo strumento GuiDBedit.

Per modificare la proprietà tunnel_keepalive_method

1. Aprire Check Point SmartDashboard e scegliere Security Management Server (Server di gestione dellasicurezza), Domain Management Server (Server di gestione domini).

2. Selezionare File, Database Revision Control... (Controllo revisione database...) e creare una snapshotdi revisione.

3. Chiudere tutte le finestre SmartConsole, ad esempio SmartDashboard, SmartView Tracker eSmartView Monitor.

4. Avviare lo strumento GuiBDedit. Per ulteriori informazioni, consulta l'articolo Check Point DatabaseTool in Check Point Support Center.

5. Selezionare Security Management Server (Server di gestione della sicurezza), Domain ManagementServer (Server di gestione domini).

6. Nel riquadro in alto a sinistra, scegliere Table (Tabella), Network Objects (Oggetti di rete),network_objects.

7. Nel riquadro in alto a destra, selezionare l'oggetto Security Gateway (Gateway di sicurezza), Clusterpertinente.

33





8. Premere CTRL+F o utilizzare il menu Search (Cerca) per cercare quanto segue:tunnel_keepalive_method.

9. Nel riquadro inferiore aprire il menu contestuale per tunnel_keepalive_method e scegliere Edit...(Modifica...). Selezionare dpd, quindi OK.

10. Ripetere le fasi 7 - 9 per ogni gateway che fa parte della comunità VPN AWS.11. Selezionare File, Save All (Salva tutto).12. Chiudere lo strumento GuiDBedit.13. Aprire Check Point SmartDashboard e scegliere Security Management Server (Server di gestione della

sicurezza), Domain Management Server (Server di gestione domini).14. Installare la policy nell'oggetto Security Gateway (Gateway di sicurezza), Cluster pertinente.

Per ulteriori informazioni, consulta l'articolo New VPN features in R77.10 in Check Point Support Center.

TCP MSS Clamping riduce la dimensione segmento massima dei pacchetti TCP per impedire laframmentazione pacchetti.

Per abilitare TCP MSS Clamping

1. Accedere alla seguente directory: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. AprireCheck Point Database Tool eseguendo il file GuiDBEdit.exe.3. Selezionare Table (Tabella), Global Properties (Proprietà globali), properties (proprietà).4. In fw_clamp_tcp_mss, scegliere Edit (Modifica). Modificare il valore in true e scegliere OK.




1. Verifica che il dispositivo gateway del cliente abbia un instradamento statico al VPC, come suggeritonei modelli di configurazione forniti da AWS.

2. Verifica che alla connessione VPN sia stata aggiunta una route statica in modo che il trafficopossa tornare al dispositivo gateway del cliente. Ad esempio, se il prefisso della sottorete locale è198.10.0.0/16, devi aggiungere una route statica con quell'intervallo CIDR alla tua connessioneVPN. Verifica che entrambi i tunnel abbiano un indirizzamento statico al tuo VPC.




• Verificare di aver configurato il routing per la tua connessione VPN: la tabella di routing della tua sottoretedeve contenere una route al gateway virtuale privato. Per ulteriori informazioni, consulta Abilitazione dellapropagazione della route nella tabella di routing nella Guida per l'utente di Amazon VPC.

34







1. Avviare un'istanza di una delle AMI Amazon Linux nel VPC. Le AMI Amazon Linux sono elencate nellaprocedura guidata di avvio rapido quando avvii un'istanza dalla console Console di gestione AWS. Perulteriori informazioni, consulta la guida Guida alle operazioni di base di Amazon VPC.



ping 10.0.0.4





Note



Sul lato gateway di Check Point, puoi verificare lo stato del tunnel eseguendo il seguente comando dallostrumento a riga di comando in modalità expert:

vpn tunnelutil

Nelle opzioni visualizzate, scegli 1 per verificare le associazioni IKE e 2 per verificare le associazioni IPsec.

Puoi anche utilizzare Check Point Smart Tracker Log per verificare che i pacchetti sulla connessione sianocrittografati. Ad esempio, il seguente log indica che un pacchetto al VPC è stato inviato su tunnel 1 ed èstato crittografato.

35




36


Vista di alto livello del gateway del cliente

Esempio: dispositivo Cisco ASA


In questa sezione è riportato un esempio delle informazioni di configurazione fornite dal team diintegrazione se il gateway del cliente utilizzato è un dispositivo Cisco ASA in cui è in esecuzione il softwareCisco ASA 8.2+.

Il mostra il layout di alto livello del gateway del cliente. Devi utilizzare le informazioni di configurazione chericevi dal team di integrazione e applicarle al tuo gateway del cliente.




Argomenti• Vista di alto livello del gateway del cliente (p. 37)• na configurazione di esempio (p. 38)• Come testare la configurazione del gateway del cliente (p. 42)

Vista di alto livello del gateway del clienteIl seguente diagramma mostra i dettagli generali del gateway del cliente. Ogni connessione VPN ècomposta da due tunnel distinti. L'utilizzo di tunnel ridondanti assicura una disponibilità continua in caso dierrore di un dispositivo.

37




na configurazione di esempio

Da notare che alcuni dispositivi Cisco ASA supportano soltanto la modalità attiva/standby. Quando utilizziquesti Cisco ASA, puoi avere un solo tunnel attivo alla volta. Il tunnel in standby diventa attivo se il primotunnel non è più disponibile. Con questa ridondanza, dovresti disporre sempre di una connessione al VPCvia uno dei tunnel.

na configurazione di esempioLa configurazione in questa sezione è un esempio delle informazioni di configurazione che saranno fornitedal team di integrazione. La configurazione di esempio contiene un set di informazioni per ogni tunnel daconfigurare.

Questa configurazione include valori di esempio per aiutarti a comprenderne il funzionamento.Alcuni di questi valori sono l'ID di connessione VPN (vpn-12345678) e l'ID di gateway virtuale privato(vgw-12345678) nonché segnaposti per gli endpoint AWS (AWS_ENDPOINT_1 e AWS_ENDPOINT_2).Sostituisci questi valori di esempio con i valori effettivi contenuti nelle informazioni di configurazione chericeverai.

Devi inoltre eseguire queste operazioni:

• Configurare l'interfaccia esterna.• Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.• Assicurarti che il numero di sequenza della policy della lista Crypto sia univoco.• Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano

compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.• Verificare che il numero di monitoraggio SLA sia univoco.• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente e la tua rete locale.

38



Important

Le informazioni di configurazione seguenti sono un esempio di ciò che puoi ricevere dal team diintegrazione. Molti dei valori nell'esempio sono diversi dalle informazioni di configurazione effettiveche ricevi. Devi utilizzare i valori effettivi e non quelli di esempio indicati di seguito, altrimentil'implementazione non riuscirà.

! Amazon Web Services! Virtual Private Cloud!! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway. Only a single tunnel will be up at a! time to the VGW.! ! You may need to populate these values throughout the config based on your setup:! outside_interface - External interface of the ASA! outside_access_in - Inbound ACL on the external interface! amzn_vpn_map - Outside crypto map! vpc_subnet and vpc_subnet_mask - VPC address range! local_subnet and local_subnet_mask - Local subnet address range! sla_monitor_address - Target address that is part of acl-amzn to run SLA monitoring!! --------------------------------------------------------------------------------! IPSec Tunnels! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same or lower number depending on ! the encryption type. If so, we recommend changing the sequence number to ! avoid conflicts and overlap.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!crypto isakmp identity address crypto isakmp enable outside_interfacecrypto isakmp policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha

39



exit!! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group AWS_ENDPOINT_1 type ipsec-l2ltunnel-group AWS_ENDPOINT_1 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit!tunnel-group AWS_ENDPOINT_2 type ipsec-l2ltunnel-group AWS_ENDPOINT_2 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! --------------------------------------------------------------------------------! #2: Access List Configuration!! Access lists are configured to permit creation of tunnels and to send applicable traffic over them.! This policy may need to be applied to an inbound ACL on the outside interface that is used to manage control-plane traffic. ! This is to allow VPN traffic into the device from the Amazon endpoints.!access-list outside_access_in extended permit ip host AWS_ENDPOINT_1 host YOUR_UPLINK_ADDRESSaccess-list outside_access_in extended permit ip host AWS_ENDPOINT_2 host YOUR_UPLINK_ADDRESS!! The following access list named acl-amzn specifies all traffic that needs to be routed to the VPC. Traffic will! be encrypted and transmitted through the tunnel to the VPC. Association with the IPSec security association! is done through the "crypto map" command.!! This access list should contain a static route corresponding to your VPC CIDR and allow traffic from any subnet.! If you do not wish to use the "any" source, you must use a single access-list entry for accessing the VPC range.! If you specify more than one entry for this ACL without using "any" as the source, the VPN will function erratically.! The any rule is also used so the security association will include the ASA outside interface where the SLA monitor! traffic will be sourced from.! See section #4 regarding how to restrict the traffic going over the tunnel!!access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask

!---------------------------------------------------------------------------------! #3: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

40



!crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac

! The crypto map references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime. The mapping is created! as #1, which may conflict with an existing crypto map using the same! number. If so, we recommend changing the mapping number to avoid conflicts.!crypto map amzn_vpn_map 1 match address acl-amzncrypto map amzn_vpn_map 1 set pfs group2crypto map amzn_vpn_map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map amzn_vpn_map 1 set transform-set transform-amzncrypto map amzn_vpn_map 1 set security-association lifetime seconds 3600!! Only set this if you do not already have an outside crypto map, and it is not applied:!crypto map amzn_vpn_map interface outside_interface!! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.!! This option instructs the firewall to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear-df outside_interface!! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128!! This option instructs the firewall to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption outside_interface!! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.sysopt connection tcpmss 1379!! In order to keep the tunnel in an active or always up state, the ASA needs to send traffic to the subnet! defined in acl-amzn. SLA monitoring can be configured to send pings to a destination in the subnet and! will keep the tunnel active. This traffic needs to be sent to a target that will return a response.! This can be manually tested by sending a ping to the target from the ASA sourced from the outside interface.! A possible destination for the ping is an instance within the VPC. For redundancy multiple SLA monitors ! can be configured to several instances to protect against a single point of failure.!! The monitor is created as #1, which may conflict with an existing monitor using the same! number. If so, we recommend changing the sequence number to avoid conflicts.!sla monitor 1 type echo protocol ipIcmpEcho sla_monitor_address interface outside_interface frequency 5exitsla monitor schedule 1 life forever start-time now!! The firewall must allow icmp packets to use "sla monitor"icmp permit any outside_interface

41



!---------------------------------------------------------------------------------! #4: VPN Filter! The VPN Filter will restrict traffic that is permitted through the tunnels. By default all traffic is denied. ! The first entry provides an example to include traffic between your VPC Address space and your office.! You may need to run 'clear crypto isakmp sa', in order for the filter to take effect.!! access-list amzn-filter extended permit ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_maskaccess-list amzn-filter extended deny ip any anygroup-policy filter internalgroup-policy filter attributesvpn-filter value amzn-filtertunnel-group AWS_ENDPOINT_1 general-attributesdefault-group-policy filterexittunnel-group AWS_ENDPOINT_2 general-attributesdefault-group-policy filterexit

!---------------------------------------------------------------------------------------! #5: NAT Exemption! If you are performing NAT on the ASA you will have to add a nat exemption rule.! This varies depending on how NAT is set up. It should be configured along the lines of:! object network obj-SrcNet! subnet 0.0.0.0 0.0.0.0! object network obj-amzn! subnet vpc_subnet vpc_subnet_mask! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn! If using version 8.2 or older, the entry would need to look something like this:! nat (inside) 0 access-list acl-amzn! Or, the same rule in acl-amzn should be included in an existing no nat ACL.


Quando si utilizza un dispositivo Cisco ASA come gateway del cliente, un solo tunnel è attivo (stato UP).Il secondo tunnel deve essere configurato, ma verrà utilizzato solo se il primo tunnel diventa inattivo.Il secondo tunnel non può essere attivo se anche il primo tunnel lo è. Nella console un solo tunnel èvisualizzato come attivo, il secondo viene mostrato come inattivo. Questo è il comportamento previsto per itunnel del gateway del cliente Cisco ASA in quanto, come gateway del cliente, ASA supporta un solo tunnelattivo alla volta.


Per provare la configurazione del gateway del cliente per ciascun tunnel

• Verifica che una route statica sia stata aggiunta alla connessione VPN in modo che il traffico possatornare al gateway del cliente. Ad esempio, se il prefisso della sottorete locale è 198.10.0.0/16,aggiungi una route statica con quell'intervallo CIDR alla tua connessione VPN. Verifica che entrambi itunnel abbiano un indirizzamento statico al tuo VPC.


42



• Utilizzare un'AMI che risponda alle richieste di ping. È consigliabile utilizzare una delle AMI AmazonLinux.




1. Avvia un'istanza di una delle AMI Amazon Linux nel tuo VPC. Le AMI Amazon Linux sono elencatenella procedura guidata di avvio rapido quando avvii un'istanza dalla console di gestione AWS. Perulteriori informazioni, consulta la guida Guida alle operazioni di base di Amazon VPC.


3. In un sistema nella propria rete privata, utilizzare il comando ping con l'indirizzo IP dell'istanza. Verificache il computer dal quale effettui il ping si trovi dietro al gateway del cliente. Una risposta di esitopositivo sarà simile alla seguente.

ping 10.0.0.4





Note

Se effettui il ping di un'istanza dal router del gateway del cliente, verifica di acquisire imessaggi di ping da un indirizzo IP interno, non un indirizzo IP tunnel. Alcune AMI nonrispondono ai messaggi ping da indirizzi IP tunnel.

4. (Opzionale) Per verificare il failover del tunnel, puoi disabilitare temporaneamente uno dei tunnel sulgateway del cliente e ripetere il passaggio precedente. Non puoi disabilitare un tunnel sul lato AWSdella connessione VPN.

Se il test dei tunnel va a buon fine, consulta Risoluzione dei problemi di connettività del gateway del clienteCISCO ASA (p. 176).

43






Esempio: dispositivo Cisco ASA conun'interfaccia VTI e Border GatewayProtocol


In questa sezione è riportato un esempio delle informazioni di configurazione fornite dal team diintegrazione se il gateway del cliente utilizzato è un dispositivo Cisco ASA in cui è in esecuzione il softwareCisco ASA 9.7.1+.




Argomenti• Vista di alto livello del gateway del cliente (p. 44)• Configurazione di esempio (p. 45)• Come testare la configurazione del gateway del cliente (p. 51)


44




Configurazione di esempio

Cisco ASA versione 9.7.1 o versione successiva supporta la modalità attivo/attivo. Quando utilizzii dispositivi Cisco ASA, entrambi i tunnel possono essere contemporaneamente attivi. Con questaridondanza, dovresti disporre sempre di una connessione al VPC via uno dei tunnel.

Configurazione di esempioLa configurazione in questa sezione è un esempio delle informazioni di configurazione che saranno fornitedal team di integrazione. La configurazione di esempio contiene un set di informazioni per ogni tunnel daconfigurare.



• Configurare l'interfaccia esterna.• Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.• Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano

compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente E la tua rete locale.

Important

Le informazioni di configurazione seguenti sono un esempio di ciò che puoi ricevere dal team diintegrazione. Molti dei valori nell'esempio sono diversi dalle informazioni di configurazione effettive

45



che ricevi. Devi utilizzare i valori effettivi e non quelli di esempio indicati di seguito, altrimentil'implementazione non riuscirà.


! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!

crypto ikev1 enable 'outside_interface'

crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.

46



!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit

! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.

crypto ipsec df-bit clear-df 'outside_interface'

! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.

sysopt connection tcpmss 1379

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!

47



! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.

interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit

! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.197 remote-as 7224 neighbor 169.254.33.197 timers 10 30 30 neighbor 169.254.33.197 default-originate neighbor 169.254.33.197 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summaryno synchronization exit-address-familyexit!

! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

48



! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-1 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-1exit





! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.

49



!crypto ipsec security-association replay window-size 128


! -------------------------------------------------------------------------


! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.


! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!

50



! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.193 remote-as 7224 neighbor 169.254.33.193 timers 10 30 30 neighbor 169.254.33.193 default-originate neighbor 169.254.33.193 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summary no synchronization exit-address-familyexit!


Quando si utilizza un dispositivo Cisco ASA come gateway del cliente in modalità instradata, entrambi itunnel saranno attivi (stato UP).



• Verifica che le route siano annunciate correttamente con BGP e che siano visualizzate nella tabelladi routing di modo che il traffico possa tornare al gateway del cliente. Ad esempio, se il prefisso dellasottorete locale è 198.10.0.0/16, devi annunciarlo tramite BGP. Assicurati che Entrambi i tunnelsiano configurati con il routing BGP.





51






1. Avvia un'istanza di una delle AMI Amazon Linux nel tuo VPC. Le AMI Amazon Linux sono elencatenella procedura guidata di avvio rapido quando avvii un'istanza dalla console di gestione AWS. Perulteriori informazioni, consulta la guida Guida alle operazioni di base di Amazon VPC.



ping 10.0.0.4





Note




52




Esempio: dispositivo Cisco ASA conun'interfaccia VTI (senza BorderGateway Protocol)


In questa sezione è riportato un esempio delle informazioni di configurazione fornite dal team diintegrazione se il gateway del cliente utilizzato è un dispositivo Cisco ASA in cui è in esecuzione il softwareCISCO ASA 9.7.1+ e se si intende configurare una connessione VPN instradata staticamente.




Argomenti• Vista di alto livello del gateway del cliente (p. 53)• Configurazione di esempio (p. 54)• Come testare la configurazione del gateway del cliente (p. 59)


53





Cisco ASA versione 9.7.1 o versione successiva supporta la modalità attivo/attivo. Quando utilizzii dispositivi Cisco ASA, entrambi i tunnel possono essere contemporaneamente attivi. Con questaridondanza, dovresti disporre sempre di una connessione al VPC via uno dei tunnel.

