View a markdown version of this page

Konfigurieren Sie statisches Routing für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät - AWS Site-to-Site VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie statisches Routing für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät

Im Folgenden finden Sie einige Beispielverfahren zur Konfiguration eines Kunden-Gateway-Geräts unter Verwendung seiner Benutzeroberfläche (falls verfügbar).

Check Point

Im Folgenden finden Sie Schritte zur Konfiguration Ihres Kunden-Gateway-Geräts, falls es sich bei Ihrem Gerät um ein Check Point Security Gateway-Gerät mit R77.10 oder höher handelt, das das Gaia-Betriebssystem und Check Point verwendet. SmartDashboard Sie können auch den Artikel Check Point Security Gateway IPsec VPN to Amazon Web Services VPC im Check Point Support Center lesen.

So konfigurieren Sie die Tunnelschnittstelle

Als Erstes müssen Sie die VPN-Tunnel erstellen und die privaten (internen) IP-Adressen des Kunden-Gateways und des Virtual Private Gateways für die einzelnen Tunnel angeben. Wie Sie den ersten Tunnel erstellen, ist im Abschnitt IPSec Tunnel #1 der Konfigurationsdatei beschrieben. Verwenden Sie zum Erstellen des zweiten Tunnels die Werte im Abschnitt IPSec Tunnel #2 der Konfigurationsdatei.

  1. Öffnen Sie das Gaia-Portal Ihres Check Point-Sicherheits-Gateway-Geräts.

  2. Klicken Sie auf Network Interfaces, Add und VPN tunnel.

  3. Konfigurieren Sie im Dialogfeld die Einstellungen wie nachfolgend beschrieben und klicken Sie dann auf OK:

    • Geben Sie unter VPN Tunnel ID einen eindeutigen Wert, z. B. 1, ein.

    • Geben Sie unter Peer einen eindeutigen Namen für den Tunnel ein, z. B. AWS_VPC_Tunnel_1 oder AWS_VPC_Tunnel_2.

    • Stellen Sie sicher, dass Numbered (Nummeriert) ausgewählt ist, und geben Sie unter Local Address (Lokale Adresse) die IP-Adresse für CGW Tunnel IP aus der Konfigurationsdatei ein, z. B. 169.254.44.234.

    • Geben Sie unter Remote Address die IP-Adresse für VGW Tunnel IP aus der Konfigurationsdatei ein, z. B. 169.254.44.233.

    Check Point-Dialogfeld "VPN-Tunnel hinzufügen"

  4. Melden Sie sich über SSH bei Ihrem Sicherheits-Gateway an. Wenn Sie nicht die Standard-Shell verwenden, wechseln Sie mit folgendem Befehl zu Clish: clish

  5. Führen Sie für Tunnel 1 den folgenden Befehl aus:

    set interface vpnt1 mtu 1436

    Führen Sie für Tunnel 2 den folgenden Befehl aus:

    set interface vpnt2 mtu 1436

  6. Wiederholen Sie diese Schritte, um den zweiten Tunnel zu erstellen. Verwenden Sie dafür die Informationen im Bereich IPSec Tunnel #2 der Konfigurationsdatei.

So konfigurieren Sie die statischen Routen

In diesem Schritt legen Sie für die einzelnen Tunnel die statische Route zum Subnetz in der VPC fest, damit Sie Datenverkehr über die Tunnelschnittstellen senden können. Der zweite Tunnel dient als Failover, falls der erste Tunnel ausfällt. Falls ein Fehler auftritt, wird die richtlinienbasierte statische Route aus der Routing-Tabelle entfernt und es wird eine zweite Route aktiviert. Außerdem müssen Sie das Check Point-Gateway aktivieren, um einen Ping ans andere Ende des Tunnels zu senden und zu prüfen, ob der Tunnel aktiv ist.

  1. Wählen Sie im Gaia-Portal IPv4 Static Routes, Add.

  2. Geben Sie den CIDR-Bereich Ihres Subnetzes an, z. B. 10.28.13.0/24.

  3. Klicken Sie auf Add Gateway und IP Address.

  4. Geben Sie die IP-Adresse für VGW Tunnel IP aus der Konfigurationsdatei ein (z. B. 169.254.44.233) und legen Sie als Priorität "1" fest.

