Configure el enrutamiento dinámico para un dispositivo de puerta de enlace del cliente AWS Virtual Private Network

Para configurar la interfaz de túnel

El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) de la gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice la información proporcionada en la sección IPSec Tunnel #1 del archivo de configuración. Para crear el segundo túnel, utilice los valores proporcionados en la sección IPSec Tunnel #2 del archivo de configuración.

1. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado, cambie a clish ejecutando el siguiente comando: clish.

2. Configure el ASN de la puerta de enlace del cliente (el ASN que se proporcionó cuando se creó la puerta de enlace del cliente en AWS) ejecutando el siguiente comando.

   set as 65000

3. Cree la interfaz del primer túnel utilizando la información que se proporciona en la sección IPSec Tunnel #1 del archivo de configuración. Especifique un nombre exclusivo para su túnel como, por ejemplo, AWS_VPC_Tunnel_1.

   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436 

4. Repita estos comandos para crear el segundo túnel utilizando la información que se proporciona en la sección IPSec Tunnel #2 del archivo de configuración. Especifique un nombre exclusivo para su túnel como, por ejemplo, AWS_VPC_Tunnel_2.

   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436 

5. Establezca el ASN de la gateway privada virtual.

   set bgp external remote-as 7224 on 

6. Configure BGP para el primer túnel utilizando la información que se proporciona en la sección IPSec Tunnel #1 del archivo de configuración.

   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10 

7. Configure BGP para el segundo túnel utilizando la información que se proporciona en la sección IPSec Tunnel #2 del archivo de configuración.

   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10 

8. Guarde la configuración.

   save config

Para crear una política de BGP

A continuación, cree una política de BGP que permita importar las rutas que anuncia AWS. A continuación, configurará la gateway de cliente para anunciar estas rutas locales a AWS.

1. En Gaia WebUI, elija Advanced Routing, Inbound Route Filters. Elija Add y seleccione Add BGP Policy (Based on AS).

2. En Add BGP Policy (Añadir política de BGP), seleccione un valor entre 512 y 1024 en el primer campo y escriba el ASN de la gateway privada virtual en el segundo campo (por ejemplo, 7224).

3. Seleccione Save.

Para anunciar rutas locales

A continuación se presentan los pasos para distribuir rutas de interfaces locales. También puede redistribuir rutas desde distintos orígenes (por ejemplo, rutas estáticas o rutas obtenidas mediante protocolos de direccionamiento dinámico). Para obtener más información, consulte la Gaia Advanced Routing R77 Versions Administration Guide.

1. En Gaia WebUI, elija Advanced Routing, Routing Redistribution. Elija Add Redistribution From (Añadir redistribución desde) y luego seleccione Interface (Interfaz).

2. En To Protocol (A protocolo), seleccione el ASN de la gateway privada virtual (por ejemplo, 7224).

3. En Interface, seleccione una interfaz interna. Seleccione Save.

Para definir un nuevo objeto de red

A continuación, cree un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador de posición para el dominio de VPN.

1. Abra el punto de control. SmartDashboard

2. Para Groups, abra el menú contextual y elija Groups, Simple Group. Puede utilizar el mismo grupo para cada objeto de red.

3. Para Network Objects, abra el menú contextual (clic con el botón derecho) y elija New, Interoperable Device.

4. En Name (Nombre), escriba el nombre que ha proporcionado para el túnel en el paso 1, por ejemplo: AWS_VPC_Tunnel_1 o AWS_VPC_Tunnel_2.

5. En IPv4 Dirección, introduzca la dirección IP externa de la puerta de enlace privada virtual proporcionada en el archivo de configuración, por ejemplo,54.84.169.196. Guarde la configuración y cierre el cuadro de diálogo.

   

6. En el panel de categorías izquierdo, elija Topology.

7. En la sección VPN Domain (Dominio de VPN), elija Manually defined (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione Aceptar.

8. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección IPSec Tunnel #2 del archivo de configuración.

9. Vaya a su objeto de red de gateway, abra el objeto de clúster o gateway y elija Topology.

10. En la sección VPN Domain (Dominio de VPN), elija Manually defined (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione Aceptar.

    nota

    Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante, asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPN no estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtiene automáticamente.

Para crear y configurar la comunidad VPN, el IKE y los IPsec ajustes

A continuación, cree una comunidad de VPN en su gateway de Check Point, a la que agregará los objetos de red (dispositivos interoperables) para cada túnel. También puede configurar el intercambio de claves de Internet (IKE) y los IPsec ajustes.

1. En las propiedades de la puerta de enlace, elija IPSecVPN en el panel de categorías.

2. Elija Communities, New, Star Community.

3. Proporcione un nombre para su comunidad (por ejemplo, AWS_VPN_Star) y, a continuación, elija Center Gateways en el panel Category.

4. Elija Add y agregue su gateway o clúster a la lista de gateways participantes.

5. En el panel Category (Categoría), elija Satellite Gateways (Gateways satélite), Add (Agregar), y agregue los dispositivos interoperables que creó anteriormente (AWS_VPC_Tunnel_1 y AWS_VPC_Tunnel_2) a la lista de gateways participantes.