Configurazione di esempioLa configurazione in questa sezione è un esempio delle informazioni di configurazione che saranno fornitedal team di integrazione. La configurazione di esempio contiene un set di informazioni per ogni tunnel daconfigurare.



• Configurare l'interfaccia esterna.• Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.• Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano

compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.

54



• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente E la tua rete locale.

Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.

55



! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------


56





! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-0 10.0.0.0 255.255.0.0 169.254.33.197 100 ! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes

57



authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!

58



tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit



! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-1 10.0.0.0 255.255.0.0 169.254.33.193 200


Quando si utilizza un dispositivo Cisco ASA come gateway del cliente in modalità instradata, entrambi itunnel saranno attivi (stato UP).



• Verifica che una route statica sia stata aggiunta alla connessione VPN in modo che il traffico possatornare al gateway del cliente. Ad esempio, se il prefisso della sottorete locale è 198.10.0.0/16,

59



aggiungi una route statica con quell'intervallo CIDR alla tua connessione VPN. Verifica che entrambi itunnel abbiano un indirizzamento statico al tuo VPC.









ping 10.0.0.4





Note




60






Esempio: dispositivo Cisco IOS


In questa sezione è riportato un esempio delle informazioni di configurazione fornite dal team diintegrazione se il gateway del cliente utilizzato è un dispositivo Cisco IOS in cui è in esecuzione il softwareCisco IOS 12.4 (o versione successiva).

Due diagrammi illustrano la configurazione di esempio. Il primo diagramma mostra il layout di alto livellodel gateway del cliente e il secondo mostra i dettagli della configurazione di esempio. Devi utilizzare leinformazioni di configurazione che ricevi dal team di integrazione E applicarle al tuo gateway del cliente.




Argomenti• Vista di alto livello del gateway del cliente (p. 61)• Vista dettagliata del gateway del cliente e configurazione di esempio (p. 62)• Come testare la configurazione del gateway del cliente (p. 69)


61



Amazon Virtual Private CloudGuida per l'amministratore di reteVista dettagliata del gateway del

cliente e configurazione di esempio

Vista dettagliata del gateway del cliente econfigurazione di esempio

Il diagramma in questa sezione illustra un esempio del gateway del cliente Cisco IOS. A seguire, è riportatoun esempio delle informazioni di configurazione che devono essere fornite dal team di integrazione. Laconfigurazione di esempio contiene un set di informazioni per ogni tunnel da configurare.

Inoltre, la configurazione di esempio fa riferimento a questi elementi che devi fornire:

• YOUR_UPLINK_ADDRESS — L'indirizzo IP per l'interfaccia esterna Internet instradabile sul gateway delcliente. L'indirizzo deve essere statico e può trovarsi dietro un dispositivo che esegue la conversionedegli indirizzi di rete (NAT). Per assicurare il corretto funzionamento di NAT Traversal (NAT-T), devisbloccare la porta UDP 4500 modificando le regole di firewall.

• YOUR_BGP_ASN — Il BGP ASN del gateway del cliente (il valore predefinito è 65000)

La configurazione di esempio include vari valori di esempio per aiutarti a comprenderne il funzionamento.Alcuni di questi valori di esempio sono l'ID della connessione VPN (vpn-44a8938f), l'ID del gatewayvirtuale privato (vgw-8db04f81) e gli indirizzi IP (72.21.209.*, 169.254.255.*), and the remote ASN (7224).Sostituisci questi valori di esempio con i valori effettivi contenuti nelle informazioni di configurazione chericeverai.


• Configurare l'interfaccia esterna.• Configurare gli ID di interfaccia del tunnel (denominati Tunnel1 e Tunnel2 nella configurazione di

esempio).• Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.

62


cliente e configurazione di esempio• Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano

compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente E la tua rete locale.

Nel diagramma e nella configurazione di esempio seguenti, devi sostituire i valori segnaposto indicati daltesto corsivo colorato con i valori applicabili alla tua configurazione.

Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier ! and is associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! -------------------------------------------------------------------------! IPsec Tunnel #1! -------------------------------------------------------------------------

63


cliente e configurazione di esempio! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.225 key plain-text-password1exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.225 keyring keyring-vpn-44a8938f-0exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-0 set pfs group2

64


cliente e configurazione di esempio set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-0exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption

! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.255.2 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.225 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the

65


cliente e configurazione di esempio! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 activate neighbor 169.254.255.1 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 timers 10 30 30 neighbor 169.254.255.1 default-originate neighbor 169.254.255.1 activate neighbor 169.254.255.1 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit

! -------------------------------------------------------------------------! IPsec Tunnel #2! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

66


cliente e configurazione di esempio! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.193 key plain-text-password2exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.193 keyring keyring-vpn-44a8938f-1exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-1exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


67



! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your Cloud.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 activate neighbor 169.254.255.5 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 timers 10 30 30 neighbor 169.254.255.5 default-originate neighbor 169.254.255.5 activate neighbor 169.254.255.5 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exit

68



exit







Se stabilito correttamente, il peering BGP dovrebbe ricevere un instradamento dal gateway virtuale privatocorrispondente al prefisso che il tuo team di integrazione VPC ha specificato per il VPC (ad esempio,10.0.0.0/24). Se il peering BGP viene stabilito, ricevi un prefisso e annunci un prefisso, il tunnel èconfigurato correttamente. Verifica che entrambi i tunnel siano in questo stato.









ping 10.0.0.4



69







Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi di connettività del gateway delcliente CISCO IOS (p. 179).

70



Esempio: dispositivo Cisco IOSsenza Border Gateway Protocol


In questa sezione è riportato un esempio delle informazioni di configurazione fornite dal team diintegrazione se il gateway del cliente utilizzato è un router Cisco Integrated Services in cui è in esecuzioneil software Cisco IOS.

Due diagrammi illustrano la configurazione di esempio. Il primo diagramma mostra il layout di alto livellodel gateway del cliente e il secondo mostra i dettagli della configurazione di esempio. Devi utilizzare leinformazioni di configurazione che ricevi dal team di integrazione E applicarle al tuo gateway del cliente.




Argomenti• Vista di alto livello del gateway del cliente (p. 71)• Vista dettagliata del gateway del cliente e configurazione di esempio (p. 72)• Come testare la configurazione del gateway del cliente (p. 78)


71





Vista dettagliata del gateway del cliente econfigurazione di esempio

Il diagramma in questa sezione illustra un esempio di gateway del cliente Cisco IOS (senza BGP). Aseguire, è riportato un esempio delle informazioni di configurazione che devono essere fornite dal team diintegrazione. La configurazione di esempio contiene un set di informazioni per ogni tunnel da configurare.

Inoltre, la configurazione di esempio fa riferimento a questo elemento che devi fornire:


La configurazione di esempio include vari valori di esempio per aiutarti a comprenderne il funzionamento.Alcuni di questi valori di esempio sono l'ID della connessione VPN (vpn-1a2b3c4d), l'ID del gateway virtualeprivato (vgw-12345678) e gli indirizzi IP (205.251.233.*, 169.254.255.*). Sostituisci questi valori di esempiocon i valori effettivi contenuti nelle informazioni di configurazione che riceverai.


• Configurare l'interfaccia esterna.• Configurare gli ID di interfaccia del tunnel (denominati Tunnel1 e Tunnel2 nella configurazione di

esempio).

72


cliente e configurazione di esempio• Verificare che il numero di sequenza della policy Crypto ISAKMP sia univoco.• Verificare che il set di trasformazione Crypto IPsec e la sequenza della policy Crypto ISAKMP siano

compatibili con qualsiasi altro tunnel IPsec configurato sul dispositivo.• Verificare che il numero di monitoraggio SLA sia univoco.• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente e la tua rete locale.


Warning


! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by

73


cliente e configurazione di esempio! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-0 local-address CUSTOMER_IP pre-shared-key address 205.251.233.121 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-0 local-address CUSTOMER_IP match identity address 205.251.233.121 keyring keyring-vpn-1a2b3c4d-0exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-0exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets

74


cliente e configurazione di esempio! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.249.18 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #100, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 100 icmp-echo 169.254.249.17 source-interface Tunnel1 timeout 1000 frequency 5exitip sla schedule 100 life forever start-time nowtrack 100 ip sla 100 reachability ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.

75


cliente e configurazione di esempio! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-1 local-address CUSTOMER_IP pre-shared-key address 205.251.233.122 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-1 local-address CUSTOMER_IP match identity address 205.251.233.122 keyring keyring-vpn-1a2b3c4d-1exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-1exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling

76


cliente e configurazione di esempio! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.249.22 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.122 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #200, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 200 icmp-echo 169.254.249.21 source-interface Tunnel2 timeout 1000 frequency 5

77



exitip sla schedule 200 life forever start-time nowtrack 200 ip sla 200 reachability ! --------------------------------------------------------------------------------




1. Verifica che il dispositivo gateway del cliente abbia un instradamento statico al VPC, come suggeritonei modelli di configurazione forniti da AWS.

2. Verifica che alla connessione VPN sia stata aggiunta una route statica in modo che il trafficopossa tornare al dispositivo gateway del cliente. Ad esempio, se il prefisso della sottorete locale è198.10.0.0/16, devi aggiungere una route statica con quell'intervallo CIDR alla tua connessioneVPN. Verifica che entrambi i tunnel abbiano un indirizzamento statico al tuo VPC.









ping 10.0.0.4




78







Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi relativi alla connettività delgateway del cliente CISCO IOS senza Border Gateway Protocol (p. 184).

79


Vista di alto livello del dispositivo gateway del cliente

Esempio: Dispositivo SonicWALL


In questo argomento è incluso un esempio di configurazione del router se il dispositivo gateway del clienteè un router SonicWALL.




Argomenti• Vista di alto livello del dispositivo gateway del cliente (p. 80)• Esempio di file di configurazione (p. 81)• Configurazione del dispositivo SonicWALL tramite l'interfaccia di gestione (p. 85)• Come testare la configurazione del gateway del cliente (p. 85)

Vista di alto livello del dispositivo gateway delcliente

Il seguente diagramma mostra i dettagli generali del dispositivo gateway del cliente. La connessioneVPN è costituita da due tunnel distinti: il tunnel 1 e il tunnel 2. L'utilizzo di tunnel ridondanti assicura unadisponibilità continua in caso di errore di un dispositivo.

80



Amazon Virtual Private CloudGuida per l'amministratore di reteEsempio di file di configurazione

Esempio di file di configurazioneIl file di configurazione scaricato dalla console Amazon VPC comprende i valori necessari all'utilizzo deglistrumenti a riga di comando in OS 6.2 per configurare ciascun tunnel e le impostazioni IKE e IPsec deldispositivo SonicWALL.

Important

Le informazioni di configurazione seguenti utilizzano valori di esempio. Devi utilizzare i valorieffettivi e non quelli di esempio indicati di seguito, altrimenti l'implementazione non riuscirà.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC address range

81


!! IPSec Tunnel !1! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration

82


! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.44.242 netmask 255.255.255.252!!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.242 remote-as 7224neighbor 169.254.44.242 timers 10 30neighbor 169.254.44.242 soft-reconfiguration inboundendwriteexitcommitend!! IPSec Tunnel #2! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address

83


ike-id peer ip 72.21.209.225 end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.44.114 netmask 255.255.255.252!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal

84


Configurazione del dispositivo SonicWALLtramite l'interfaccia di gestione

router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.114 remote-as 7224neighbor 169.254.44.114 timers 10 30neighbor 169.254.44.114 soft-reconfiguration inboundendwriteexitcommitend

Configurazione del dispositivo SonicWALL tramitel'interfaccia di gestione

Puoi anche configurare il dispositivo SonicWALL tramite l'interfaccia di gestione SonicOS. Per ulterioriinformazioni, consulta Configurazione del dispositivo SonicWALL tramite l'interfaccia di gestione (p. 91).

Non puoi configurare BGP per il dispositivo utilizzando l'interfaccia di gestione. Utilizza invece le istruzionidella riga di comando fornite nel file di configurazione di esempio precedente, nella sezione denominataBGP.












85








ping 10.0.0.4





Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi relativi alla connettività delgateway del cliente per dispositivi generici tramite Border Gateway Protocol (p. 198).

86




Esempio: dispositivo SonicWALLSonicOS senza Border GatewayProtocol


In questo argomento è incluso un esempio di configurazione del router se il dispositivo gateway del clienteè un router SonicWALL su cui è in esecuzione SonicOS 5.9 o 6.2.




Argomenti• Vista di alto livello del dispositivo gateway del cliente (p. 87)• Esempio di file di configurazione (p. 88)• Configurazione del dispositivo SonicWALL tramite l'interfaccia di gestione (p. 91)• Come testare la configurazione del gateway del cliente (p. 93)



87




Esempio di file di configurazioneIl file di configurazione scaricato dalla console Amazon VPC comprende i valori necessari all'utilizzo deglistrumenti a riga di comando in OS 6.2 e per configurare ciascun tunnel e le impostazioni IKE e IPsec deldispositivo SonicWALL.

Important

Le informazioni di configurazione seguenti utilizzano valori di esempio. Devi utilizzare i valorieffettivi e non quelli di esempio indicati di seguito, altrimenti l'implementazione non riuscirà.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496! ! This configuration consists of two tunnels. Both tunnels must be

88


! configured on your customer gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC IP address range! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193 end

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.

! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

89


! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.255.6 netmask 255.255.255.252exit!! ! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T1 metric 1 source any destination name AWSVPC service any gateway 169.254.255.5! IPSec Tunnel !2 ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-2gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.

90



! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128 proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enable commit end!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.!! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.255.2 netmask 255.255.255.252!! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T2 metric 1 source any destination name AWSVPC service any gateway 169.254.255.1

Configurazione del dispositivo SonicWALL tramitel'interfaccia di gestione

La procedura seguente mostra come configurare i tunnel VPN nel dispositivo SonicWALL tramitel'interfaccia di gestione SonicOS. Dovrai sostituire i valori di esempio presenti nelle procedure con quelliforniti nel file di configurazione.

91



Per configurare i tunnel

1. Aprire l'interfaccia di gestione SonicOS di SonicWALL2. Nel riquadro a sinistra, scegliere VPN, Settings (Impostazioni). In VPN Policies (Policy VPN), scegliere

Add... (Aggiungi...).3. Nella finestra della policy VPN della scheda General (Generale) , completa le seguenti informazioni:

• Policy Type (Tipo di policy): scegliere Tunnel Interface (Interfaccia tunnel).• Authentication Method (Metodo di autenticazione): selezionare IKE using Preshared Secret (IKE con

segreto precondiviso).• Name (Nome): inserire un nome per la policy VPN. Ti consigliamo di utilizzare il nome dell'ID VPN

fornito nel file di configurazione.• IPsec Primary Gateway Name or Address (Nome o indirizzo del gateway primario IPsec): immettere

l'indirizzo IP del gateway virtuale privato (endpoint AWS) fornito nel file di configurazione, adesempio 72.21.209.193.

• IPsec Secondary Gateway Name or Address (Nome o indirizzo del gateway secondario IPsec):lasciare il valore predefinito.

• Shared Secret (Segreto condiviso): immettere la chiave già condivisa fornita nel file di configurazionee immetterla nuovamente in Confirm Shared Secret (Conferma segreto condiviso).

• Local IKE ID (ID IKE locale): immettere l'indirizzo IPv4 del gateway del cliente (il dispositivoSonicWALL).

• Peer IKE ID (ID IKE in peering): immettere l'indirizzo IPv4 del gateway virtuale privato (endpointAWS).

4. Nella scheda Network (Rete), completare le seguenti informazioni:

• In Local Networks (Reti locali), scegliere Any address (Qualsiasi indirizzo). Suggeriamo questaopzione per evitare problemi di connettività dalla rete locale.

• In Remote Networks (Reti locali), selezionare Choose a destination network from list (Scegli una retedi destinazione dall'elenco). Creare un oggetto dell'indirizzo con il blocco CIDR del VPC in AWS.

5. Nella scheda Proposals (Proposte), completare le seguenti informazioni.

• In IKE (Phase 1) Proposal (Proposta IKE fase 1), segui la procedura riportata di seguito:• Exchange (Scambio): scegliere Main Mode (Modalità principale).• DH Group (Gruppo DH): immettere un valore per il gruppo Diffie-Hellman; ad esempio 2.• Encryption (Crittografia): selezionare AES-128 o AES-256.• Authentication (Autenticazione): selezionare SHA1 o SHA256.• Life Time (Durata): immettere 28800.

• In IKE (Phase 2) Proposal (Proposta IKE fase 2), segui la procedura riportata di seguito:• Protocol (Protocollo): selezionare ESP.• Encryption (Crittografia): selezionare AES-128 o AES-256.• Authentication (Autenticazione): selezionare SHA1 o SHA256.• Selezionare la casella di controllo Enable Perfect Forward Secrecy (Abilita Perfect Forward

Secrecy) e scegliere il gruppo Diffie-Hellman.• Life Time (Durata): immettere 3600.

Important

Se il gateway virtuale privato è stato creato prima dell'ottobre 2015, dovrai specificare gruppoDiffie-Hellman 2, AES-128 e SHA1 per entrambe le fasi.

6. Nella scheda Advanced (Avanzate), completare le seguenti informazioni:92



• Selezionare Enable Keep Alive (Abilita keep-alive).• Selezionare Enable Phase2 Dead Peer Detection (Abilita fase 2 della funzione Dead Peer Detection)

e immettere quanto segue:• In Dead Peer Detection Interval (Intervallo Dead Peer Detection, immettere 60 (il minimo accettato

dal dispositivo SonicWALL).• In Failure Trigger Level (Livello di attivazione dell'errore, immettere 3.

• In VPN Policy bound to (Policy VPN associata a), selezionare Interface X1 (Interfaccia X1). Questainterfaccia è generalmente progettata per gli indirizzi IP pubblici.