  5. Wählen Sie Ping aus.

  6. Wiederholen Sie die Schritte 3 und 4 für den zweiten Tunnel und verwenden Sie den Wert VGW Tunnel IP im Bereich IPSec Tunnel #2 der Konfigurationsdatei. Legen Sie als Priorität "2" fest.

    Check Point-Dialogfeld "Zieladressroute bearbeiten"

  7. Wählen Sie Speichern.

Wenn Sie einen Cluster verwenden, wiederholen Sie die vorhergehenden Schritte für die anderen Mitglieder des Clusters.

So definieren Sie ein neues Netzwerkobjekt

In diesem Schritt erstellen Sie ein Netzwerkobjekt für jeden VPN-Tunnel und legen die öffentlichen (externen) IP-Adressen für das Virtual Private Gateway fest. Später fügen Sie diese Netzwerkobjekte als Satelliten-Gateways für Ihre VPN-Community hinzu. Außerdem müssen Sie eine leere Gruppe erstellen, die als Platzhalter für die VPN-Domäne dient.

  1. Öffnen Sie den Check Point SmartDashboard.

  2. Öffnen Sie für Groups das Kontextmenü und klicken Sie auf Groups und Simple Group. Sie können für alle Netzwerkobjekte dieselbe Gruppe verwenden.

  3. Öffnen Sie mit der rechten Maustaste für Network Objects das Kontextmenü und wählen Sie New und Interoperable Device aus.

  4. Geben Sie unter Name den Namen des Tunnels ein, z. B. AWS_VPC_Tunnel_1 oder AWS_VPC_Tunnel_2.

  5. Geben Sie unter IPv4 Adresse die externe IP-Adresse des virtuellen privaten Gateways ein, die in der Konfigurationsdatei angegeben ist, 54.84.169.196 z. B. Speichern Sie die Einstellungen und schließen Sie das Dialogfeld.

    Check Point-Dialogfeld "Interoperables Gerät"

  6. Öffnen Sie Ihre Gateway-Eigenschaften und wählen Sie im Kategorienbereich Topologie aus. SmartDashboard

  7. Klicken Sie auf Get Topology, um die Schnittstellenkonfiguration abzurufen.

  8. Klicken Sie im Bereich VPN Domain (VPN-Domäne) auf Manually defined (Manuell definiert) und wählen Sie die leere einfache Gruppe aus, die Sie in Schritt 2 erstellt haben. Wählen Sie OK aus.

    Anmerkung

    Sie können eine vorhandene VPN-Domäne, die Sie bereits konfiguriert haben, beibehalten. Stellen Sie jedoch sicher, dass die verwendeten Hosts und Netzwerke von der neuen VPN-Verbindung bedient werden und nicht in dieser VPN-Domäne deklariert werden, insbesondere wenn die VPN-Domäne automatisch abgeleitet wird.

  9. Wiederholen Sie diese Schritte, um ein zweites Netzwerkobjekt zu erstellen. Verwenden Sie dafür die Informationen im Bereich IPSec Tunnel #2 der Konfigurationsdatei.

Anmerkung

Wenn Sie Cluster verwenden, bearbeiten Sie die Topologie und legen Sie die Schnittstellen als Cluster-Schnittstellen fest. Verwenden Sie die IP-Adressen, die in der Konfigurationsdatei angegeben sind.

So erstellen und konfigurieren Sie die VPN-Community, IKE und IPsec Einstellungen

In diesem Schritt erstellen Sie eine VPN-Community in Ihrem Check Point-Gateway, zu dem Sie die Netzwerkobjekte (interoperablen Geräte) für die einzelnen Tunnel hinzufügen. Sie konfigurieren auch den Internet Key Exchange (IKE) und die IPsec Einstellungen.

  1. Wählen Sie in Ihren Gateway-Eigenschaften im Kategorienbereich die Option IPSecVPN aus.

  2. Klicken Sie auf Communities, New und Star Community.

  3. Geben Sie einen Namen für die Community ein (z. B. AWS_VPN_Star) und klicken Sie im Kategoriebereich auf Center Gateways.

  4. Klicken Sie auf Add und fügen Sie Ihr Gateway bzw. Ihren Cluster der Liste der teilnehmenden Gateways hinzu.

  5. Klicken Sie im Kategoriebereich auf Satellite Gateways (Satelliten-Gateways) und Add (Hinzufügen) und fügen Sie die interoperablen Geräte, die Sie vorher erstellt haben (AWS_VPC_Tunnel_1 und AWS_VPC_Tunnel_2) der Liste der teilnehmenden Gateways hinzu.

