Requisitos para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN

AWS es compatible con varios dispositivos de puerta de enlace de cliente Site-to-Site VPN, para los que proporcionamos archivos de configuración descargables. Para obtener una lista de dispositivos compatibles y pasos para descargar los archivos de configuración, consulte Archivos de configuración de enrutamiento estático y dinámico.

Si tiene un dispositivo que no está en la lista anterior de dispositivos compatibles, consulte la sección siguiente, en la que se describen los requisitos que debe cumplir el dispositivo para establecer una conexión con Site-to-Site VPN.

Hay cuatro puntos principales para la configuración del dispositivo de gateway de cliente. Los siguientes símbolos representan cada parte de la configuración.

	Asociación de seguridad de intercambio de claves de Internet (IKE). Necesaria para intercambiar claves utilizadas para establecer la asociación de seguridad de IPsec.
	Asociación de seguridad IPsec. Gestiona el cifrado del túnel, la autenticación, etc.
	Interfaz de túnel. Recibe el tráfico entrante y saliente del túnel.
	(Opcional) Asociación entre pares con protocolo de gateway fronterizo (BGP) Para dispositivos que usan BGP, intercambia rutas entre el dispositivo de gateway de cliente y la gateway privada virtual.

En la siguiente tabla se indican los requisitos que debe cumplir el dispositivo de gateway de cliente, el RFC relacionado (a modo de referencia) y comentarios acerca de los requisitos.

Cada conexión de VPN consta de dos túneles independientes. Cada túnel contiene una asociación de seguridad de IKE, una asociación de seguridad de IPsec y un intercambio de tráfico BGP. La limitación es de una única pareja de asociación de seguridad (SA) por túnel (un entrante y uno saliente) y, por lo tanto, dos únicas parejas de SA en total para los dos túneles (cuatro SA). Algunos dispositivos utilizan una VPN basada en políticas y crean tantas SA como entradas de ACL. Por lo tanto, es posible que necesite consolidar sus reglas y luego filtrar para no permitir el tráfico no deseado.

De forma predeterminada, el túnel de VPN aparece cuando se genera tráfico y se inicia la negociación de IKE desde el lado de la conexión de VPN. Puede configurar la conexión de VPN para iniciar la negociación de IKE desde el lado de la conexión AWS. Para obtener más información, consulte AWS Site-to-Site VPNOpciones de inicio de túnel de .

Los puntos de enlace de VPN dan soporte al cambio de clave y comienzan las nuevas negociaciones cuando la primera fase está a punto de caducar si el dispositivo de gateway de cliente no ha enviado tráfico de renegociación.

Requisito	RFC	Comentarios
Establecimiento de una asociación de seguridad de IKE	RFC 2409 RFC 7296	La asociación de seguridad de IKE se establece primero entre la gateway privada virtual y el dispositivo de gateway de cliente mediante una clave compartida previamente o un certificado privado que usen AWS Private Certificate Authority como autenticador. Cuando se establece, IKE negocia una clave efímera para proteger los mensajes futuros de IKE. Tiene que haber un acuerdo completo entre los parámetros, incluidos los parámetros de cifrado y autenticación. Al crear una conexión de VPN en AWS, puede especificar su propia clave previamente compartida para cada túnel o puede dejar que AWS genere una automáticamente. Como opción alternativa, puede especificar el certificado privado mediante AWS Private Certificate Authority para utilizarlo para el dispositivo de gateway de cliente. Para obtener más información sobre la configuración de túneles de VPN, consulte Opciones de túnel para la conexión de AWS Site-to-Site VPN. Las siguientes versiones son compatibles: IKEv1 e IKEv2. El modo principal solo se admite con IKEv1. El servicio Site-to-Site VPN es una solución basada en rutas. Si utiliza una configuración basada en políticas, debe limitar su configuración a una asociación de seguridad (SA) única.
Establecimiento de asociaciones de seguridad de IPsec en modo de túnel	RFC 4301	Mediante la clave efímera de IKE, se establecen las claves entre la gateway privada virtual y el dispositivo de gateway de cliente para crear una asociación de seguridad (SA) de IPsec. El tráfico entre las gateways se cifra y se descifra mediante esta SA. IKE cambia automáticamente las claves efímeras utilizadas para cifrar el tráfico dentro de la SA de IPsec de forma periódica para garantizar la confidencialidad de las comunicaciones.
Uso del cifrado AES de 128 bits o la función de cifrado AES de 256 bits	RFC 3602	La función de cifrado se utiliza para garantizar la privacidad entre las asociaciones de seguridad de IKE y de IPsec.
Uso de la función de hash SHA-1 o SHA-2 (256)	RFC 2404	Esta función de hash se utiliza para autenticar asociaciones de seguridad de IKE y de IPsec.
Uso de la confidencialidad directa total Diffie-Hellman	RFC 2409	IKE utiliza Diffie-Hellman para establecer claves efímeras para proteger todas las comunicaciones entre los dispositivos de gateway de cliente y las gateways privadas virtuales. Se admiten los siguientes grupos: Grupos de fase 1: 2, 14-24 Grupos de fase 2: 2, 5, 14-24
(Conexiones de VPN enrutadas dinámicamente) Uso de la detección de pares muertos de IPsec	RFC 3706	La detección de pares muertos permite a los dispositivos de VPN identificar rápidamente cuándo una condición de red impide la entrega de paquetes a través de Internet. Cuando esto sucede, las gateways eliminan las asociaciones de seguridad e intentan crear nuevas asociaciones. Durante este proceso, se utiliza el túnel IPsec alternativo, si es posible.
(Conexiones de VPN enrutadas dinámicamente) Vincular el túnel a la interfaz lógica (VPN basada en rutas)	Ninguno	El dispositivo debe poder vincular el túnel IPSec a una interfaz lógica. La interfaz lógica contiene una dirección IP utilizada para establecer el intercambio de tráfico BGP con la gateway privada virtual. Esta interfaz lógica no debería realizar ninguna encapsulación adicional (por ejemplo, GRE o IP en IP). Su interfaz debería configurarse en una unidad de transmisión máxima (MTU) de 1399 bytes.
(Conexiones de VPN enrutadas dinámicamente) Establecimiento de intercambio de tráfico BGP	RFC 4271	BGP se utiliza para intercambiar rutas entre el dispositivo de gateway de cliente y la gateway privada virtual para dispositivos que utilizan BGP. Todo el tráfico BGP se cifra y se transmite mediante la asociación de seguridad de IPsec. BGP es necesario para que ambas gateways intercambien los prefijos IP, a los que se obtiene acceso mediante la SA de IPsec.

Una conexión de VPN de AWS no es compatible con la detección de la ruta MTU Discovery (RFC 1191).

Si tiene un firewall entre el dispositivo de gateway de cliente e Internet, consulte Reglas de firewall para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Dispositivos de una puerta de enlace de cliente de Site-to-Site VPN

Prácticas recomendadas