7. Seleziona OK. Nella pagina Settings (Impostazioni), la casella di controllo Enable (Abilita) relativa altunnel deve Essere selezionata per impostazione predefinita. Un punto verde indica che il tunnel èattivo.


Prima di tutto, devi testare la configurazione del gateway per ciascun tunnel.

Per provare la configurazione del dispositivo gateway del cliente per ciascun tunnel

• Nel dispositivo gateway del cliente, verificare di aver aggiunto un indirizzo statico allo spazio IP delblocco CIDR del VPC per utilizzare l'interfaccia del tunnel.

Occorre quindi verificare la connessione per ciascun tunnel avviando un'istanza nel VPC ed effettuando ilping dell'istanza dalla rete privata. Prima di iniziare, assicurati di:



• Verificare di aver configurato il routing per la connessione VPN: la tabella di routing della sottorete devecontenere una route al gateway virtuale privato. Per ulteriori informazioni, consulta Abilitazione dellapropagazione della route nella tabella di routing nella Guida per l'utente di Amazon VPC.


1. Avviare un'istanza di una delle AMI Amazon Linux nel VPC. Le AMI Amazon Linux sono disponibilinella scheda Quick Start (Avvio rapido) quando si utilizza la procedura guidata di avvio delle istanzenella Console di gestione AWS. Per ulteriori informazioni, consulta la guida Guida alle operazioni dibase di Amazon VPC.

2. Quando l'istanza è in esecuzione, recuperarne l'indirizzo IP privato (ad esempio, 10.0.0.4). La consolevisualizza l'indirizzo come parte dei dettagli dell'istanza.

3. In un sistema nella propria rete privata, utilizzare il comando ping con l'indirizzo IP dell'istanza. Verificache il computer dal quale effettui il ping si trovi dietro al gateway del cliente. Una risposta di esitopositivo sarà simile alla seguente:

ping 10.0.0.4


93










Note

Se effettui il ping di un'istanza dal router del gateway del cliente, verifica di acquisire i messaggi diping da un indirizzo IP interno, non un indirizzo IP tunnel. Alcune AMI non rispondono ai messaggiping da indirizzi IP tunnel.


94



Esempio: dispositivo FortinetFortigate


Nel seguente argomento vengono fornite informazioni di configurazione di esempio fornite dal team diintegrazione se il dispositivo gateway del cliente è un dispositivo Fortinet Fortigate 40+.

Due diagrammi illustrano la configurazione di esempio. Il primo diagramma mostra il layout di alto livello deldispositivo gateway del cliente e il secondo diagramma mostra i dettagli della configurazione di esempio.Devi utilizzare le informazioni di configurazione che ricevi dal team di integrazione e applicarle al tuodispositivo gateway del cliente.




Argomenti• Vista di alto livello del dispositivo gateway del cliente (p. 95)• Vista dettagliata del dispositivo gateway del cliente e configurazione di esempio (p. 96)• Come testare la configurazione del gateway del cliente (p. 104)


Il seguente diagramma mostra i dettagli generali del dispositivo gateway del cliente. Ogni connessione VPNè composta da due tunnel distinti. L'utilizzo di tunnel ridondanti assicura una disponibilità continua in casodi errore di un dispositivo.

95




Vista dettagliata del dispositivo gatewaydel cliente e configurazione di esempio

Vista dettagliata del dispositivo gateway del clientee configurazione di esempio

Il diagramma in questa sezione mostra un dispositivo gateway del cliente Fortinet di esempio. Seguendo ildiagramma, è riportato un esempio corrispondente delle informazioni di configurazione che devono esserefornite dal team di integrazione. La configurazione di esempio contiene un set di informazioni per ognitunnel da configurare.


• YOUR_UPLINK_ADDRESS – L'indirizzo IP dell'interfaccia esterna Internet instradabile sul gateway delcliente (che deve essere statico e può essere dietro a un dispositivo che esegue la conversione degliindirizzi di rete - NAT, Network Address Translation).

• YOUR_BGP_ASN – Il BGP ASN del gateway del cliente (il valore predefinito è 65000)



96



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be

97



! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. ! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. ! ! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.193 set psksecret plain-text-password1 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-0" set phase1name "vpn-44a8938f-0" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

98



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-0" set vdom "root" set ip 169.254.255.2 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.1 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.1 set remote-as 7224 end

99



! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.1 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-0"set dstintf internal set srcaddr all

100



set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-0" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.225 set psksecret plain-text-password2 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration!

101



! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-1" set phase1name "vpn-44a8938f-1" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-1" set vdom "root" set ip 169.254.255.6 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.5 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)

102



! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.5 set remote-as 7224 end

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.5 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

!! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa

103



!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-1"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-1" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------









104










ping 10.0.0.4





Note



105





Esempio: dispositivo Juniper J-SeriesJunOS


Questa sezione contiene un esempio delle informazioni di configurazione fornite dal team di integrazionese il dispositivo gateway del cliente è un router Juniper J-Series che esegue JunOS 9.5 (o versionisuccessive).

Due diagrammi illustrano la configurazione di esempio. Il primo diagramma mostra il layout di alto livello deldispositivo gateway del cliente e il secondo mostra i dettagli della configurazione di esempio. Devi utilizzarele informazioni di configurazione che ricevi dal team di integrazione e applicarle al tuo dispositivo gatewaydel cliente.







106






Il diagramma in questa sezione mostra un esempio del dispositivo gateway del cliente Juniper JunOS.Seguendo il diagramma, è riportato un esempio corrispondente delle informazioni di configurazioneche devono essere fornite dal team di integrazione. La configurazione di esempio contiene un set diinformazioni per ogni tunnel da configurare.


• YOUR_UPLINK_ADDRESS – L'indirizzo IP per l'interfaccia esterna Internet instradabile sul dispositivogateway del cliente. L'indirizzo deve essere statico e può trovarsi dietro un dispositivo che esegue laconversione degli indirizzi di rete (NAT). Per assicurare il corretto funzionamento di NAT Traversal (NAT-T), devi sbloccare la porta UDP 4500 modificando le regole di firewall.




• Configurare l'interfaccia esterna (nota anche come ge-0/0/0.0 nella configurazione di esempio).• Configurare gli ID di interfaccia del tunnel (noti anche come st0.1 e st0.2 nella configurazione di

esempio).

107



• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente E la tua rete locale.• Identificare la zona di sicurezza per l'interfaccia di collegamento (le informazioni di configurazione

seguenti utilizzano la zona predefinita "untrust").• Identificare la zona di sicurezza per l'interfaccia interna (le informazioni di configurazione seguenti

utilizzano la zona predefinita "trust").

Nella diagramma e nella configurazione di esempio seguenti, devi sostituire gli elementi in carattere corsivorosso con i valori applicabili alla tua configurazione.

Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

108



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2

# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-0set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225

# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all

# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol esp

109



set security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600

# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-0

# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection

# #3: Tunnel Interface Configuration#

# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1

# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike

# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp

# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387

# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.#

110



# To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject

set protocols bgp group ebgp type external

set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.

111



# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600





# The tunnel interface is configured with the internal IP address.#set interfaces st0.2 family inet address 169.254.255.6/30set interfaces st0.2 family inet mtu 1436

112



set security zones security-zone trust interfaces st0.2




# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN



113
















ping 10.0.0.4





114





Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi di connettività del gateway delcliente Juniper JunOS (p. 188).

115



Esempio: dispositivo Juniper SRXJunOS


Questa sezione contiene un esempio delle informazioni di configurazione fornite dal team di integrazione seil dispositivo gateway del cliente è un router Juniper SRX che esegue JunOS 11.0 (o versioni successive).








116






Il diagramma in questa sezione mostra un esempio del dispositivo gateway del cliente Juniper JunOS 11.0e versioni successive. Seguendo il diagramma, è riportato un esempio corrispondente delle informazioni diconfigurazione che devono essere fornite dal team di integrazione. La configurazione di esempio contieneun set di informazioni per ogni tunnel da configurare.






• Configurare l'interfaccia esterna (nota anche come ge-0/0/0.0 nella configurazione di esempio).• Configurare gli ID di interfaccia del tunnel (noti anche come st0.1 e st0.2 nella configurazione di

esempio).

117



• Configurare l'intero routing interno che sposta il traffico tra il gateway del cliente E la tua rete locale.• Identificare la zona di sicurezza per l'interfaccia di collegamento (le informazioni di configurazione

seguenti utilizzano la zona predefinita "untrust").• Identificare la zona di sicurezza per l'interfaccia interna (le informazioni di configurazione seguenti

utilizzano la zona predefinita "trust").


Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

118



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #

119



set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600





# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1




# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.

120



## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.#

121



# This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-2set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193set security ike gateway gw-vpn-44a8938f-2 no-nat-traversal


# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-2 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-2 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-2 lifetime-seconds 3600





# The tunnel interface is configured with the internal IP address.#

122



set interfaces st0.2 family inet address 169.254.255.6/30set interfaces st0.2 family inet mtu 1436set security zones security-zone trust interfaces st0.2




# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN

123


















ping 10.0.0.4




124






Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi di connettività del gateway delcliente Juniper JunOS (p. 188).

125



Esempio: dispositivo JuniperScreenOS


In questa sezione viene descritto un esempio delle informazioni di configurazione fornite dal team diintegrazione se il dispositivo gateway del cliente è un dispositivo della serie Juniper SSG o Netscreen cheesegue il software Juniper ScreenOS.








126






Il diagramma in questa sezione mostra un esempio del dispositivo gateway del cliente Juniper ScreenOS.Seguendo il diagramma, è riportato un esempio corrispondente delle informazioni di configurazione chedevono essere fornite dal team di integrazione. La configurazione di esempio contiene le informazioni perciascuno dei tunnel da configurare.






• Configurare l'interfaccia esterna (nota anche come ethernet0/0 nella configurazione di esempio).• Configurare gli ID di interfaccia del tunnel (noti anche come tunnel.1 e tunnel.2 nella configurazione

di esempio).

127





Warning

Le informazioni di configurazione seguenti sono un esempio di ciò che puoi ricevere dalteam di integrazione. Molti dei valori nell'esempio seguente sono diversi dalle informazioni diconfigurazione che ricevi. Devi utilizzare i valori effettivi e non quelli di esempio indicati di seguito,altrimenti l'implementazione non riuscirà.Important

La configurazione sottostante è appropriata per ScreenOS versioni 6.2 e successive. Puoiscaricare una configurazione specifica per ScreenOS versione 6.1. Nella finestra di dialogoDownload Configuration (Scarica configurazione), seleziona Juniper Networks, Inc.dall'elenco Vendor (Fornitore), quindi SSG and ISG Series Routers dall'elenco Platform(Piattaforma) e ScreenOS 6.1 dall'elenco Software.

# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of a VPN # Connection. Each VPN Connection is assigned a VPN Connection Identifier# and is associated with two other identifiers, namely the Customer Gateway# Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be configured# on your Customer Gateway.#

128



# This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.## --------------------------------------------------------------------------------# IPsec Tunnel #1# --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.##If the address changes, the Customer Gateway and VPN Connection must be recreated.#

set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ike-prop-vpn-44a8938f-1

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal ipsec-prop-vpn-44a8938f-1

129



# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.#

set interface tunnel.1 zone Trustset interface tunnel.1 ip 169.254.255.2/30set interface tunnel.1 mtu 1436set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.#

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0). ## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop.

set enableset neighbor 169.254.255.1 remote-as 7224set neighbor 169.254.255.1 enableexitexitset interface tunnel.1 protocol bgp

130



# -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#

set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.## This address is configured with the setup for your Customer Gateway. If the# address changes, the Customer Gateway and VPN Connection must be recreated.#set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ike-prop-vpn-44a8938f-2

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal ipsec-prop-vpn-44a8938f-2

131



# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.

set interface tunnel.2 zone Trustset interface tunnel.2 ip 169.254.255.6/30set interface tunnel.2 mtu 1436set vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0).## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop. set enableset neighbor 169.254.255.5 remote-as 7224set neighbor 169.254.255.5 enableexitexitset interface tunnel.2 protocol bgp

132


















ping 10.0.0.4




133






Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi di connettività del gateway delcliente Juniper ScreenOS (p. 192).

134



Esempio: dispositivo NetgatePfSense senza Border GatewayProtocol


In questo argomento viene fornito un esempio di configurazione del router se il gateway del cliente è unfirewall Netgate pfSense che Esegue OS 2.2.5 o versioni successive.




Argomenti• Vista di alto livello del dispositivo gateway del cliente (p. 135)• Configurazione di esempio (p. 136)• Come testare la configurazione del gateway del cliente (p. 139)



Devi utilizzare le informazioni di configurazione che ricevi dal team di integrazione e applicarle al tuodispositivo gateway del cliente.

135





Configurazione di esempioLa configurazione di esempio include vari valori di esempio per aiutarti a comprenderne il funzionamento.Ad esempio, valori di esempio vengono forniti per l'ID connessione VPN (vpn-12345678), l'IDgateway virtuale privato (vgw-12345678) e segnaposti per endpoint AWS (AWS_ENDPOINT_1 eAWS_ENDPOINT_2).

Nella configurazione di esempio seguente, devi sostituire i valori segnaposto indicati dal testo corsivocolorato con i valori applicabili alla tua configurazione.

Important

Le informazioni di configurazione seguenti sono un esempio di cosa attendersi da un team diintegrazione. Molti dei valori nell'esempio sono diversi dalle informazioni di configurazione effettiveche ricevi. Devi utilizzare i valori effettivi e non quelli di esempio indicati di seguito, altrimentil'implementazione non riuscirà.


! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the

136



! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway for redundancy.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_1 f. Description: Amazon-IKE-vpn-12345678-0 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password1 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration!

137



! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-0 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.

! --------------------------------------------------------------------------------

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_2 f. Description: Amazon-IKE-vpn-12345678-1 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address

138



d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password2 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-1 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.




• Nella console Amazon VPC, verificare che una route statica sia stata aggiunta alla connessione VPNin modo che il traffico possa tornare al gateway del cliente. Ad esempio, se il prefisso della sottoretelocale è 198.10.0.0/16, aggiungere una route statica con tale intervallo CIDR alla connessione VPN.Verifica che entrambi i tunnel abbiano un indirizzamento statico al tuo VPC.

139








1. Avviare un'istanza da una delle AMI di Amazon Linux nel VPC. Le AMI di Amazon Linux sonodisponibili nel menu Quick Start (Avvio rapido) quando si utilizza la procedura guidata LaunchInstances (Avvia istanze) nella console Amazon EC2. Per ulteriori informazioni, consulta Avvio diun'istanza nella Guida per l'utente di Amazon EC2 per le istanze Linux.



ping 10.0.0.4





Note



140



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html



Esempio: dispositivo Palo AltoNetworks


Il seguente argomento contiene informazioni di configurazione di esempio fornite dal team di integrazionese il dispositivo gateway del cliente utilizzato è un dispositivo Palo Alto Networks PANOS 4.1.2+.








141






Il diagramma in questa sezione illustra un esempio del dispositivo gateway del cliente Palo Alto. Seguendoil diagramma, è riportato un esempio corrispondente delle informazioni di configurazione che devonoessere fornite dal team di integrazione. La configurazione di esempio contiene un set di informazioni perogni tunnel da configurare.


• YOUR_UPLINK_ADDRESS — l'indirizzo IP dell'interfaccia esterna Internet instradabile sul dispositivogateway del cliente, che deve essere statico e può essere dietro un dispositivo che esegue laconversione NAT. Un dispositivo NAT Traversal (NAT-T) non è tuttavia supportato.




142



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!

143



!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-0 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-0 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchange-mode main set authentication pre-shared-key key plain-text-password1 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.193 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

144



! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.5/30 set units tunnel.1 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-1 set auto-key ike-gateway ike-vpn-44a8938f-0 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0 set tunnel-interface tunnel.1 set anti-replay yes

! --------------------------------------------------------------------------------


edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-0 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.5/30

145



set local-address interface tunnel.1 set peer-as 7224 set peer-address ip 169.254.255.2 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.

edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-1 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-1

146



set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchange-mode main set authentication pre-shared-key key plain-text-password2 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.225 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.1/30 set units tunnel.2 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-2 set auto-key ike-gateway ike-vpn-44a8938f-1 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1 set tunnel-interface tunnel.2 set anti-replay yes

147




edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-1 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.1/30 set local-address interface tunnel.2 set peer-as 7224 set peer-address ip 169.254.255.6.113 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.


! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

148


















ping 10.0.0.4




149






Note



150



Esempio: dispositivo Yamaha


In questa sezione viene descritto un esempio delle informazioni di configurazione fornite dal team diintegrazione se il dispositivo gateway del cliente è un router Yamaha RT107e, RTX1200, RTX1210,RTX1500, RTX3000 o SRT100.








151






Il diagramma in questa sezione mostra un esempio del dispositivo gateway del cliente Yamaha. Seguendoil diagramma, è riportato un esempio corrispondente delle informazioni di configurazione che devonoessere fornite dal team di integrazione. La configurazione di esempio contiene un set di informazioni perogni tunnel da configurare.



• YOUR_LOCAL_NETWORK_ADDRESS — L'indirizzo IP assegnato all'interfaccia LAN connessa alla retelocale (molto probabilmente un indirizzo privato come 192.168.0.1)



Inoltre, è anche necessario:

• Configurare l'interfaccia esterna (nota anche come LAN3 nella configurazione di esempio).

152



• Configurare gli ID di interfaccia del tunnel (noti anche come Tunnel #1 e Tunnel #2 nellaconfigurazione di esempio).



Warning

Le informazioni di configurazione seguenti sono un esempio di ciò che puoi ricevere dal teamdi integrazione. Molti dei valori nell'esempio sono diversi dalle informazioni di configurazioneeffettive che ricevi. Devi utilizzare i valori effettivi e non quelli di esempio indicati di seguito, in casocontrario l'implementazione non riuscirà.