  6. Klicken Sie im Kategoriebereich auf Encryption. Wählen Sie im Abschnitt Verschlüsselungsmethode die Option IKEv1 Nur aus. Wählen Sie im Bereich Encryption Suite Custom und Custom Encryption aus.

  7. Konfigurieren Sie im Dialogfeld die Verschlüsselungseigenschaften wie nachfolgend beschrieben und klicken Sie dann auf OK:

    • Eigenschaften von IKE Security Association (Phase 1):

      • Perform key exchange encryption with: AES-128

      • Perform data integrity with: SHA-1

    • IPsec Eigenschaften von Security Association (Phase 2):

      • IPsec Datenverschlüsselung durchführen mit: AES-128

      • Perform data integrity with: SHA-1

  8. Klicken Sie im Kategoriebereich auf Tunnel Management. Klicken Sie auf Set Permanent Tunnels und On all tunnels in the community. Wählen Sie im Bereich VPN Tunnel Sharing One VPN tunnel per Gateway pair aus.

  9. Erweitern Sie im Kategoriebereich Advanced Settings und klicken Sie auf Shared Secret.

  10. Wählen Sie den Peer-Namen für den ersten Tunnel aus, klicken Sie auf Edit (Bearbeiten) und geben Sie den vorinstallierten Schlüssel aus dem Bereich IPSec Tunnel #1 der Konfigurationsdatei ein.

  11. Wählen Sie den Peer-Namen für den zweiten Tunnel aus, klicken Sie auf Edit (Bearbeiten) und geben Sie den vorinstallierten Schlüssel aus dem Bereich IPSec Tunnel #2 der Konfigurationsdatei ein.

    Check Point-Dialogfeld "Gemeinsamer geheimer Schlüssel"

  12. Klicken Sie – noch immer in der Kategorie Advanced Settings (Erweiterte Einstellungen) – auf Advanced VPN Properties (Erweiterte VPN-Eigenschaften), konfigurieren Sie die Eigenschaften wie nachfolgend beschrieben und klicken Sie abschließend auf OK:

    • IKE (Phase 1):

      • Diffie-Hellman-Gruppe verwenden: Group 2

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (Phase 2):

      • Use Perfect Forward Secrecy auswählen

      • Diffie-Hellman-Gruppe verwenden: Group 2

      • Verhandeln Sie IPsec Sicherheitszuordnungen alle Sekunden neu 3600

So erstellen Sie Firewall-Regeln

In diesem Schritt konfigurieren Sie eine Richtlinie mit Firewall-Regeln und direktionalen Übereinstimmungsregeln, um Kommunikation zwischen der VPC und dem lokalen Netzwerk zu ermöglichen. Dann installieren Sie diese Richtlinie auf Ihrem Gateway.

  1. Wählen Sie im SmartDashboard Global Properties für Ihr Gateway aus. Erweitern Sie im Kategoriebereich VPN und klicken Sie auf Advanced.

  2. Klicken Sie auf Enable VPN Directional Match in VPN Column und speichern Sie die Änderungen.

  3. Wählen Sie im die SmartDashboard Option Firewall aus und erstellen Sie eine Richtlinie mit den folgenden Regeln:

    • Erlauben Sie dem VPC-Subnetz, über die erforderlichen Protokolle mit dem lokalen Netzwerk zu kommunizieren.

    • Erlauben Sie dem lokalen Netzwerk, über die erforderlichen Protokolle mit dem VPC-Subnetz zu kommunizieren.

  4. Öffnen Sie das Kontextmenü für die Zelle in der VPN-Spalte und klicken Sie auf Edit Cell.

