Reglas de firewall para un dispositivo de puerta de enlace de cliente de AWS Site-to-Site VPN
Debe tener una dirección IP estática para utilizarla como punto de conexión de los túneles IPsec que conectan su dispositivo de puerta de enlace de cliente con los puntos de conexión de AWS Site-to-Site VPN. Si existe un firewall entre AWS y su dispositivo de puerta de enlace de cliente, las reglas de las tablas siguientes deben estar aplicadas para establecer los túneles IPsec. Las direcciones IP en AWS estará en el archivo de configuración.
|
Regla de entrada I1 |
|
|---|---|
|
IP de origen |
IP externa de Tunnel1 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Destino |
500 |
|
Regla de entrada I2 |
|
|
IP de origen |
IP externa de Tunnel2 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Puerto de destino |
500 |
|
Regla de entrada I3 |
|
|
IP de origen |
IP externa de Tunnel1 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regla de entrada I4 |
|
|
IP de origen |
IP externa de Tunnel2 |
|
IP destino |
Gateway de cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regla de salida O1 |
|
|---|---|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel1 |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Puerto de destino |
500 |
|
Regla de salida O2 |
|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel2 |
|
Protocolo |
UDP |
|
Puerto de origen |
500 |
|
Puerto de destino |
500 |
|
Regla de salida O3 |
|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel1 |
|
Protocolo |
IP 50 (ESP) |
|
Regla de salida O4 |
|
|
IP de origen |
Gateway de cliente |
|
IP destino |
IP externa de Tunnel2 |
|
Protocolo |
IP 50 (ESP) |
Las reglas I1, I2, O1 y O2 permiten la transmisión de paquetes IKE. Las reglas I3, I4, O3 y O4 permiten la transmisión de paquetes IPsec que contienen el tráfico de red cifrado.
nota
Si utiliza NAT transversal (NAT-T) en el dispositivo, asegúrese de que el tráfico UDP en el puerto 4500 también puede pasar entre la red y los puntos de conexión de AWS Site-to-Site VPN. Compruebe si su dispositivo anuncia NAT-T.