# Amazon Web Services # Virtual Private Cloud # AWS utilizes unique identifiers to manage the configuration of # a VPN Connection. Each VPN Connection is assigned an identifier and is # associated with two other identifiers, namely the # Customer Gateway Identifier and Virtual Private Gateway Identifier. # # Your VPN Connection ID : vpn-44a8938f # Your Virtual Private Gateway ID : vgw-8db04f81 # Your Customer Gateway ID : cgw-b4dc3961 # # # This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway. # # -------------------------------------------------------------------------------- # IPsec Tunnel #1 # --------------------------------------------------------------------------------

153



# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 1 ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha # This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 1 text plain-text-password1

# #2: IPsec Configuration # The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPSec policies, each identified by # sequence number. This policy is defined as #201, which may conflict with# an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.# ipsec tunnel 201 ipsec sa policy 201 1 esp aes-cbc sha-hmac # The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime. ipsec ike duration ipsec-sa 1 3600 ipsec ike pfs 1 on # Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

154



# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational. ipsec ike keepalive use 1 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS ipsec ike remote address 1 72.21.209.225ipsec ike local address id <id> 0.0.0.0/0ipsec ike remote address id <id> 0.0.0.0/0ip tunnel address 169.254.255.2/30 ip tunnel remote address 169.254.255.1 # This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation ip tunnel tcp mss limit 1387tunnel enable 1tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.

155



# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

# -------------------------------------------------------------------------------- # IPsec Tunnel #2 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 2 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha

# This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 2 text plain-text-password2

# #2: IPsec Configuration

# The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPsec policies, each identified by # sequence number. This policy is defined as #202, which may conflict with # an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts. #

ipsec tunnel 202ipsec sa policy 202 2 esp aes-cbc sha-hmac

156



# The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime.

ipsec ike duration ipsec-sa 2 3600ipsec ike pfs 2 on

# Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational.

ipsec ike keepalive use 2 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # Association with the IPsec security association is done through the # "tunnel protection" command. # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESSipsec ike remote address 2 72.21.209.193ipsec ike local address id <id> 0.0.0.0/0ipsec ike remote address id <id> 0.0.0.0/0ip tunnel address 169.254.255.6/30 ip tunnel remote address 169.254.255.5

# This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation

ip tunnel tcp mss limit 1387tunnel enable 2tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. #

157



# Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.## # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

bgp configure refresh











• Verificare di aver configurato il routing per la tua connessione VPN: la tabella di routing della tuasottorete deve contenere un instradamento al gateway virtuale privato. Per ulteriori informazioni, consulta

158



Abilitazione della propagazione della route nella tabella di routing nella Guida per l'utente di AmazonVPC.





ping 10.0.0.4





Note



Se il test dei tunnel non va a buon fine, consulta Risoluzione dei problemi di connettività del gateway delcliente Yamaha (p. 195).

159





Esempio: dispositivo gatewaygenerico del cliente che utilizzaBorder Gateway Protocol


Se il dispositivo gateway del cliente non fa parte dei tipi analizzati in precedenza nella guida, il team diintegrazione può fornirti informazioni generiche per configurare il dispositivo gateway del cliente. Questasezione contiene un esempio di queste informazioni.








160






Il diagramma in questa sezione mostra un esempio di un dispositivo gateway generico del cliente.Seguendo il diagramma, è riportato un esempio corrispondente delle informazioni di configurazioneche devono essere fornite dal team di integrazione. La configurazione di esempio contiene un set diinformazioni per ogni tunnel da configurare.






161



Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration===============================================AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-b4dc3961

A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured.

IPsec Tunnel #1================================================

#1: Internet Key Exchange Configuration

Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key

162



- Pre-Shared Key : plain-text-password1- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption

#3: Tunnel Interface Configuration

Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.

The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.

The Customer Gateway inside IP address should be configured on your tunnelinterface.

Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.2/30- Virtual Private Gateway : 169.254.255.1/30

163



Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

#4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.1- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

IPsec Tunnel #2=====================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We

164



recommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.6/30- Virtual Private Gateway : 169.254.255.5/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

" #4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.5- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

165


















ping 10.0.0.4




166






Note




167



Esempio: dispositivo gateway delcliente generico senza BorderGateway Protocol


Se il dispositivo gateway del cliente non fa parte dei tipi analizzati in precedenza nella guida, il team diintegrazione può fornirti informazioni generiche per configurare il dispositivo gateway del cliente. Questasezione contiene un esempio di queste informazioni.








168






Il diagramma in questa sezione illustra un dispositivo gateway del cliente generico che utilizza il routingstatico per la rispettiva connessione VPN. Non supporta routing dinamico o BGP (Border GatewayProtocol). A seguire, è riportato un esempio corrispondente delle informazioni di configurazione che devonoessere fornite dal team di integrazione. La configurazione di esempio contiene un set di informazioni perciascuno dei due tunnel da configurare.

In aggiunta, la configurazione di esempio fa riferimento a un elemento che occorre fornire:


La configurazione di esempio include vari valori di esempio per aiutarti a comprenderne il funzionamento.I valori di esempio forniti sono l'ID della connessione VPN (vpn-44a8938f), l'ID del gateway virtuale privato(vgw-8db04f81) e gli indirizzi IP VGW (72.21.209.*, 169.254.255.*). Sostituisci questi valori di esempio con ivalori effettivi contenuti nelle informazioni di configurazione che riceverai.

169




Important

Le informazioni di configurazione seguenti sono un esempio di cosa attendersi da un team diintegrazione. Molti dei valori nell'esempio sono diversi dalle informazioni di configurazione effettiveche ricevi. Devi utilizzare i valori effettivi e non quelli di esempio indicati di seguito, altrimentil'implementazione non riuscirà.

Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration================================================================================AWS utilizes unique identifiers to manipulate the configuration ofa VPN Connection. Each VPN Connection is assigned a VPN Connection Identifierand is associated with two other identifiers, namely theCustomer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-ff628496

A VPN Connection consists of a pair of IPSec tunnel security associations (SAs).It is important that both tunnel security associations be configured.

IPSec Tunnel #1================================================================================


Configure the IKE SA as followsPlease note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

170



You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



171



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.73

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

IPSec Tunnel #2 ================================================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds

172



- Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225

Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.77

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

173





Per provare la configurazione del dispositivo gateway del cliente per ciascun tunnel

• Nel dispositivo gateway del cliente, verificare di aver aggiunto un indirizzo statico allo spazio IP delblocco CIDR del VPC per utilizzare l'interfaccia del tunnel.






1. Avvia un'istanza di una delle AMI Amazon Linux nel tuo VPC. Le AMI di Amazon Linux sono disponibilinel menu Quick Start (Avvio rapido) quando si utilizza la procedura guidata Launch Instances (Avviaistanze) nella Console di gestione AWS. Per ulteriori informazioni, consulta la guida Guida alleoperazioni di base di Amazon VPC.



PROMPT> ping 10.0.0.4Pinging 10.0.0.4 with 32 bytes of data:




Note

Se effettui il ping di un'istanza dal router del gateway del cliente, verifica di acquisire i messaggi diping da un indirizzo IP interno, non un indirizzo IP tunnel. Alcune AMI non rispondono ai messaggiping da indirizzi IP tunnel.

174








175


Connettività del gateway del cliente CISCO ASA

Risoluzione dei problemiQuesta guida (Guida dell’amministratore della rete) è stata unita a Guida per l'utente di AWS Site-to-SiteVPN e non è più gestita. Per ulteriori informazioni sulla configurazione del dispositivo gateway del cliente,consulta Guida per l'utente di AWS Site-to-Site VPN.

Se lo stato dei tunnel non è appropriato durante il test del dispositivo gateway del cliente, utilizza leinformazioni sulla risoluzione dei problemi seguenti.

Argomenti• Risoluzione dei problemi di connettività del gateway del cliente CISCO ASA (p. 176)• Risoluzione dei problemi di connettività del gateway del cliente CISCO IOS (p. 179)• Risoluzione dei problemi relativi alla connettività del gateway del cliente CISCO IOS senza Border

Gateway Protocol (p. 184)• Risoluzione dei problemi di connettività del gateway del cliente Juniper JunOS (p. 188)• Risoluzione dei problemi di connettività del gateway del cliente Juniper ScreenOS (p. 192)• Risoluzione dei problemi di connettività del gateway del cliente Yamaha (p. 195)• Risoluzione dei problemi relativi alla connettività del gateway del cliente per dispositivi generici tramite

Border Gateway Protocol (p. 198)• Risoluzione dei problemi relativi alla connettività del gateway del cliente per dispositivi generici senza

Border Gateway Protocol (p. 201)

Risoluzione dei problemi di connettività del gatewaydel cliente CISCO ASA


Per la risoluzione dei problemi di connettività di un gateway del cliente Cisco, considera tre elementi: IKE,IPsec e routing. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare conIKE (nella parte inferiore dello stack di rete) e di risalire.

Important

Alcuni dispositivi Cisco ASA supportano soltanto la modalità Active/Standby. Quando utilizziquesti Cisco ASA, puoi avere un solo tunnel attivo alla volta. Il tunnel in standby diventaattivo solo se il primo tunnel non è più disponibile. Il tunnel in standby può generare l'erroreseguente nei file di log, che può essere ignorato: Rejecting IPSec tunnel: no matchingcrypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy0.0.0.0/0.0.0.0/0/0 on interface outside

IKEUtilizzare il seguente comando. La risposta mostra un gateway del cliente con IKE configuratocorrettamente.

176




IPsec

ciscoasa# show crypto isakmp sa

Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2

1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE

Devono essere visualizzate una o più linee contenenti un valore src del gateway remoto specificato neitunnel. Il valore state deve essere MM_ACTIVE e status deve essere ACTIVE. L'assenza di una voce oqualsiasi voce in un altro stato indica che IKE non è configurato in modo appropriato.

Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log cheforniscono informazioni di diagnostica.

router# term monrouter# debug crypto isakmp

Per disabilitare il debug, utilizza il comando seguente:

router# no debug crypto isakmp

IPsecUtilizzare il seguente comando. La risposta mostra un gateway del cliente con IPsec configuratocorrettamente.

ciscoasa# show crypto ipsec sa

interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0

local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6

inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression

177


Routing

in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001

Per ogni interfaccia di tunnel, devono essere visualizzati inbound esp sas e outbound esp sas. Ciòpresuppone che un'associazione di sicurezza (SA) è elencata (ad esempio, spi: 0x48B456A6) e cheIPsec è configurato correttamente.

In Cisco ASA, IPsec apparirà soltanto dopo l'invio di "traffico interessante". Per mantenere l'IPsec sempreattivo, consigliamo di configurare il monitoraggio SLA. Questo monitoraggio continua a inviare trafficointeressante, mantenendo IPsec attivo.

Puoi anche utilizzare il comando ping seguente per forzare IPsec a iniziare la negoziazione E risalire:

ping ec2_instance_ip_address

Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128



Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug:

router# debug crypto ipsec


router# no debug crypto ipsec

RoutingEsegui il ping dell'altra estremità del tunnel. Se l'operazione riesce, IPsec è operativo. In caso contrario,verifica gli elenchi di accesso e consulta la sezione IPsec precedente.

Se le istanze non sono accessibili:

1. Verificare che access-list sia configurato per consentire il traffico associato alla mappa crypto.

178


Connettività del gateway del cliente CISCO IOS

A questo proposito, utilizzare il seguente comando:

ciscoasa# show run crypto

crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-namecrypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

2. Verificare quindi l'elenco di accesso come segue:

ciscoasa# show run access-list access-list-name

access-list access-list-name extended permit ip any vpc_subnet subnet_mask

Ad esempio:

access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

3. Verificare che tale Elenco di accesso sia corretto. L'esempio di elenco di accesso nella faseprecedente consente tutto il traffico interno alla sottorete VPC 10.0.0.0/16.

4. Eseguire un traceroute dal dispositivo Cisco ASA per verificare se raggiunge i router Amazon (adesempio AWS_ENDPOINT_1/AWS_ENDPOINT_2).

Se li raggiunge, verificare le route statiche che sono state aggiunte nella Console di gestione AWS,nonché i gruppi di sicurezza per le specifiche istanze.

5. Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.

Risoluzione dei problemi di connettività del gatewaydel cliente CISCO IOS


Per la risoluzione dei problemi di connettività di un gateway del cliente Cisco, considera quattro elementi:IKE, IPsec, tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo diiniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.


router# show crypto isakmp sa

179



IPsec

IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE

Devono essere visualizzate una o più linee contenenti un valore src del gateway remoto specificato neitunnel. state deve essere QM_IDLE e status deve essere ACTIVE. L'assenza di una voce o qualsiasivoce in un altro stato indica che IKE non è configurato in modo appropriato.






router# show crypto ipsec sa

interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

180


IPsec

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Per ogni interfaccia di tunnel, devono essere visualizzati inbound esp sas e outbound esp sas.Presupponendo che una SA è elencata (ad esempio, spi: 0xF95D2F3C) e che Status è ACTIVE, IPsecè configurato correttamente.

181


Tunnel

Per un'ulteriore risoluzione dei problemi, utilizza il comando seguente per abilitare il debug.


Per disabilitare il debug, utilizza il comando seguente.


TunnelInnanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per ulteriori informazioni,consulta Configurazione di un firewall tra Internet e il dispositivo gateway del cliente (p. 11).

Se le regole di firewall sono configurate correttamente, continua con la risoluzione dei problemi utilizzandoil comando seguente:

router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Assicurarsi che il file line protocol sia attivo. Verifica che l'indirizzo IP di origine del tunnel, l'interfacciadi origine E la destinazione corrispondano rispettivamente alla configurazione del tunnel per l'indirizzoIP esterno del gateway del cliente, all'interfaccia e all'indirizzo IP esterno del gateway virtuale privato.Assicurarsi che il file Tunnel protection via IPSec sia presente. e di eseguire il comando suentrambe le interfacce di tunnel. Per risolvere qualsiasi tipo di problema in questa sede, rivedere laconfigurazione e controllare le connessioni fisiche al gateway del cliente.

Utilizza inoltre il comando seguente, sostituendo 169.254.255.1 con l'indirizzo IP interno del gatewayvirtuale privato.

router# ping 169.254.255.1 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:

182


BGP

Packet sent with the DF bit set!!!!!

Devono essere visualizzati 5 punti esclamativi.

Per un'ulteriore risoluzione dei problemi, esaminare la configurazione.

BGPUtilizzare il seguente comando:

router# show ip bgp summary

BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1

Entrambi i router devono essere Elencati. Per ognuno, il valore di State/PfxRcd deve essere 1.

Se il peering BGP è attivo, verifica che il router del gateway del cliente annunci la route predefinita(0.0.0.0/0) al VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes

For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i

Total number of prefixes 1

Assicurati inoltre di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato.

router# show ip route bgp

10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20

183


Collegamento del gateway virtuale privato


Collegamento del gateway virtuale privatoAssicurati che il gateway virtuale privato sia collegato al VPC. Il team di integrazione esegue questaoperazione con la Console di gestione AWS.

Per eventuali domande o ulteriori informazioni, utilizza il Amazon VPC forum.

Risoluzione dei problemi relativi alla connettivitàdel gateway del cliente CISCO IOS senza BorderGateway Protocol


Per la risoluzione dei problemi di connettività di un gateway del cliente Cisco, considera tre elementi: IKE,IPsec e tunnel. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo di iniziare conIKE (nella parte inferiore dello stack di rete) e di risalire.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE

Devono essere visualizzate una o più linee contenenti un valore src del gateway remoto specificato neitunnel. state deve essere QM_IDLE e status deve essere ACTIVE. L'assenza di una voce o qualsiasivoce in un altro stato indica che IKE non è configurato in modo appropriato.





184

https://forums.aws.amazon.com/forum.jspa?forumID=58



IPsec


router# show crypto ipsec sa



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:


protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.193 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26

185


Tunnel

#pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Per ogni interfaccia di tunnel, deve essere visualizzato un esp sas in entrata e un esp sas in uscita. Ciòpresuppone che una SA è elencata (ad esempio, spi: 0x48B456A6), che lo stato è ACTIVE e che IPsecè configurato correttamente.





TunnelInnanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per ulteriori informazioni,consulta Configurazione di un firewall tra Internet e il dispositivo gateway del cliente (p. 11).


router# show interfaces tun1

186


Tunnel

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Assicurati che il protocollo di linea sia attivo. Verifica che l'indirizzo IP di origine del tunnel, l'interfacciadi origine E la destinazione corrispondano rispettivamente alla configurazione del tunnel per l'indirizzoIP esterno del gateway del cliente, all'interfaccia e all'indirizzo IP esterno del gateway virtuale privato.Assicurarsi che il file Tunnel protection through IPSec sia presente. e di eseguire il comandosu entrambe le interfacce di tunnel. Per risolvere qualsiasi tipo di problema, rivedere la configurazione econtrollare le connessioni fisiche al gateway del cliente.

Puoi anche utilizzare il comando seguente, sostituendo 169.254.249.18 con l'indirizzo IP interno delgateway virtuale privato.

router# ping 169.254.249.18 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Devono essere visualizzati 5 punti esclamativi.

RoutingPer visualizzare la tabella di routing statica, utilizza il comando seguente:

router# sh ip route static

1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2

Verifica che la route statica esista per il CIDR VPC via i due tunnel. Se non è così, aggiungi le routestatiche come mostrato di seguito:

router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100

187



router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200

Verifica del monitoraggio SLA

router# show ip sla statistics 100

IPSLAs Latest Operation Statistics

IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

router# show ip sla statistics 200

IPSLAs Latest Operation Statistics

IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

Il valore di "Number of successes" indica se il monitoraggio SLA è stato configurato senza problemi.


Collegamento del gateway virtuale privatoVerifica che il gateway virtuale privato sia collegato al VPC. Il team di integrazione esegue questaoperazione con la Console di gestione AWS.