  5. Klicken Sie im Dialogfeld VPN Match Conditions auf Match traffic in this direction only. Klicken Sie jeweils auf Add und abschließend auf OK, um die folgenden direktionalen Übereinstimmungsregeln zu erstellen:

    • internal_clear > VPN-Community (die VPN-Star-Community, die Sie vorher erstellt haben, z. B. AWS_VPN_Star)

    • VPN-Community > VPN-Community

    • VPN-Community > internal_clear

  6. Wählen Sie im die SmartDashboard Option Richtlinie, Installieren aus.

  7. Wählen Sie im Dialogfeld das Gateway aus und klicken Sie auf OK, um die Richtlinie zu installieren.

So ändern Sie die Eigenschaft "tunnel_keepalive_method"

Sie können für Ihren Check Point-Gateway Dead Peer Detection (DPD) verwenden, um Ausfälle bei der IKE-Zuordnung zu identifizieren. Um DPD für einen permanenten Tunnel zu konfigurieren, muss der permanente Tunnel in der AWS VPN-Community konfiguriert werden (siehe Schritt 8).

Standardmäßig ist für die Eigenschaft tunnel_keepalive_method eines VPN-Gateways der Wert tunnel_test festgelegt. Sie müssen diesen Wert zu dpd ändern. Für alle VPN-Gateways innerhalb der VPN-Community, einschließlich VPN-Gateways von Drittanbietern, für die Sie DPD-Überwachung aktivieren möchten, muss die Eigenschaft tunnel_keepalive_method konfiguriert werden. Es ist nicht möglich, für dasselbe Gateway unterschiedliche Überwachungsmechanismen zu konfigurieren.

Sie können die tunnel_keepalive_method Eigenschaft mit dem DBedit GUI-Tool aktualisieren.

  1. Öffnen Sie den Check Point SmartDashboard und wählen Sie Security Management Server, Domain Management Server.

  2. Klicken Sie auf File und Database Revision Control… und erstellen Sie einen Versions-Snapshot.

  3. Schließen Sie alle SmartConsole Fenster, z. B. SmartView Tracker und SmartView Monitor. SmartDashboard

  4. Starten Sie das BDedit GUI-Tool. Weitere Informationen finden Sie im Artikel Check Point Database Tool im Check Point-Supportcenter.

  5. Klicken Sie auf Security Management Server und Domain Management Server.

  6. Klicken Sie oben links auf Table, Network Objects und network_objects.

  7. Wählen Sie oben rechts das entsprechende Security Gateway-Cluster-Objekt aus.

  8. Drücken Sie STRG + F oder verwenden Sie das Suchmenü, um nach folgender Zeichenfolge zu suchen: tunnel_keepalive_method.

  9. Öffnen Sie im unteren Bereich das Kontextmenü für tunnel_keepalive_method und klicken Sie auf Edit… (Bearbeiten...). Wählen Sie dpd aus. Wählen Sie dann OK aus.

  10. Wiederholen Sie die Schritte 7 bis 9 für jedes Gateway, das Teil der AWS VPN-Community ist.

  11. Klicken Sie auf File und Save All.

  12. Schließen Sie das DBedit GUI-Tool.

  13. Öffnen Sie den Check Point SmartDashboard und wählen Sie Security Management Server, Domain Management Server.

  14. Installieren Sie die Richtlinie für das entsprechende Security Gateway-Cluster-Objekt.

Weitere Informationen finden Sie im Artikel New VPN features in R77.10 im Check Point-Supportcenter.

So aktivieren Sie TCP MSS Clamping

Mit TCP MSS Clamping können Sie die maximale Segmentgröße von TCP-Paketen reduzieren, um eine Paketfragmentierung zu vermeiden.

  1. Öffnen Sie das folgende Verzeichnis: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Führen Sie die Datei GuiDBEdit.exe aus, um das Check Point-Datenbank-Tool zu starten.

  3. Wählen Sie Table, Global Properties und properties aus.

  4. Klicken Sie für fw_clamp_tcp_mss auf Edit. Ändern Sie den Wert in true und klicken Sie auf OK.

So überprüfen Sie den Tunnelstatus

Sie können den Tunnelstatus überprüfen, indem Sie den folgenden Befehl vom Befehlszeilen-Tool aus im Expertenmodus ausführen.

vpn tunnelutil

Wählen Sie in den angezeigten Optionen 1 aus, um die IKE-Verknüpfungen zu überprüfen, und 2, um die IPsec Verknüpfungen zu überprüfen.

Im Check Point Smart Tracker-Protokoll können Sie auch überprüfen, ob Pakete über diese Verbindung verschlüsselt werden. Dem folgenden Protokoll können Sie beispielsweise entnehmen, dass ein Paket verschlüsselt über Tunnel 1 an die VPC gesendet wurde.