6. En el panel Category, elija Encryption. En la sección Método de cifrado, elija IKEv1 para IPv4 y IKEv2 para IPv6. En la sección Encryption Suite, elija Custom, Custom Encryption.

   nota

   Debe seleccionar la IPv6 opción IKEv1 para IPv4 y IKEv2 para que IKEv1 funcione.

7. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija OK (Aceptar) cuando haya terminado:

   • Propiedades de asociación de seguridad de IKE (fase 1):

     • Perform key exchange encryption with: AES-128

     • Perform data integrity with: SHA-1

   • IPsec Propiedades de la asociación de seguridad (fase 2):

     • Realice el cifrado IPsec de datos con: AES-128

     • Perform data integrity with: SHA-1

8. En el panel Category, elija Tunnel Management. Elija Set Permanent Tunnels, On all tunnels in the community. En la sección VPN Tunnel Sharing, elija One VPN tunnel per Gateway pair.

9. En el panel Category, expanda Advanced Settings y elija Shared Secret.

10. Seleccione el nombre homólogo para el primer túnel, elija Edit (Editar) y escriba la clave previamente compartida según lo especificado en la sección IPSec Tunnel #1 del archivo de configuración.

11. Seleccione el nombre homólogo para el segundo túnel, elija Edit (Editar) y escriba la clave previamente compartida según lo especificado en la sección IPSec Tunnel #2 del archivo de configuración.

    

12. Aún en la categoría Advanced Settings (Configuración avanzada), elija Advanced VPN Properties (Propiedades avanzadas de VPN), configure las propiedades según se indica y elija OK (Aceptar) cuando haya terminado:

    • IKE (fase 1):

      • Use Diffie-Hellman group (Usar el grupo Diffie-Hellman): Group 2 (1024 bit)

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (Fase 2):

      • Elija Use Perfect Forward Secrecy

      • Use Diffie-Hellman group (Usar el grupo Diffie-Hellman): Group 2 (1024 bit)

      • Renegocie las asociaciones de IPsec seguridad cada segundo 3600

Para crear reglas de firewall

A continuación, configurará una política con reglas de firewall y reglas de coincidencia direccional que permitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.

1. En el SmartDashboard, elija Propiedades globales para su puerta de enlace. En el panel Category, expanda VPN y elija Advanced.

2. Elija Enable VPN Directional Match in VPN Column y elija OK.

3. En SmartDashboard, elija Firewall y cree una política con las siguientes reglas:

   • Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios.

   • Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios.

4. Abra el menú contextual para la celda de la columna de VPN, y elija Edit Cell.

5. En el cuadro de diálogo VPN Match Conditions, elija Match traffic in this direction only. Cree las siguientes reglas de coincidencia direccional; para ello, elija Add (Agregar) para cada una y seleccione OK (Aceptar) cuando haya terminado:

   • internal_clear > VPN community (Comunidad VPN) (la comunidad Star de VPN que creó antes; por ejemplo: AWS_VPN_Star)

   • VPN community > VPN community

   • Comunidad VPN > internal_clear

6. En el SmartDashboard, selecciona Política e instala.

7. En el cuadro de diálogo, elija su gateway y seleccione OK para instalar la política.

Para modificar la propiedad tunnel_keepalive_method

Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad de AWS VPN.

De forma predeterminada, la propiedad tunnel_keepalive_method de una gateway de VPN está configurada como tunnel_test. Debe cambiar el valor a dpd. Cada gateway de VPN de la comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedad tunnel_keepalive_method, incluida cualquier gateway de VPN de terceros. No puede configurar mecanismos de monitorización distintos para la misma gateway.

Puede actualizar la tunnel_keepalive_method propiedad mediante la DBedit herramienta GUI.

1. Abra el Check Point SmartDashboard y elija Security Management Server, Domain Management Server.

2. Elija File, Database Revision Control..., y cree una instantánea de revisión.

3. Cierre todas las SmartConsole ventanas, como el SmartDashboard SmartView Rastreador y el SmartView Monitor.

4. Inicie la BDedit herramienta GUI. Para obtener más información, consulte el artículo Check Point Database Tool, en el centro de soporte técnico de Check Point.

5. Elija Security Management Server, Domain Management Server.

6. En el panel superior izquierdo, elija Table, Network Objects, network_objects.

7. En el panel superior derecho, seleccione el objeto de Security Gateway, Cluster correspondiente.

8. Presione CTRL+F, o utilice el menú Search para buscar lo siguiente: tunnel_keepalive_method.

9. En el panel inferior, abra el menú contextual de tunnel_keepalive_method y seleccione Edit... Elija dpd, OK (Aceptar).

10. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de AWS VPN.

11. Elija File, Save All.

12. Cierre la DBedit herramienta Gui.

13. Abra el Check Point SmartDashboard y elija Security Management Server, Domain Management Server.

14. Instale la política en el objeto Security Gateway, Cluster correspondiente.

Para habilitar el bloqueo TCP MSS

El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar la fragmentación de los paquetes.

1. Vaya al siguiente directorio: C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Abra la herramienta Check Point Database ejecutando el archivo GuiDBEdit.exe.

3. Elija Table, Global Properties, properties.

4. Para fw_clamp_tcp_mss, elija Edit. Cambie el valor a true y luego elija OK (Aceptar).