Risoluzione dei problemi di connettività del gatewaydel cliente Juniper JunOS


Per la risoluzione dei problemi di connettività di un gateway del cliente Juniper, considera quattro elementi:IKE, IPsec, tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo diiniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.

188




IKE


user@router> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main

Devono essere visualizzate una o più linee contenenti un indirizzo remoto del gateway remoto specificatonei tunnel. State deve essere UP. L'assenza di una voce, o qualsiasi voce in un altro stato (come DOWN),indica che IKE non è configurato in modo appropriato.

Per un'ulteriore risoluzione dei problemi, abilita le opzioni di monitoraggio IKE come consigliato nelleinformazioni di configurazione di esempio (vedi Esempio: dispositivo Juniper J-Series JunOS (p. 106)).Esegui quindi il comando seguente per stampare vari messaggi di debug sullo schermo.

user@router> monitor start kmd

Da un host esterno, puoi recuperare l'intero file di log con il comando seguente:

scp [email protected]:/var/log/kmd


user@router> show security ipsec security-associations

Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0

In particolare, devono essere visualizzate almeno due linee per indirizzo di gateway (corrispondente algateway remoto). Nota la parentesi angolare all'inizio di ogni linea (< >) che indica la direzione del trafficoper quella voce. L'output ha linee distinte per il traffico in entrata ("<", traffico dal gateway virtuale privato aquesto gateway del cliente) e il traffico in uscita (">").

Per un'ulteriore risoluzione dei problemi, abilita le opzioni di monitoraggio IKE (per ulteriori informazioni,consulta la sezione precedente su IKE).

TunnelInnanzi tutto, accertati che le regole di firewall necessarie siano applicate. Per un elenco delle regole,consulta Configurazione di un firewall tra Internet e il dispositivo gateway del cliente (p. 11).


189


BGP

user@router> show interfaces st0.1

Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2

Assicurati che il valore di Security: Zone sia corretto e che l'indirizzo Local corrisponda all'indirizzointerno del tunnel del gateway del cliente.

Successivamente, utilizza il comando seguente, sostituendo 169.254.255.1 con l'indirizzo IP interno delgateway virtuale privato. I risultati devono essere simili alla risposta riportata di seguito.

user@router> ping 169.254.255.1 size 1382 do-not-fragment

PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms



user@router> show bgp summary

Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0

Per un'ulteriore risoluzione dei problemi, puoi anche utilizzare il comando seguente, sostituendo169.254.255.1 con l'indirizzo IP interno del gateway virtuale privato.

user@router> show bgp neighbor 169.254.255.1

Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh>

190



Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0

Il valore di Received prefixes e Advertised prefixes deve essere 1 nella sezione Tableinet.0.

Se il valore di State non è Established, verifica il valore di Last State e Last Error perinformazioni dettagliate su come procedere per risolvere il problema.


user@router> show route advertising-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I

Assicurati, inoltre, di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato.

user@router> show route receive-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I


191


Connettività del gateway del cliente Juniper ScreenOS


Risoluzione dei problemi di connettività del gatewaydel cliente Juniper ScreenOS


Per la risoluzione dei problemi di connettività di un gateway del cliente basato su Juniper ScreenOS,considera quattro elementi: IKE, IPsec, tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasiordine, ma ti consigliamo di iniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.

IKE e IPsecUtilizzare il seguente comando. La risposta mostra un gateway del cliente con IKE configuratocorrettamente.

ssg5-serial-> get sa

total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Devono essere visualizzate una o più linee contenenti un indirizzo remoto del gateway remoto specificatonei tunnel. Il valore di Sta deve essere A/- e quello di SPI deve essere un numero esadecimale diversoda 00000000. Le voci in altri stati indicano che IKE non è configurato in modo appropriato.

Per un'ulteriore risoluzione dei problemi, abilita le opzioni di monitoraggio IKE come consigliato nelleinformazioni di configurazione di esempio (vedi Esempio: dispositivo Juniper ScreenOS (p. 126)).



ssg5-serial-> get interface tunnel.1

Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready

192




BGP

vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1

Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN

pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Assicurati che link:ready sia visualizzato e che l'indirizzo IP corrisponda all'indirizzo interno del tunneldel gateway del cliente.

Successivamente, utilizza il comando seguente, sostituendo 169.254.255.1 con l'indirizzo IP interno delgateway virtuale privato. I risultati devono essere simili alla risposta riportata di seguito.

ssg5-serial-> ping 169.254.255.1

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms



ssg5-serial-> get vrouter trust-vr protocol bgp neighbor

Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

Entrambi i peer BGP devono essere Elencati come State: ESTABLISH, a indicare che la connessione BGPal gateway virtuale privato è attiva.

Per un'ulteriore risoluzione dei problemi, puoi anche utilizzare il comando seguente, sostituendo169.254.255.1 con l'indirizzo IP interno del gateway virtuale privato.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1

193



peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds

Se il peering BGP è attivo, verifica che il router del gateway del cliente annunci la route predefinita(0.0.0.0/0) al VPC. Questo comando si applica a ScreenOS versione 6.2.0 e versione successiva.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1

Assicurati inoltre di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato. Questo comandosi applica a ScreenOS versione 6.2.0 e versione successiva.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1


194


Connettività del gateway del cliente Yamaha


Risoluzione dei problemi di connettività del gatewaydel cliente Yamaha


Per la risoluzione dei problemi di connettività di un gateway del cliente Yamaha, considera quattro elementi:IKE, IPsec, tunnel e BGP. Puoi risolvere i problemi di queste aree in qualsiasi ordine, ma ti consigliamo diiniziare con IKE (nella parte inferiore dello stack di rete) e di risalire.


# show ipsec sa gateway 1

sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1

Deve essere visualizzata una linea con un valore remote-id del gateway remoto specificato nei tunnel.Puoi elencare tutte le associazioni di sicurezza (SA) omettendo il numero di tunnel.

Per un'ulteriore risoluzione dei problemi, esegui i comandi seguenti per abilitare i messaggi di log di livelloDEBUG che forniscono informazioni di diagnostica.

# syslog debug on# ipsec ike log message-info payload-info key-info

Per annullare gli elementi registrati, utilizza il comando seguente:

# no ipsec ike log# no syslog debug on


# show ipsec sa gateway 1 detail

SA[1] Duration: 10675s

195




Tunnel

Local ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------

Per ogni interfaccia di tunnel, devono essere visualizzati receive sas e send sas.


# syslog debug on# ipsec ike log message-info payload-info key-info

Per disabilitare il debug, utilizza il comando seguente.

# no ipsec ike log# no syslog debug on



# show status tunnel 1

TUNNEL[1]: Description:

196


BGP

Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]

Assicurati che il valore current status sia online e che Interface type sia IPsec. e di eseguire ilcomando su entrambe le interfacce di tunnel. Per risolvere qualsiasi problema in questa fase, esamina laconfigurazione.


# show status bgp neighbor

BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:

Entrambi i router devono essere Elencati. Per ognuno, il valore di BGP state deve Essere Active.


# show status bgp neighbor 169.254.255.1 advertised-routes

Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP

Assicurati inoltre di ricevere il prefisso corrispondente al VPC dal gateway virtuale privato.

# show ip route

197



Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124


Collegamento del gateway virtuale privatoAssicurati che il gateway virtuale privato sia collegato al VPC. Il team di integrazione Esegue questaoperazione con la console di gestione AWS.


Risoluzione dei problemi relativi alla connettività delgateway del cliente per dispositivi generici tramiteBorder Gateway Protocol


Il diagramma e la tabella seguenti forniscono istruzioni generali per la risoluzione dei problemi di ungateway del cliente che utilizza Border Gateway Protocol per dispositivi non elencati in questa guida.

Tip

Durante la risoluzione dei problemi, potrebbe rivelarsi utile abilitare le caratteristiche di debug deldispositivo gateway Per informazioni dettagliate, consulta il fornitore del dispositivo gateway.

198




Connettività del gateway del cliente per dispositivi generici

199


Connettività del gateway del cliente per dispositivi generici

Determina se Esiste un'associazione di sicurezza IKE.

Un'associazione di sicurezza IKE è necessaria per scambiare chiavi utilizzate per stabilirel'associazione di sicurezza IPsec.

Se non esiste un'associazione di questo tipo, esamina le impostazioni di configurazioneIKE. Devi configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e dimodalità come Elencato nella configurazione del gateway del cliente.

Se un'associazione di sicurezza IKE esiste, passa a IPsec.

Determina se Esiste un'associazione di sicurezza IPsec.

Un'associazione di sicurezza IPsec è il tunnel stesso. Esegui una query sul gateway delcliente per determinare se un'associazione di sicurezza IPsec è attiva. Una configurazioneappropriata della SA IPsec è fondamentale. Devi configurare i parametri di crittografia,autenticazione, perfect-forward-secrecy e di modalità come Elencato nella configurazionedel gateway del cliente.

Se non esiste alcuna associazione di sicurezza IPsec, esamina le impostazioni diconfigurazione IPsec.

Se invece Esiste, passa al tunnel.

Verifica che le regole di firewall necessarie siano configurate (per un elenco delleregole, consulta Configurazione di un firewall tra Internet e il dispositivo gateway delcliente (p. 11)). Se lo sono, continua.

Determina se Esiste una connettività IP via il tunnel.

Ogni lato del tunnel ha un indirizzo IP come specificato nella configurazione del gatewaydel cliente. L'indirizzo del gateway virtuale privato è quello utilizzato come indirizzo routerBGP. Dal gateway del cliente, esegui il ping di questo indirizzo per determinare se il trafficoIP è stato crittografato e decrittografato correttamente.

Se il ping non riesce, esamina la configurazione di interfaccia di tunnel per assicurarti chel'indirizzo IP sia configurato correttamente.

Se il ping riesce, passa a BGP.

Determina se il peering BGP è attivo.

Per ogni tunnel, procedi come segue:

• Nel gateway del cliente, determina se lo stato di BGP è Active o Established. Èpossibile che siano necessari circa 30 secondi perché un peering BGP diventi attivo.

• Verifica che il gateway del cliente annunci la route predefinita (0.0.0.0/0) al gatewayvirtuale privato.

Se i tunnel non sono in questo stato, esamina la configurazione BGP.

Se il peering BGP viene stabilito, ricevi un prefisso e annunci un prefisso, il tunnel èconfigurato correttamente. Assicurati infine che entrambi i tunnel siano in questo stato.

Assicurati che il gateway virtuale privato sia collegato al VPC. Il team di integrazioneesegue questa operazione con la Console di gestione AWS.

200


Connettività del gateway del clienteper dispositivi generici (senza BGP)

Per istruzioni di test generali applicabili a tutti i gateway del cliente, consulta Come testare la configurazionedel gateway del cliente (p. 166).


Risoluzione dei problemi relativi alla connettività delgateway del cliente per dispositivi generici senzaBorder Gateway Protocol


Il diagramma e la tabella seguenti forniscono istruzioni generali per la risoluzione dei problemi di undispositivo gateway del cliente che non utilizza Border Gateway Protocol.

Tip

Durante la risoluzione dei problemi, potrebbe rivelarsi utile abilitare le caratteristiche di debug deldispositivo gateway Per informazioni dettagliate, consulta il fornitore del dispositivo gateway.

201





202



Determina se Esiste un'associazione di sicurezza IKE.

Un'associazione di sicurezza IKE è necessaria per scambiare chiavi utilizzate per stabilirel'associazione di sicurezza IPsec.

Se non esiste un'associazione di questo tipo, esamina le impostazioni di configurazioneIKE. Devi configurare i parametri di crittografia, autenticazione, perfect-forward-secrecy e dimodalità come Elencato nella configurazione del gateway del cliente.

Se un'associazione di sicurezza IKE esiste, passa a IPsec.

Determina se Esiste un'associazione di sicurezza IPsec.

Un'associazione di sicurezza IPsec è il tunnel stesso. Esegui una query sul gateway delcliente per determinare se un'associazione di sicurezza IPsec è attiva. Una configurazioneappropriata della SA IPsec è fondamentale. Devi configurare i parametri di crittografia,autenticazione, perfect-forward-secrecy e di modalità come Elencato nella configurazionedel gateway del cliente.

Se non esiste alcuna associazione di sicurezza IPsec, esamina le impostazioni diconfigurazione IPsec.

Se invece Esiste, passa al tunnel.

Verifica che le regole di firewall necessarie siano configurate (per un elenco delleregole, consulta Configurazione di un firewall tra Internet e il dispositivo gateway delcliente (p. 11)). Se lo sono, continua.

Determina se Esiste una connettività IP via il tunnel.

Ogni lato del tunnel ha un indirizzo IP come specificato nella configurazione del gatewaydel cliente. L'indirizzo del gateway virtuale privato è quello utilizzato come indirizzo routerBGP. Dal gateway del cliente, esegui il ping di questo indirizzo per determinare se il trafficoIP è stato crittografato e decrittografato correttamente.

Se il ping non riesce, esamina la configurazione di interfaccia di tunnel per assicurarti chel'indirizzo IP sia configurato correttamente.

Se il ping riesce, passa a Routing.

Routestatiche

Routing:

Per ogni tunnel, procedi come segue:

• Verifica di aver aggiunto una route statica al CIDR VPC con i tunnel come hopsuccessivo.

• Verifica di aver aggiunto una route statica sulla Console di gestione AWS per indicare algateway virtuale privato di reinstradare il traffico alle reti interne.

Se i tunnel non sono in questo stato, esamina la configurazione del dispositivo.

Assicurati infine che entrambi i tunnel siano in questo stato.

Assicurati che il gateway virtuale privato sia collegato al VPC. Il team di integrazioneesegue questa operazione nella Console di gestione AWS.


203



Configurazione di Windows Server

Configurazione di Windows Server2008 R2 come dispositivo gatewaydel cliente


Puoi configurare Windows Server 2008 R2 come dispositivo gateway del cliente per il tuo VPC. Utilizza laprocedura seguente se Esegui Windows Server 2008 R2 su un'istanza EC2 in un VPC o sul tuo server.

Argomenti• Configurazione di Windows Server (p. 204)• Fase 1: creazione di una connessione VPN e configurazione del VPC (p. 205)• Fase 2: download del file di configurazione per la connessione VPN (p. 206)• Fase 3: configurazione di Window Server (p. 208)• Fase 4: configurazione del tunnel VPN (p. 209)• Fase 5: abilitazione del rilevamento Dead Gateway (p. 216)• Fase 6: test della connessione VPN (p. 216)

Configurazione di Windows ServerPer configurare Windows Server come dispositivo gateway del cliente, assicurati di avere Windows Server2008 R2 in rete o su un'istanza EC2 in un VPC. Se utilizzi un'istanza EC2 avviata da un'AMI Windows,procedi come segue:

• Disabilitare il controllo dell'origine/della destinazione per l'istanza:1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Selezionare l'istanza di Windows Server, scegliere Actions (Operazioni), Networking (Reti), Change

Source/Dest. Check (Modifica controllo origine/destinazione). Selezionare Yes, Disable (Sì, disabilita).• Aggiornare le impostazioni della scheda in modo da instradare il traffico da altre istanze:

1. Connettersi all'istanza Windows. Per ulteriori informazioni, consulta Connessione a un'istanzaWindows.

2. Aprire il pannello di controllo, quindi avviare Gestione dispositivi.3. Espandere il nodo Schede di rete.4. Aprire il menu contestuale (fare clic con il pulsante destro del mouse) della scheda di rete Citrix o

AWS PV e scegliere Proprietà.5. Nella scheda Avanzate, disabilitare le proprietà Offload di checksum IPv4, Offload di checksum TCP

(IPv4) e Offload di checksum UDP (IPv4), quindi selezionare OK.• Associare un indirizzo IP elastico all'istanza:

204


https://console.aws.amazon.com/ec2/

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Fase 1: creazione di una connessioneVPN e configurazione del VPC

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Nel riquadro di navigazione, selezionare Elastic IPs (IP elastici). Scegliere Allocate new address

(Alloca nuovo indirizzo).3. Selezionare l'indirizzo IP elastico e scegliere Actions (Operazioni), Associate Address (Associa

indirizzo).4. In Instance (Istanza), selezionare l'istanza di Windows Server. Selezionare Associate (Associa).

Annotare questo indirizzo in quanto sarà necessario per creare il gateway del cliente nel VPC.• Assicurarsi che le regole di gruppo di sicurezza dell'istanza consentano il traffico IPsec in uscita. Per

impostazione predefinita, un gruppo di sicurezza consente tutto il traffico in uscita. Tuttavia, se le regolein uscita del gruppo di sicurezza sono state modificate rispetto allo stato originale, è necessario creare leseguenti regole di protocollo personalizzate in uscita per il traffico IPsec: protocollo IP 50, protocollo IP51 e UDP 500.

Prendere nota dell'intervallo CIDR per la rete in cui si trova il server Windows, ad esempio172.31.0.0/16.

Fase 1: creazione di una connessione VPN econfigurazione del VPC

Per creare una connessione VPN dal VPC, devi dapprima creare un gateway virtuale privato E collegarloal VPC. Dopodiché, puoi creare una connessione VPN e configurare il VPC. Devi anche disporredell'intervallo CIDR della rete in cui si trova il server Windows, ad esempio 172.31.0.0/16.

Per creare un gateway virtuale privato

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere Virtual Private Gateways (gateway virtuale privato), quindi

Create Virtual Private Gateway (Crea gateway virtuale privato).3. Facoltativamente, è possibile immettere un nome per il gateway virtuale privato E scegliere Yes,

Create (Sì, crea).4. Selezionare il gateway virtuale privato creato, quindi selezionare Attach to VPC (Collega al VPC).5. Nella finestra di dialogo Attach to VPC (Collega al VPC), selezionare il VPC dall'elenco e scegliere

Yes, Attach (Sì, collega).