Check Point-Protokolldatei
SonicWALL

Das folgende Verfahren zeigt die Konfiguration von VPN-Tunneln auf dem SonicWALL-Gerät über die SonicOS-Managementschnittstelle.

So konfigurieren Sie die Tunnel

  1. Öffnen Sie die SonicWALL SonicOS-Management-Schnittstelle.

  2. Wählen Sie im linken Bereich VPN, Settings aus. Wählen Sie unter VPN Policies Add... aus.

  3. Geben Sie die folgenden Informationen im VPN-Richtlinienfenster auf der Registerkarte General ein:

    • Policy Type (Richtlinientyp): Wählel Sie Tunnel Interface.

    • Authentication Method: Wählen Sie IKE using Preshared Secret aus.

    • Name: Geben Sie einen Namen für die VPN-Richtlinie ein. Wir empfehlen, dass Sie den Namen der VPN-ID aus der Konfigurationsdatei verwenden.

    • IPsec Name oder Adresse des primären Gateways: Geben Sie die IP-Adresse des Virtual Private Gateways ein, wie sie in der Konfigurationsdatei angegeben ist (z. B.72.21.209.193).

    • IPsec Name oder Adresse des sekundären Gateways: Behalten Sie den Standardwert bei.

    • Shared Secret: Geben Sie den vorinstallierten Schlüssel aus der Konfigurationsdatei ein. Geben Sie ihn erneut in Confirm Shared Secret ein.

    • Lokale IKE-ID: Geben Sie die IPv4 Adresse des Kunden-Gateways (das SonicWALL-Gerät) ein.

    • Peer-IKE-ID: Geben Sie die IPv4 Adresse des virtuellen privaten Gateways ein.

  4. Füllen Sie auf der Registerkarte Network die folgenden Informationen aus:

    • Wählen Sie unter Local Networks Any address aus. Wir empfehlen diese Option, um Verbindungsprobleme aus Ihrem lokalen Netzwerk zu vermeiden.

    • Wählen Sie unter Remote Networks Choose a destination network from list aus. Erstellen Sie ein Adressobjekt mit der CIDR Ihrer VPC in AWS.

  5. Füllen Sie auf der Registerkarte Proposals (Vorschläge) die folgenden Informationen aus.

    • Führen Sie unter IKE (Phase 1) Proposal die folgenden Schritte aus:

      • Exchange: Wählen Sie Main Mode aus.

      • DH Group: Geben Sie einen Wert für die Diffie-Hellman-Gruppe ein (z. B. 2).

      • Encryption: Wählen Sie AES-128 oder AES-256 aus.

      • Authentifizierung: Wählen Sie SHA1oder SHA256.

      • Life Time: Geben Sie 28800 ein.

    • Führen Sie unter IKE (Phase 2) Proposal die folgenden Schritte aus:

      • Protocol: Wählen Sie ESP aus.

      • Encryption: Wählen Sie AES-128 oder AES-256 aus.

      • Authentifizierung: Wählen Sie SHA1oder SHA256.

      • Wählen Sie das Kontrollkästchen Enable Perfect Forward Secrecy und die Diffie-Hellman-Gruppe aus.

      • Life Time: Geben Sie 3600 ein.

    Wichtig

    Wenn Sie Ihr Virtual Private Gateway vor Oktober 2015 erstellt haben, müssen Sie Diffie-Hellman-Gruppe 2, AES-128, und für beide Phasen angeben. SHA1

  6. Füllen Sie auf der Registerkarte Advanced die folgenden Informationen aus:

    • Wählen Sie Enable Keep Alive aus.

    • Wählen Sie Enable Phase2 Dead Peer Detection aus und geben Sie Folgendes ein:

      • Geben Sie für Dead Peer Detection Interval 60 ein (der Minimalwert für das SonicWALL-Gerät).

      • Geben Sie in Failure Trigger Level 3 ein.

    • Wählen Sie für VPN Policy bound to Interface X1 aus. Dies ist die Schnittstelle, die normalerweise für öffentliche IP-Adressen vorgesehen ist.

  7. Wählen Sie OK aus. Auf der Seite Einstellungen sollte das Kontrollkästchen Aktivieren für den Tunnel standardmäßig aktiviert sein. Der grüne Punkt zeigt an, dass der Tunnel aktiv ist.