Per creare una connessione VPN

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere VPN Connections (Connessioni VPN), quindi Create VPN

Connection (Crea connessione VPN).3. Selezionare il gateway virtuale privato dall'elenco.4. In Customer Gateway (Gateway del cliente), scegliere New (Nuovo). In IP address (Indirizzo IP),

specificare l'indirizzo IP pubblico di Windows Server.Note

L'indirizzo IP deve Essere statico e può essere dietro un dispositivo che Esegue laconversione NAT (Network Address Translation). Per assicurare il corretto funzionamento diNAT Traversal (NAT-T), è necessario sbloccare la porta UDP 4500 modificando le regole difirewall. Se il dispositivo gateway del cliente è un'istanza Windows Server EC2, utilizzare ilrelativo indirizzo IP elastico.

205


https://console.aws.amazon.com/vpc/



Fase 2: download del file diconfigurazione per la connessione VPN

5. Selezionare l'opzione di routing Static (Statico), immettere i valori di Static IP Prefixes (Prefissi IPstatici) per la rete nella notazione CIDR, quindi selezionare Yes, Create (Sì, crea).

Per configurare il VPC

• Creare una sottorete privata nel VPC (se non esiste ancora) per l'avvio delle istanze checomunicheranno con il server Windows. Per ulteriori informazioni, consulta la pagina relativa all'aggiuntadi una sottorete al VPC.

Note

Una sottorete privata è una sottorete che non dispone di una route a un Internet Gateway. Ilrouting per questa sottorete è descritto di seguito.

• Aggiornare le tabelle di routing per la connessione VPN:• Aggiungere una route alla tabella di routing della sottorete privata con il gateway virtuale privato come

target e la rete del server Windows (intervallo CIDR) come destinazione.• Abilitare la propagazione della route per il gateway virtuale privato. Per ulteriori informazioni, consulta

Tabelle di routing nella Guida per l'utente di Amazon VPC.• Creare una configurazione di gruppi di sicurezza per le istanze che consente la comunicazione tra il VPC

e la rete:• Aggiungere regole che consentono l'accesso RDP o SSH in entrata dalla rete. In questo modo, è

possibile connettersi alle istanze nel VPC dalla rete. Ad esempio, per consentire ai computer nellarete di accedere alle istanze Linux nel VPC, creare una regola in entrata con un tipo SSH e l'origineimpostata sull'intervallo CIDR della rete (ad esempio 172.31.0.0/16). Per ulteriori informazioni,consulta Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

• Aggiungere una regola che consente l'accesso ICMP in entrata dalla rete. Ciò consente di testare laconnessione VPN tramite il ping di un'istanza nel VPC dal server Windows.

Fase 2: download del file di configurazione per laconnessione VPN

Puoi utilizzare la console Amazon VPC per scaricare una file di configurazione Windows Server per laconnessione VPN.

Per scaricare il file di configurazione

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere VPN Connections (Connessioni VPN).3. Selezionare la connessione VPN e scegliere Download Configuration (Scarica configurazione).4. Selezionare Microsoft come fornitore, Windows Server come piattaforma e 2008 R2 come software.

Selezionare Yes, Download (Sì, scarica). È possibile aprire il file o salvarlo.

Il file di configurazione contiene una sezione di informazioni simile all'esempio riportato di seguito. Questeinformazioni saranno visualizzate due volte (una per ogni tunnel) e ti serviranno durante la configurazionedel server Windows Server 2008 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]

206

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#AddaSubnet


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html




Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

L'indirizzo IP per il dispositivo gateway del cliente, in questo caso il server Windows, che termina laconnessione VPN sul lato rete. Se il dispositivo gateway del cliente è un'istanza Windows Server, sitratta dell'indirizzo IP privato dell'istanza.

Remote Tunnel Endpoint

Uno dei due indirizzi IP del gateway virtuale privato che termina la connessione VPN sul lato AWS.Endpoint 1

Il prefisso IP specificato come route statica alla creazione della connessione VPN. Questi sono gliindirizzi IP sulla rete autorizzati a utilizzare la connessione VPN per accedere al VPC.

Endpoint 2

L'intervallo di indirizzi IP (blocco CIDR) del VPC collegato al gateway virtuale privato (ad esempio10.0.0.0/16).

Preshared key

La chiave già condivisa utilizzata per stabilire la connessione VPN IPsec tra Local TunnelEndpoint e Remote Tunnel Endpoint.

Ti consigliamo di configurare Entrambi i tunnel come parte della connessione VPN. Ogni tunnel si connettea un concentratore VPN distinto sul lato Amazon della connessione VPN. Sebbene i due tunnel nonpossano essere Entrambi attivi nello stesso momento, il secondo viene attivato automaticamente se ilprimo diventa inattivo. L'utilizzo di tunnel ridondanti assicura una disponibilità continua in caso di errore diun dispositivo. Poiché un solo tunnel è disponibile alla volta, la console Amazon VPC indica che un tunnel èinattivo. Questo è il comportamento previsto, di conseguenza non deve Eseguire alcuna operazione.

Con due tunnel configurati, in caso di errore di un dispositivo in AWS, la connessione VPN esegueautomaticamente il failover al secondo tunnel del gateway virtuale privato AWS nel giro di qualche minuto.Durante la configurazione del dispositivo gateway del cliente, è importante configurare Entrambi i tunnel.

Note

Di tanto in tanto, AWS esegue una manutenzione di routine del gateway virtuale privato. Questamanutenzione può disabilitare uno dei due tunnel della connessione VPN per un breve periododi tempo. La connessione VPN esegue automaticamente il failover al secondo tunnel durantel'esecuzione di questa manutenzione.

Ulteriori informazioni relative alle associazioni di sicurezza (SA) IKe E IPsec sono contenute nel file diconfigurazione scaricato. Poiché le impostazioni suggerite per VPN VPC sono uguali alle impostazionidi configurazione IPsec predefinite di Windows Server 2008 R2, le operazioni che devi effettuare sonominime.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2

MainModeSecMethods

Gli algoritmi di crittografia e autenticazione per la SA IKE. Sono le impostazioni suggerite per laconnessione VPN e le impostazioni predefinite per le connessioni VPN IPsec di Windows Server 2008R2.

207


Fase 3: configurazione di Window Server

MainModeKeyLifetime

Il ciclo di vita della chiave SA IKE. È l'impostazione suggerita per la connessione VPN e l'impostazionepredefinita per le connessioni VPN IPsec di Windows Server 2008 R2.

QuickModeSecMethods

Gli algoritmi di crittografia e autenticazione per la SA IPsec. Sono le impostazioni suggerite per laconnessione VPN e le impostazioni predefinite per le connessioni VPN IPsec di Windows Server 2008R2.

QuickModePFS

Ti consigliamo di utilizzare PFS (Perfect Forward Secrecy) chiave master per le sessioni IPsec.

Fase 3: configurazione di Window ServerPrima di configurare il tunnel VPN, devi installare e configurare i servizi di Routing e Accesso remoto nelserver Windows per consentire agli utenti remoti di accedere alla risorse sulla rete.

Per installare i servizi di Routing e Accesso remoto in Windows Server 2008 R2

1. Accedere al server Windows Server 2008 R2.2. Scegliere Start, Tutti i programmi, Strumenti di amministrazione, Server Manager.3. Installare i servizi di Routing e Accesso remoto:

a. Nel riquadro di navigazione di Server Manager scegliere Ruoli.b. Nel riquadro Ruoli scegliere Aggiungi ruoli.c. Nella pagina Prima di iniziare verificare che il server soddisfi i prerequisiti, quindi scegliere Avanti.d. Nella pagina Selezione ruoli server scegliere Servizi di accesso e criteri di rete, quindi Avanti.e. Nella pagina Servizi di accesso e criteri di rete, scegliere Avanti.f. Nella pagina Selezione ruoli server scegliere Servizio Routing e Accesso remoto, lasciare Servizio

di accesso remoto e Routing selezionati, quindi fare clic su Avanti.

208


Fase 4: configurazione del tunnel VPN

g. Nella pagina Conferma selezioni per l'installazione) scegliere Installa.h. Al termine della procedura guidata, scegliere Chiudi.

Per configurare E abilitare il server di Routing e Accesso remoto

1. Nel riquadro di navigazione di Server Manager scegliere Ruoli, quindi espandere Servizi di accesso ecriteri di rete.

2. Aprire il menu contestuale (fare clic con il pulsante destro del mouse) di Server di Routing e Accessoremoto e scegliere Configura e abilita Routing e Accesso remoto.

3. Nella pagina di Benvenuto di Configurazione guidata server di Routing e Accesso remoto scegliereAvanti.

4. Nella pagina Configurazione scegliere Configurazione personalizzata, quindi Avanti.5. Scegliere Routing di rete locale (LAN), quindi Avanti.6. Scegli Finish (Termina).7. Quando richiesto dalla finestra di dialogo Routing e Accesso remoto, scegliere Avvia servizio

Fase 4: configurazione del tunnel VPNPuoi configurare il tunnel VPN eseguendo gli script netsh inclusi nel file di configurazione scaricato outilizzando Creazione guidata nuova regola di sicurezza della connessione nel server Windows.

Important

Per le sessioni IPsec ti consigliamo di utilizzare PFS (Perfect Forward Secrecy) chiave master. Tuttavia, la funzionalità PFS non può essere abilitata tramite l'interfaccia utente di Windows Server2008 R2, ma soltanto eseguendo lo script netsh con qmpfs=dhgroup2. Di conseguenza, devitenere conto delle tue Esigenze prima di selezionare un'opzione.

Opzione 1: esecuzione dello script netshCopia lo script netsh dal file di configurazione scaricato e sostituisci le variabili. Di seguito è riportato unesempio di script.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix Êndpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puoi sostituire il nome suggerito (VGW-1a2b3c4d Tunnel 1) con un nome di tua scelta.

LocalTunnelEndpoint: immetti l'indirizzo IP privato del server Windows sulla rete.

Endpoint1: il blocco CIDR della rete in cui si trova il server Windows, ad esempio 172.31.0.0/16.

Endpoint2: il blocco CIDR del VPC o di una sottorete nel VPC, ad esempio 10.0.0.0/16.

Esegui lo script aggiornato in una finestra del prompt dei comandi. (il carattere ^ ti consente di tagliare Eincollare testo con ritorno a capo nella riga di comando). Per configurare il secondo tunnel VPN per questaconnessione VPN, ripeti la procedura utilizzando il secondo script netsh nel file di configurazione.

209


Opzione 2: utilizzo dell'interfaccia utente di Windows Server

Al termine, vai a 2.4: configurazione di Windows Firewall (p. 214).

Per ulteriori informazioni sui parametri netsh, consulta Netsh AdvFirewall Consec Commands nellaMicrosoft TechNet Library.

Opzione 2: utilizzo dell'interfaccia utente di WindowsServerPer configurare il tunnel VPN, puoi anche utilizzare l'interfaccia utente di Windows Server. Questa sezionedescrive la procedura da seguire.

Important

Non puoi abilitare PFS (Perfect Forward Secrecy) chiave master utilizzando l'interfaccia utentedi Windows Server 2008 R2. Di conseguenza, se decidi di utilizzare PFS, devi utilizzare gli scriptnetsh descritti nell'opzione 1 anziché l'interfaccia utente descritta in questa opzione.

• 2.1: configurazione di una regola di sicurezza per un tunnel VPN (p. 210)• 2.3: conferma della configurazione dei tunnel (p. 214)• 2.4: configurazione di Windows Firewall (p. 214)

2.1: configurazione di una regola di sicurezza per un tunnel VPNIn questa sezione, configuri un ruolo di sicurezza sul server Windows per creare un tunnel VPN.

Per configurare una regola di sicurezza per un tunnel VPN

1. Nel riquadro di navigazione di Server Manager, espandere Configurazione, quindi espandere WindowsFirewall con sicurezza avanzata.

2. Aprire il menu contestuale (fare clic con il pulsante destro del mouse) di Regole di protezione delleconnessioni e scegliere Nuova regola.

3. In Creazione guidata nuova regola di protezione della connessione, nella pagina Tipo di regola,scegliere Tunnel, quindi Avanti.

4. Nella pagina Tipo di tunnel, in Selezionare il tipo di tunnel che si desidera creare, scegliereConfigurazione personalizzata. In Would you like to exempt IPsec-protected connections fromthis tunnel (Escludere dal tunnel le connessioni protette con IPsec?), lasciare selezionato il valorepredefinito (No. Send all network traffic that matches this connection security rule through the tunnel(No. Invia tutto il traffico di rete che soddisfa questa regola di sicurezza della connessione tramite iltunnel)), quindi selezionare Next (Avanti).

5. Nella pagina Requisiti, scegliere Autenticazione obbligatoria per le connessioni in entrata. Tunnel nonutilizzati per le connessioni in uscita, quindi selezionare Avanti.

210

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set



6. Nella pagina Endpoint del tunnel, in Selezionare i computer inclusi nell'endpoint 1, scegliere Aggiungi.Immettere l'intervallo di CIDR della rete (dietro il dispositivo gateway del cliente del server Windows),quindi scegliere OK L'intervallo può includere l'indirizzo IP del dispositivo gateway del cliente.

7. In Endpoint del tunnel locale più vicino ai computer nell'endpoint 1, scegliere Modifica. Immetterel'indirizzo IP privato del server Windows, quindi scegliere OK.

8. In Endpoint del tunnel remoto più vicino ai computer nell'endpoint 2, scegliere Modifica. Immetterel'indirizzo IP del gateway virtuale privato per Tunnel 1 dal file di configurazione (vedi Remote TunnelEndpoint), quindi scegliere OK.

Important

Se si ripete questa procedura per Tunnel 2, assicurarsi di selezionare l'endpoint per Tunnel 2.9. In Selezionare i computer inclusi nell'endpoint 2, scegliere Aggiungi. Immettere il blocco CIDR del VPC

e scegliere OK.

Important

Scorrere la finestra di dialogo fino a trovare Selezionare i computer inclusi nell'endpoint2. Non scegliere Avanti fino al completamento di questa fase altrimenti non sarà possibileconnettersi al server.

211



10. Confermare che tutte le impostazioni specificate siano corrette e scegliere Avanti.11. Nella pagina Metodo di autenticazione selezionare Avanzate, quindi fare clic su Personalizza.12. In Metodi per prima autenticazione, scegliere Aggiungi.13. Selezionare Chiave già condivisa, immettere il valore della chiave già condivisa del file di

configurazione e scegliere OK.

Important

Se si ripete questa procedura per Tunnel 2, assicurarsi di selezionare la chiave già condivisaper Tunnel 2.

212



14. Assicurarsi che l'opzione Prima autenticazione facoltativa non sia selezionata, quindi selezionare OK.15. Nella pagina Metodo di autenticazione scegliere Avanti.16. Nella pagina Profilo selezionare tutte e tre le caselle di controllo: Dominio, Privato e Pubblico.

Seleziona Successivo.17. Nella pagina Nome immettere un nome per la regola di connessione e scegliere Fine.

Ripeti la procedura precedente, specificando i dati per Tunnel 2 dal file di configurazione.

Al termine, avrai due tunnel configurati per la connessione VPN.

213



2.3: conferma della configurazione dei tunnelPer confermare la configurazione dei tunnel

1. Nel riquadro di navigazione di Server Manager espandere il nodo Configurazione, quindi espandereWindows Firewall con sicurezza avanzata e fare clic su Regole di protezione delle connessioni.

2. Verificare quanto segue per entrambi i tunnel:

• Abilitato è Yes.• Modalità di autenticazione è Require inbound and clear outbound.• Metodo di autenticazione è Custom.• Porta endpoint 1 è Any.• Porta endpoint 2 è Any.• Protocollo è Any.

3. Fare doppio clic sulla regola di sicurezza per il primo tunnel.4. Nella scheda Computer, verificare quanto segue:

• In Endpoint 1, l'intervallo di blocchi CIDR indicato corrisponde all'intervallo di blocchi CIDR della rete.• In Endpoint 2, l'intervallo di blocchi CIDR indicato corrisponde all'intervallo di blocchi CIDR del VPC.

5. Nella scheda Autenticazione, in Metodo, scegliere Personalizza e verificare che Metodi per primaautenticazione contenga la chiave già condivisa corretta del file di configurazione per il tunnel.Seleziona OK.

6. Nella scheda Avanzate, verificare che le caselle di controllo Dominio, Privato e Pubblico siano tutteselezionate.

7. In Tunneling IPsec, scegliere Personalizza. Verificare quanto segue in relazione alle impostazioni deltunnelling IPsec.

• Usa tunneling IPsec è selezionata.• Endpoint del tunnel locale più vicino all'endpoint 1 contiene l'indirizzo IP del server. Se il dispositivo

gateway del cliente è un'istanza Windows Server, si tratta dell'indirizzo IP privato dell'istanza.• Endpoint del tunnel remoto più vicino all'endpoint 2 contiene l'indirizzo IP del gateway virtuale privato

per questo tunnel.8. Fare doppio clic sulla regola di sicurezza per il secondo tunnel. Ripetere le fasi da 4 a 7 per questo

tunnel.

2.4: configurazione di Windows FirewallDopo la configurazione delle regole di sicurezza sul tuo server, configura alcune impostazioni IPsec di baseda utilizzare con il gateway virtuale privato.

Per configurare Windows Firewall

1. Nel riquadro di navigazione di Server Manager aprire il menu contestuale (fare clic con il pulsantedestro del mouse) di Windows Firewall con sicurezza avanzata e scegliere Proprietà.

2. Scegliere Impostazioni IPsec.3. In Esenzioni IPSec, verificare che Esenzione di ICMP da IPSec sia No (predefinito). Verificare che

Autorizzazione tunnel IPsec sia Nessuna.4. In Impostazioni predefinite IPSec, scegliere Personalizza.5. Nella finestra di dialogo Personalizza impostazioni IPsec, in Scambio chiave (modalità principale),

selezionare Avanzate, quindi scegliere Personalizza.

214



6. In Personalizza impostazioni avanzate scambio chiavi, sotto Metodi di sicurezza, verificare che questivalori predefiniti siano utilizzati per la prima voce.

• Integrità: SHA-1• Crittografia: AES-CBC 128• Algoritmo di scambio chiavi: Gruppo Diffie-Hellman 2• In Durata chiavi, verificare che Minuti sia 480 e Sessioni sia 0.

Queste impostazioni corrispondono a queste voci nel file di configurazione.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

7. In Opzioni di scambio chiavi, selezionare Utilizza Diffie-Hellman per una sicurezza avanzata, quindiselezionare OK.

8. In Protezione dati (modalità rapida) scegliere Avanzate, quindi selezionare Personalizza.9. Scegliere Richiedi crittografia per le tutte le regole di protezione di connessione che utilizzano queste

impostazioni.10. In Algoritmi di integrità e crittografia dei dati, mantenere i valori predefiniti:

• Protocollo: ESP• Integrità: SHA-1• Crittografia: AES-CBC 128• Durata: 60 minuti

Questi valori corrispondono alle voci seguenti del file di configurazione.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb

11. Per ripristinare la finestra di dialogo Personalizza impostazioni IPsec, scegliere OK. Seleziona OK.

215


Fase 5: abilitazione del rilevamento Dead Gateway

Fase 5: abilitazione del rilevamento Dead GatewayOra devi configurare TCP per rilevare quando un gateway diventa indisponibile. A questo proposito,modifica questa chiave di registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Non effettuare questa procedura se non hai completato le sezioni precedenti. Dopo lamodifica della chiave di registro, devi riavviare il server.

Per abilitare il rilevamento Dead Gateway

1. Sul server scegliere Start e digitare regedit per avviare l'editor del Registro di sistema.2. Espandere HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Servizi, Tcpip e Parametri.3. Nell'altro riquadro aprire il menu contestuale (fare clic con il pulsante destro del mouse), scegliere

Nuovo, quindi selezionare Valore DWORD (32 bit).4. Immettere il nome EnableDeadGWDetect.5. Aprire il menu contestuale (fare clic con il pulsante destro del mouse) di EnableDeadGWDetect e

scegliere Modifica.6. In Dati valore immettere 1 e scegliere OK.7. Chiudere l'editor del Registro di sistema e riavviare il server.

Per ulteriori informazioni, consulta EnableDeadGWDetect nella libreria di Microsoft TechNet.

Fase 6: test della connessione VPNPer assicurare il corretto funzionamento della connessione VPN, avvia un'istanza nel VPC e accertatiche non è associata ad alcuna connessione Internet. Dopo l'avvio dell'istanza, esegui il ping del relativoindirizzo IP privato per il server Windows. Il tunnel VPN viene attivato quando il traffico è generato daldispositivo gateway del cliente, di conseguenza il comando ping avvia la connessione VPN.

Per avviare un'istanza nel VPC e ottenere il relativo indirizzo IP privato

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Scegliere Launch Instance (Avvia istanza).3. Selezionare un'AMI Amazon Linux e un tipo di istanza.4. Nella pagina Step3: Configure Instance Details (Fase 3: configurazione dei dettagli dell'istanza),

in Network (Rete), selezionare il VPC in uso. Per Subnet (Sottorete), selezionare una sottorete.Assicurarsi di selezionare la sottorete privata configurata in Fase 1: creazione di una connessioneVPN e configurazione del VPC (p. 205).

5. Nell'elenco Auto-assign Public IP (Assegna automaticamente IP pubblico), assicurarsi che il valoredell'impostazione è Disable (Disabilita).

6. Selezionare Next (Avanti) fino a raggiungere la pagina Step 6: Configure Security Group (Fase 6:configurazione del gruppo di sicurezza). È possibile selezionare un gruppo di sicurezza configuratoin Fase 1: creazione di una connessione VPN e configurazione del VPC (p. 205). In alternativa, èpossibile creare un nuovo gruppo di sicurezza e verificare che disponga di una regola che consentatutto il traffico ICMP dall'indirizzo IP del server Windows.

7. Completare le altre fasi nella procedura guidata e avviare l'istanza.8. Nella pagina Instances (Istanze), selezionare l'istanza. Ottenere l'indirizzo IP privato nel campo Private

IPs (IP privati) del riquadro dei dettagli.

Connettiti o accedi al server Windows, apri il prompt dei comandi, quindi utilizza il comando ping pereseguire il ping dell'istanza utilizzando il relativo indirizzo IP privato. Ad esempio:

216

http://technet.microsoft.com/en-us/library/cc960464.aspx



Fase 6: test della connessione VPN

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Se il comando ping non riesce, procedi come descritto di seguito:

• Assicurati di aver configurato le regole di gruppo di sicurezza per consentire il traffico ICMP all'istanzanel VPC. Se il server Windows è un'istanza EC2, assicurati che le regole in uscita del gruppo disicurezza consentano il traffico IPsec. Per ulteriori informazioni, consulta Configurazione di WindowsServer (p. 204).

• Assicurati che il sistema operativo sull'istanza di cui stai eseguendo il ping sia configurato per risponderea ICMP. Ti consigliamo di utilizzare una delle AMI Amazon Linux.

• Se l'istanza di cui stai eseguendo il ping è un'istanza Windows, accedi all'istanza e abilita il trafficoICMPv4 in entrata sul firewall Windows.

• Assicurati di aver configurato correttamente le tabelle di routing per il VPC o la sottorete. Per ulterioriinformazioni, consulta Fase 1: creazione di una connessione VPN e configurazione del VPC (p. 205).

• Se il dispositivo gateway del cliente è un'istanza Windows Server, assicurati di aver disabilitato ilcontrollo dell'origine/della destinazione per l'istanza. Per ulteriori informazioni, consulta Configurazione diWindows Server (p. 204).

Nella console Amazon VPC, nella pagina VPN Connections (Connessioni VPN), seleziona la connessioneVPN. Il primo tunnel è attivo (stato UP). Il secondo tunnel deve essere configurato, ma verrà utilizzato solose il primo tunnel diventa inattivo. È possibile che siano necessari alcuni secondi per impostare i tunnelcrittografati.

217


Configurazione di Windows Server

Configurazione di Windows Server2012 R2 come dispositivo gatewaydel cliente


Puoi configurare Windows Server 2012 R2 come dispositivo gateway del cliente per il tuo VPC. Utilizza laprocedura seguente se Esegui Windows Server 2012 R2 su un'istanza EC2 in un VPC o sul tuo server.

Argomenti• Configurazione di Windows Server (p. 218)• Fase 1: creazione di una connessione VPN e configurazione del VPC (p. 219)• Fase 2: download del file di configurazione per la connessione VPN (p. 220)• Fase 3: configurazione di Window Server (p. 222)• Fase 4: configurazione del tunnel VPN (p. 223)• Fase 5: abilitazione del rilevamento Dead Gateway (p. 228)• Fase 6: test della connessione VPN (p. 228)

Configurazione di Windows ServerPer configurare Windows Server come gateway del cliente, assicurati di avere Windows Server 2012 R2 inrete o su un'istanza EC2 in un VPC. Se utilizzi un'istanza EC2 avviata da un'AMI Windows, procedi comesegue:

• Disabilitare il controllo dell'origine/della destinazione per l'istanza:1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.2. Selezionare l'istanza di Windows Server, scegliere Actions (Operazioni), Networking (Reti), Change

Source/Dest. Check (Modifica controllo origine/destinazione). Selezionare Yes, Disable (Sì, disabilita).• Aggiornare le impostazioni della scheda in modo da instradare il traffico da altre istanze:

1. Connettersi all'istanza Windows. Per ulteriori informazioni, consulta Connessione a un'istanzaWindows.

2. Aprire il pannello di controllo, quindi avviare Gestione dispositivi.3. Espandere il nodo Schede di rete.4. Selezionare il dispositivo di rete AWS PV, scegliere Azione, Proprietà.5. Nella scheda Avanzate, disabilitare le proprietà Offload di checksum IPv4, Offload di checksum TCP

(IPv4) e Offload di checksum UDP (IPv4), quindi selezionare OK.• Associare un indirizzo IP elastico all'istanza:

1. Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

218







Fase 1: creazione di una connessioneVPN e configurazione del VPC

2. Nel riquadro di navigazione, selezionare Elastic IPs (IP elastici). Scegliere Allocate new address(Alloca nuovo indirizzo).

3. Selezionare l'indirizzo IP elastico e scegliere Actions (Operazioni), Associate Address (Associaindirizzo).

4. In Instance (Istanza), selezionare l'istanza di Windows Server. Selezionare Associate (Associa).

Annotare questo indirizzo in quanto sarà necessario per creare il gateway del cliente nel VPC.• Assicurarsi che le regole di gruppo di sicurezza dell'istanza consentano il traffico IPsec in uscita. Per

impostazione predefinita, un gruppo di sicurezza consente tutto il traffico in uscita. Tuttavia, se le regolein uscita del gruppo di sicurezza sono state modificate rispetto allo stato originale, è necessario creare leseguenti regole di protocollo personalizzate in uscita per il traffico IPsec: protocollo IP 50, protocollo IP51 e UDP 500.

Prendere nota dell'intervallo CIDR per la rete in cui si trova il server Windows, ad esempio172.31.0.0/16.

Fase 1: creazione di una connessione VPN econfigurazione del VPC

Per creare una connessione VPN dal VPC, devi dapprima creare un gateway virtuale privato E collegarloal VPC. Dopodiché, puoi creare una connessione VPN e configurare il VPC. Devi anche disporredell'intervallo CIDR della rete in cui si trova il server Windows, ad esempio 172.31.0.0/16.

Per creare un gateway virtuale privato

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere Virtual Private Gateways (gateway virtuale privato), Create

Virtual Private Gateway (Crea gateway virtuale privato).3. Facoltativamente, è possibile immettere un nome per il gateway virtuale privato e scegliere Yes,

Create (Sì, crea).4. Selezionare il gateway virtuale privato creato e scegliere Attach to VPC (Collega al VPC).5. Nella finestra di dialogo Attach to VPC (Collega al VPC) selezionare il VPC dall'elenco e scegliere Yes,

Attach (Sì, collega).

Per creare una connessione VPN

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere VPN Connections (Connessioni VPN), Create VPN Connection

(Crea connessione VPN).3. Selezionare il gateway virtuale privato dall'elenco.4. In Customer Gateway (Gateway del cliente), scegliere New (Nuovo). In IP address (Indirizzo IP),

specificare l'indirizzo IP pubblico di Windows Server.

Note

L'indirizzo IP deve Essere statico e può essere dietro un dispositivo che Esegue laconversione NAT (Network Address Translation). Per assicurare il corretto funzionamentodi NAT Traversal (NAT-T), è necessario sbloccare la porta UDP 4500 modificando le regoledi firewall. Se il gateway del cliente è un'istanza Windows Server EC2, utilizzare il relativoindirizzo IP elastico.

219





5. Selezionare l'opzione di routing Static (Statico), immettere i valori di Static IP Prefixes (Prefissi IPstatici) per la rete nella notazione CIDR, quindi selezionare Yes, Create (Sì, crea).

Per configurare il VPC

• Creare una sottorete privata nel VPC (se ancora non esiste) per l'avvio delle istanze checomunicheranno con il server Windows. Per ulteriori informazioni, consulta la pagina relativa all'aggiuntadi una sottorete al VPC.

Note

Una sottorete privata è una sottorete che non dispone di una route a un Internet Gateway. Ilrouting per questa sottorete è descritto di seguito.

• Aggiornare le tabelle di routing per la connessione VPN:• Aggiungere una route alla tabella di routing della sottorete privata con il gateway virtuale privato come

target e la rete del server Windows (intervallo CIDR) come destinazione.• Abilitare la propagazione della route per il gateway virtuale privato. Per ulteriori informazioni, consulta

Tabelle di routing nella Guida per l'utente di Amazon VPC.• Creare una configurazione di gruppi di sicurezza per le istanze che consente la comunicazione tra il VPC

e la rete:• Aggiungere regole che consentono l'accesso RDP o SSH in entrata dalla rete. In questo modo, è

possibile connettersi alle istanze nel VPC dalla rete. Ad esempio, per consentire ai computer nellarete di accedere alle istanze Linux nel VPC, creare una regola in entrata con un tipo SSH e l'origineimpostata sull'intervallo CIDR della rete (ad esempio 172.31.0.0/16). Per ulteriori informazioni,consulta Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

• Aggiungere una regola che consente l'accesso ICMP in entrata dalla rete. Ciò consente di testare laconnessione VPN tramite il ping di un'istanza nel VPC dal server Windows.

Fase 2: download del file di configurazione per laconnessione VPN

Puoi utilizzare la console Amazon VPC per scaricare una file di configurazione Windows Server per laconnessione VPN.

Per scaricare il file di configurazione

1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.2. Nel riquadro di navigazione, scegliere VPN Connections (Connessioni VPN).3. Selezionare la connessione VPN e scegliere Download Configuration (Scarica configurazione).4. Selezionare Microsoft come fornitore, Windows Server come piattaforma e 2012 R2 come software.

Selezionare Yes, Download (Sì, scarica). È possibile aprire il file o salvarlo.

Il file di configurazione contiene una sezione di informazioni simile all'esempio riportato di seguito. Questeinformazioni saranno visualizzate due volte (una per ogni tunnel) e ti serviranno durante la configurazionedel server Windows Server 2012 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]

220



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html




Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

L'indirizzo IP per il gateway del cliente, in questo caso il server Windows, che termina la connessioneVPN sul lato rete. Se il gateway del cliente è un'istanza Windows Server, si tratta dell'indirizzo IPprivato dell'istanza.

Remote Tunnel Endpoint

Uno dei due indirizzi IP del gateway virtuale privato che termina la connessione VPN sul lato AWSdella connessione.

Endpoint 1

Il prefisso IP specificato come route statica alla creazione della connessione VPN. Sono gli indirizzi IPnella rete a cui è consentito utilizzare la connessione VPN per accedere al VPC.

Endpoint 2

L'intervallo di indirizzi IP (blocco CIDR) del VPC collegato al gateway virtuale privato (ad esempio10.0.0.0/16).

Preshared key

La chiave già condivisa utilizzata per stabilire la connessione VPN IPsec tra Local TunnelEndpoint e Remote Tunnel Endpoint.

Ti consigliamo di configurare Entrambi i tunnel come parte della connessione VPN. Ogni tunnel si connettea un concentratore VPN distinto sul lato Amazon della connessione VPN. Sebbene i due tunnel nonpossano essere Entrambi attivi nello stesso momento, il secondo viene attivato automaticamente se ilprimo diventa inattivo. L'utilizzo di tunnel ridondanti assicura una disponibilità continua in caso di errore diun dispositivo. Poiché un solo tunnel è disponibile alla volta, la console Amazon VPC indica che un tunnel èinattivo. Questo è il comportamento previsto, di conseguenza non deve Eseguire alcuna operazione.

Con due tunnel configurati, in caso di errore di un dispositivo in AWS, la connessione VPN esegueautomaticamente il failover al secondo tunnel del gateway virtuale privato AWS nel giro di qualche minuto.Durante la configurazione del dispositivo gateway del cliente, è importante configurare Entrambi i tunnel.

Note

Di tanto in tanto, AWS esegue una manutenzione di routine del gateway virtuale privato. Questamanutenzione può disabilitare uno dei due tunnel della connessione VPN per un breve periododi tempo. La connessione VPN esegue automaticamente il failover al secondo tunnel durantel'esecuzione di questa manutenzione.

Ulteriori informazioni relative alle associazioni di sicurezza (SA) IKe E IPsec sono contenute nel file diconfigurazione scaricato. Poiché le impostazioni suggerite per VPN VPC sono uguali alle impostazionidi configurazione IPsec predefinite di Windows Server 2012 R2, le operazioni che devi effettuare sonominime.

MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2

MainModeSecMethods

Gli algoritmi di crittografia e autenticazione per la SA IKE. Sono le impostazioni suggerite per laconnessione VPN e le impostazioni predefinite per le connessioni VPN IPsec di Windows Server 2012R2.

221


Fase 3: configurazione di Window Server

MainModeKeyLifetime

Il ciclo di vita della chiave SA IKE. È l'impostazione suggerita per la connessione VPN e l'impostazionepredefinita per le connessioni VPN IPsec di Windows Server 2012 R2.

QuickModeSecMethods

Gli algoritmi di crittografia e autenticazione per la SA IPsec. Sono le impostazioni suggerite per laconnessione VPN e le impostazioni predefinite per le connessioni VPN IPsec di Windows Server 2012R2.

QuickModePFS

Per le sessioni IPsec ti consigliamo di utilizzare PFS (Perfect Forward Secrecy) chiave master.

Fase 3: configurazione di Window ServerPrima di configurare il tunnel VPN, devi installare e configurare i servizi di Routing e Accesso remoto nelserver Windows per consentire agli utenti remoti di accedere alla risorse sulla rete.

Per installare i servizi di Routing e Accesso remoto in Windows Server 2012 R2

1. Accedere al server Windows Server 2012 R2.2. Andare al menu Start (Inizia) e scegliere Server Manager.3. Installare i servizi di Routing e Accesso remoto:

a. Dal menu Gestisci, scegliere Aggiunta guidata ruoli e funzionalità:b. Nella pagina Prima di iniziare, verificare che il server soddisfi i prerequisiti, quindi selezionare

Avanti.c. Selezionare Installazione basata su ruoli o basata su funzionalità, quindi selezionare Avanti.d. Selezionare Selezionare un server dal pool di server, selezionare il server Windows 2012 R2,

quindi selezionare Avanti.e. Selezionare Servizi di accesso e criteri di rete nell'elenco. Nella finestra di dialogo visualizzata,

scegliere Aggiungi funzionalità per confermare le funzionalità necessarie per questo ruolo.f. Nello stesso elenco scegliere Accesso remoto, quindi Avanti.g. Nella pagina Select features (Seleziona funzionalità), scegli Next (Successivo).h. Nella pagina Servizi di accesso e criteri di rete, scegliere Avanti. Lasciare Server dei criteri di rete

selezionato, quindi selezionare Avanti.i. Nella pagina Accesso remoto scegliere Avanti. Nella pagina successiva, selezionare DirectAccess

e VPN (RAS). Nella finestra di dialogo visualizzata, scegliere Aggiungi funzionalità per confermarele funzionalità necessarie per questo servizio ruolo. Nello stesso elenco, selezionare Routing,quindi selezionare Avanti.

j. Nella pagina Ruolo Server Web (IIS), scegliere Avanti. Lasciare la selezione predefinita escegliere Avanti.

k. Scegli Install (Installa). Al termine dell'installazione, scegliere Chiudi.

Per configurare E abilitare il server di Routing e Accesso remoto

1. Nel dashboard, scegliere Notifiche (l'icona a bandiera). Un'operazione deve Essere Effettuata percompletare la configurazione post-distribuzione. Selezionare il collegamento Apre Attività inizialiguidate.

2. Selezionare Distribuisci solo VPN.3. Nella finestra di dialogo Routing e Accesso remoto, scegliere il nome di server, scegliere Azione,

quindi selezionare Configura e abilita Routing e Accesso remoto.

222


Fase 4: configurazione del tunnel VPN

4. In Configurazione guidata server di Routing e Accesso remoto, nella prima pagina, scegliere Avanti.5. Nella pagina Configurazione scegliere Configurazione personalizzata, quindi Avanti.6. Scegliere Routing di rete locale (LAN), Avanti e Fine.7. Quando richiesto dalla finestra di dialogo Routing e Accesso remoto, scegliere Avvia servizio

Fase 4: configurazione del tunnel VPNPuoi configurare il tunnel VPN eseguendo gli script netsh inclusi nel file di configurazione scaricato outilizzando Creazione guidata nuova regola di sicurezza della connessione nel server Windows.

Important

Per le sessioni IPsec ti consigliamo di utilizzare PFS (Perfect Forward Secrecy) chiavemaster. Se si sceglie di eseguire lo script netsh, questo include un parametro per abilitare PFS(qmpfs=dhgroup2). Non puoi abilitare PFS utilizzando l'interfaccia utente Windows Server 2012R2, devi abilitarlo utilizzando la riga di comando.

Opzione 1: esecuzione dello script netshCopia lo script netsh dal file di configurazione scaricato e sostituisci le variabili. Di seguito è riportato unesempio di script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" Ênable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix Êndpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puoi sostituire il nome suggerito (vgw-1a2b3c4d Tunnel 1) con un nome di tua scelta.

LocalTunnelEndpoint: immetti l'indirizzo IP privato del server Windows sulla rete.

Endpoint1: il blocco CIDR della rete in cui si trova il server Windows, ad esempio 172.31.0.0/16.

Endpoint2: il blocco CIDR del VPC o di una sottorete nel VPC, ad esempio 10.0.0.0/16.

Esegui lo script aggiornato in una finestra del prompt dei comandi sul server Windows. (il carattere ^ ticonsente di tagliare E incollare testo con ritorno a capo nella riga di comando). Per configurare il secondotunnel VPN per questa connessione VPN, ripeti la procedura utilizzando il secondo script netsh nel file diconfigurazione.

Al termine, vai a 2.4: configurazione di Windows Firewall (p. 227).

Per ulteriori informazioni sui parametri netsh, consulta Netsh AdvFirewall Consec Commands nellaMicrosoft TechNet Library.

Opzione 2: utilizzo dell'interfaccia utente di WindowsServerPer configurare il tunnel VPN, puoi anche utilizzare l'interfaccia utente di Windows Server. Questa sezionedescrive la procedura da seguire.

223

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx



Important

Non puoi abilitare PFS (Perfect Forward Secrecy) chiave master utilizzando l'interfaccia utentedi Windows Server 2012 R2. Devi abilitare PFS utilizzando la riga di comando, come descritto inAbilitazione di PFS (Perfect Forward Secrecy) chiave master (p. 226).

Argomenti• 2.1: configurazione di una regola di sicurezza per un tunnel VPN (p. 224)• 2.3: conferma della configurazione dei tunnel (p. 226)• Abilitazione di PFS (Perfect Forward Secrecy) chiave master (p. 226)

2.1: configurazione di una regola di sicurezza per un tunnel VPNIn questa sezione, configuri un ruolo di sicurezza sul server Windows per creare un tunnel VPN.

Per configurare una regola di sicurezza per un tunnel VPN

1. Aprire Server Manager, scegliere Strumenti, quindi selezionare Windows Firewall con sicurezzaavanzata.

2. Selezionare Regole di sicurezza delle connessioni, scegliere Azione, quindi Nuova regola.3. In Creazione guidata nuova regola di sicurezza della connessione, nella pagina Tipo di regola,

scegliere Tunnel, quindi selezionare Avanti.4. Nella pagina Tipo di tunnel, in Selezionare il tipo di tunnel che si desidera creare, scegliere

Configurazione personalizzata. In Would you like to exempt IPsec-protected connections fromthis tunnel (Escludere dal tunnel le connessioni protette con IPsec?), lasciare selezionato il valorepredefinito (No. Send all network traffic that matches this connection security rule through the tunnel(No. Invia tutto il traffico di rete che soddisfa questa regola di sicurezza della connessione tramite iltunnel)), quindi selezionare Next (Avanti).

5. Nella pagina Requisiti, scegliere Autenticazione obbligatoria per le connessioni in entrata. Tunnel nonutilizzati per le connessioni in uscita, quindi selezionare Avanti.

6. Nella pagina Endpoint del tunnel, in Selezionare i computer inclusi nell'endpoint 1, scegliere Aggiungi.Immettere l'intervallo di CIDR della rete (dietro il dispositivo gateway del cliente del server Windows,ad esempio, 172.31.0.0/16), quindi selezionare OK. L'intervallo può includere l'indirizzo IP deldispositivo gateway del cliente.

7. In Endpoint del tunnel locale più vicino ai computer nell'endpoint 1, scegliere Modifica. Nel campoIndirizzo IPv4, immettere l'indirizzo IP privato del server Windows, quindi selezionare OK.

8. In Endpoint del tunnel remoto più vicino ai computer nell'endpoint 2, scegliere Modifica. Nelcampo Indirizzo IPv4, immettere l'indirizzo IP del gateway virtuale privato per Tunnel 1 dal file diconfigurazione (consulta Remote Tunnel Endpoint), quindi selezionare OK.

Important

Se si ripete questa procedura per Tunnel 2, assicurarsi di selezionare l'endpoint per Tunnel 2.9. In Selezionare i computer inclusi nell'endpoint 2, scegliere Aggiungi. Nel campo Subnet o indirizzo IP,

immettere il blocco CIDR del VPC, quindi selezionare OK.

Important

Scorrere la finestra di dialogo fino a trovare Selezionare i computer inclusi nell'endpoint2. Non scegliere Avanti fino al completamento di questa fase altrimenti non sarà possibileconnettersi al server.

224



10. Confermare che tutte le impostazioni specificate siano corrette e scegliere Avanti.11. Nella pagina Metodo di autenticazione selezionare Avanzate e scegliere Personalizza.12. In Metodi per prima autenticazione, scegliere Aggiungi.13. Selezionare Chiave già condivisa, immettere il valore della chiave già condivisa del file di

configurazione e scegliere OK.

Important

Se si ripete questa procedura per Tunnel 2, assicurarsi di selezionare la chiave già condivisaper Tunnel 2.

14. Assicurarsi che l'opzione Prima autenticazione facoltativa non sia selezionata, quindi selezionare OK.15. Seleziona Successivo.

225



16. Nella pagina Profilo selezionare tutte e tre le caselle di controllo: Dominio, Privato e Pubblico.Seleziona Successivo.

17. Nella pagina Nome, immettere un nome per la regola di connessione; ad esempio VPN to AWSTunnel 1, quindi selezionare Fine.

Ripeti la procedura precedente, specificando i dati per Tunnel 2 dal file di configurazione.

Al termine, avrai due tunnel configurati per la connessione VPN.

2.3: conferma della configurazione dei tunnelPer confermare la configurazione dei tunnel

1. Aprire Server Manager, scegliere Strumenti, selezionare Windows Firewall con sicurezza avanzata,quindi selezionare Regole di sicurezza delle connessioni.

2. Verificare quanto segue per entrambi i tunnel:

• Abilitato è Yes• Endpoint 1 è il blocco CIDR per la rete.• Endpoint 2 è il blocco CIDR del VPC.• Modalità di autenticazione è Require inbound and clear outbound.• Metodo di autenticazione è Custom.• Porta endpoint 1 è Any.• Porta endpoint 2 è Any.• Protocollo è Any.

3. Selezionare la prima regola, quindi selezionare Proprietà.4. Nella scheda Autenticazione, in Metodo, scegliere Personalizza e verificare che Metodi per prima

autenticazione contenga la chiave già condivisa corretta del file di configurazione per il tunnel, quindiselezionare OK.

5. Nella scheda Avanzate, verificare che le caselle di controllo Dominio, Privato e Pubblico siano tutteselezionate.

6. In Tunneling IPsec, scegliere Personalizza. Verificare le impostazioni di tunnelling IPsec seguenti,quindi selezionare OK e di nuovo OK per chiudere la finestra di dialogo.

• Usa tunneling IPsec è selezionata.• Endpoint del tunnel locale più vicino all'endpoint 1 contiene l'indirizzo IP del server Windows. Se il

dispositivo gateway del cliente è un'istanza EC2, questa è l'indirizzo IP privato dell'istanza.• Endpoint del tunnel remoto più vicino all'endpoint 2 contiene l'indirizzo IP del gateway virtuale privato

per questo tunnel.7. Visualizzare le proprietà del secondo tunnel. Ripetere le fasi da 4 a 7 per questo tunnel.

Abilitazione di PFS (Perfect Forward Secrecy) chiave masterPuoi abilitare PFS (Perfect Forward Secrecy) chiave master utilizzando la riga di comando. Non puoiabilitare questa funzionalità tramite l'interfaccia utente.

Per abilitare PFS (Perfect Forward Secrecy) chiave master

1. Nel server Windows, aprire una finestra del prompt dei comandi.2. Digitare il comando seguente sostituendo rule_name con il nome assegnato alla prima regola di

connessione.

226


2.4: configurazione di Windows Firewall

netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Ripetere la fase 2 per il secondo tunnel, questa volta sostituendo rule_name con il nome assegnatoalla seconda regola di connessione.

2.4: configurazione di Windows FirewallDopo la configurazione delle regole di sicurezza sul tuo server, configura alcune impostazioni IPsec di baseda utilizzare con il gateway virtuale privato.

Per configurare Windows Firewall

1. Aprire Server Manager, scegliere Strumenti, selezionare Windows Firewall con sicurezza avanzata,quindi selezionare Proprietà.

2. Nella scheda Impostazioni IPSec, in Esenzioni IPSec, verificare che Esenzione di ICMP da IPSec siaNo (predefinito). Verificare che Autorizzazione tunnel IPsec sia Nessuna.

3. In Impostazioni predefinite IPSec, scegliere Personalizza.4. In Scambio di chiavi (modalità principale), selezionare Avanzate, quindi selezionare Personalizza.5. In Personalizza impostazioni avanzate scambio chiavi, sotto Metodi di sicurezza, verificare che questi

valori predefiniti siano utilizzati per la prima voce.

• Integrità: SHA-1• Crittografia: AES-CBC 128• Algoritmo di scambio chiavi: Gruppo Diffie-Hellman 2• In Durata chiavi, verificare che Minuti sia 480 e Sessioni sia 0.

Queste impostazioni corrispondono a queste voci nel file di configurazione.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

6. In Opzioni di scambio chiavi, selezionare Utilizza Diffie-Hellman per una sicurezza avanzata, quindiselezionare OK.

7. In Protezione dati (modalità rapida), selezionare Avanzate, quindi selezionare Personalizza.8. Selezionare Richiedi crittografia per le tutte le regole di sicurezza di connessione che utilizzano queste

impostazioni.9. In Integrità e crittografia dei dati, mantenere i valori predefiniti:

• Protocollo: ESP• Integrità: SHA-1• Crittografia: AES-CBC 128• Durata: 60 minuti

Questi valori corrispondono alla voce seguente del file di configurazione.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

10. Scegliere OK per tornare alla finestra di dialogo Personalizza impostazioni IPsec e scegliere di nuovoOK per salvare la configurazione.

227


Fase 5: abilitazione del rilevamento Dead Gateway

Fase 5: abilitazione del rilevamento Dead GatewayOra devi configurare TCP per rilevare quando un gateway diventa indisponibile. A questo proposito,modifica questa chiave di registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Non effettuare questa procedura se non hai completato le sezioni precedenti. Dopo lamodifica della chiave di registro, devi riavviare il server.

Per abilitare il rilevamento Dead Gateway

1. Dal server Windows, avviare il prompt dei comandi o una sessione PowerShell, quindi digitare regeditper avviare l'editor del Registro di sistema.

2. Espandere HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip e Parameters.3. Dal menu Modifica, selezionare Nuovo, quindi selezionare Valore DWORD (32 bit).4. Immettere il nome EnableDeadGWDetect.5. Selezionare EnableDeadGWDetect e scegliere Modifica, Modifica.6. In Dati valore, immettere 1, quindi selezionare OK.7. Chiudere l'editor del Registro di sistema e riavviare il server.

Per ulteriori informazioni, consulta EnableDeadGWDetect nella libreria di Microsoft TechNet.

Fase 6: test della connessione VPNPer assicurare il corretto funzionamento della connessione VPN, avvia un'istanza nel VPC e accertatiche non sia associata ad alcuna connessione Internet. Dopo l'avvio dell'istanza, esegui il ping del relativoindirizzo IP privato per il server Windows. Il tunnel VPN viene attivato quando il traffico è generato daldispositivo gateway del cliente, di conseguenza il comando ping avvia la connessione VPN.

Per avviare un'istanza nel VPC e ottenere il relativo indirizzo IP privato

1. Aprire la console Amazon EC2 e scegliere Launch Instance (Avvia istanza).2. Selezionare un'AMI Amazon Linux e un tipo di istanza.3. Nella pagina Step 3: Configure Instance Details (Fase 3: configurazione dei dettagli dell'istanza).

selezionare il VPC dall'elenco Network (Rete) e selezionare una sottorete dall'elenco Subnet(Sottorete). Assicurarsi di selezionare la sottorete privata configurata in Fase 1: creazione di unaconnessione VPN e configurazione del VPC (p. 219).

4. Nell'elenco Auto-assign Public IP (Assegna automaticamente IP pubblico), assicurarsi che il valoredell'impostazione è Disable (Disabilita).

5. Selezionare Next (Avanti) fino a raggiungere la pagina Step 6: Configure Security Group (Fase 6:configurazione del gruppo di sicurezza). È possibile selezionare un gruppo di sicurezza configuratoin Fase 1: creazione di una connessione VPN e configurazione del VPC (p. 219). In alternativa, èpossibile creare un nuovo gruppo di sicurezza e verificare che disponga di una regola che consentatutto il traffico ICMP dall'indirizzo IP del server Windows.

6. Completare le altre fasi nella procedura guidata e avviare l'istanza.7. Nella pagina Instances (Istanze), selezionare l'istanza. Prendere nota dell'indirizzo IP privato nel

campo Private IPs (IP privati) del riquadro dei dettagli.

Connettiti o accedi al server Windows, apri il prompt dei comandi, quindi utilizza il comando ping pereseguire il ping dell'istanza utilizzando il relativo indirizzo IP privato. Ad esempio:

ping 10.0.0.4

228

http://technet.microsoft.com/en-us/library/cc960464.aspx


Fase 6: test della connessione VPN

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Se il comando ping non riesce, procedi come descritto di seguito:

• Assicurati di aver configurato le regole di gruppo di sicurezza per consentire il traffico ICMP all'istanzanel VPC. Se il server Windows è un'istanza EC2, assicurati che le regole in uscita del gruppo disicurezza consentano il traffico IPsec. Per ulteriori informazioni, consulta Configurazione di WindowsServer (p. 218).

• Assicurati che il sistema operativo sull'istanza di cui stai eseguendo il ping sia configurato per risponderea ICMP. Ti consigliamo di utilizzare una delle AMI Amazon Linux.

• Se l'istanza di cui stai eseguendo il ping è un'istanza Windows, connettiti all'istanza e abilita ICMPv4 inentrata sul firewall Windows.

• Assicurati di aver configurato correttamente le tabelle di routing per il VPC o la sottorete. Per ulterioriinformazioni, consulta Fase 1: creazione di una connessione VPN e configurazione del VPC (p. 219).

• Se il dispositivo gateway del cliente è un'istanza Windows Server, assicurati di aver disabilitato ilcontrollo dell'origine/della destinazione per l'istanza. Per ulteriori informazioni, consulta Configurazione diWindows Server (p. 218).

Nella console Amazon VPC, nella pagina VPN Connections (Connessioni VPN), selezionare laconnessione VPN. Il primo tunnel è attivo (stato UP). Il secondo tunnel deve essere configurato, maverrà utilizzato solo se il primo tunnel diventa inattivo. È possibile che siano necessari alcuni secondi perimpostare i tunnel crittografati.

229


Cronologia dei documentiQuesta guida (Guida dell’amministratore della rete) è stata unita a Guida per l'utente di AWS Site-to-SiteVPN e non è più gestita. Per ulteriori informazioni sulla configurazione del dispositivo gateway del cliente,consulta Guida per l'utente di AWS Site-to-Site VPN.

Per ulteriori informazioni sulle modifiche importanti in ciascuna versione della Guida per gli amministratori direte AWS Site-to-Site VPN, consulta Cronologia dei documenti nella Guida per l'utente di Amazon VPC.

230


https://docs.aws.amazon.com/vpc/latest/userguide/WhatsNew.html

amazon virtual private clouddocs.aws.amazon.com/it_it/vpc/latest/adminguide/vpc-nag.pdfprivate cloud...

Documents