Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Configure el enrutamiento dinámico para un dispositivo de puerta de enlace del cliente AWS Virtual Private Network A continuación, se presentan algunos procedimientos de ejemplo para configurar un dispositivo de gateway de cliente a través de su interfaz de usuario (si está disponible). ------ #### [ Check Point ] Los siguientes son los pasos para configurar un dispositivo Check Point Security Gateway que ejecute la versión R77.10 o superior, mediante el portal web de Gaia y Check Point. SmartDashboard También puede consultar el artículo [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) en el centro de soporte técnico de Check Point. **Para configurar la interfaz de túnel** El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) de la gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice la información proporcionada en la sección `IPSec Tunnel #1` del archivo de configuración. Para crear el segundo túnel, utilice los valores proporcionados en la sección `IPSec Tunnel #2` del archivo de configuración. 1. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado, cambie a clish ejecutando el siguiente comando: `clish`. 1. Configure el ASN de la puerta de enlace del cliente (el ASN que se proporcionó cuando se creó la puerta de enlace del cliente en AWS) ejecutando el siguiente comando. ``` set as {{65000}} ``` 1. Cree la interfaz del primer túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #1` del archivo de configuración. Especifique un nombre exclusivo para su túnel como, por ejemplo, `AWS_VPC_Tunnel_1`. ``` add vpn tunnel 1 type numbered local {{169.254.44.234}} remote {{169.254.44.233}} peer {{AWS_VPC_Tunnel_1}} set interface vpnt1 state on set interface vpnt1 mtu {{1436}} ``` 1. Repita estos comandos para crear el segundo túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #2` del archivo de configuración. Especifique un nombre exclusivo para su túnel como, por ejemplo, `AWS_VPC_Tunnel_2`. ``` add vpn tunnel 1 type numbered local {{169.254.44.38}} remote {{169.254.44.37}} peer {{AWS_VPC_Tunnel_2}} set interface vpnt2 state on set interface vpnt2 mtu {{1436}} ``` 1. Establezca el ASN de la gateway privada virtual. ``` set bgp external remote-as {{7224}} on ``` 1. Configure BGP para el primer túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #1` del archivo de configuración. ``` set bgp external remote-as {{7224}} peer {{169.254.44.233}} on set bgp external remote-as {{7224}} peer {{169.254.44.233}} holdtime 30 set bgp external remote-as {{7224}} peer {{169.254.44.233}} keepalive 10 ``` 1. Configure BGP para el segundo túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #2` del archivo de configuración. ``` set bgp external remote-as {{7224}} peer {{169.254.44.37}} on set bgp external remote-as {{7224}} peer {{169.254.44.37}} holdtime 30 set bgp external remote-as {{7224}} peer {{169.254.44.37}} keepalive 10 ``` 1. Guarde la configuración. ``` save config ``` **Para crear una política de BGP** A continuación, cree una política de BGP que permita importar las rutas que anuncia AWS. A continuación, configurará la gateway de cliente para anunciar estas rutas locales a AWS. 1. En Gaia WebUI, elija **Advanced Routing**, **Inbound Route Filters**. Elija **Add** y seleccione **Add BGP Policy (Based on AS)**. 1. En **Add BGP Policy** (Añadir política de BGP), seleccione un valor entre 512 y 1024 en el primer campo y escriba el ASN de la gateway privada virtual en el segundo campo (por ejemplo, `7224`). 1. Seleccione **Save**. **Para anunciar rutas locales** A continuación se presentan los pasos para distribuir rutas de interfaces locales. También puede redistribuir rutas desde distintos orígenes (por ejemplo, rutas estáticas o rutas obtenidas mediante protocolos de direccionamiento dinámico). Para obtener más información, consulte la [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm). 1. En Gaia WebUI, elija **Advanced Routing**,** Routing Redistribution**. Elija **Add Redistribution From** (Añadir redistribución desde) y luego seleccione **Interface** (Interfaz). 1. En **To Protocol** (A protocolo), seleccione el ASN de la gateway privada virtual (por ejemplo, `7224`). 1. En **Interface**, seleccione una interfaz interna. Seleccione **Save**. **Para definir un nuevo objeto de red** A continuación, cree un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador de posición para el dominio de VPN. 1. Abra el punto de control. SmartDashboard 1. Para **Groups**, abra el menú contextual y elija **Groups**, **Simple Group**. Puede utilizar el mismo grupo para cada objeto de red. 1. Para **Network Objects**, abra el menú contextual (clic con el botón derecho) y elija **New**, **Interoperable Device**. 1. En **Name** (Nombre), escriba el nombre que ha proporcionado para el túnel en el paso 1, por ejemplo: `AWS_VPC_Tunnel_1` o `AWS_VPC_Tunnel_2`. 1. En **IPv4 Dirección**, introduzca la dirección IP externa de la puerta de enlace privada virtual proporcionada en el archivo de configuración, por ejemplo,`54.84.169.196`. Guarde la configuración y cierre el cuadro de diálogo. ![Cuadro de diálogo Interoperable Device (Dispositivo interoperable) de Check Point](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-network-device.png) 1. En el panel de categorías izquierdo, elija **Topology**. 1. En la sección **VPN Domain** (Dominio de VPN), elija **Manually defined** (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione **Aceptar**. 1. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección `IPSec Tunnel #2` del archivo de configuración. 1. Vaya a su objeto de red de gateway, abra el objeto de clúster o gateway y elija **Topology**. 1. En la sección **VPN Domain** (Dominio de VPN), elija **Manually defined** (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione **Aceptar**. **nota** Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante, asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPN no estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtiene automáticamente. **nota** Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster. Utilice las direcciones IP especificadas en el archivo de configuración. **Para crear y configurar la comunidad VPN, el IKE y los IPsec ajustes** A continuación, cree una comunidad de VPN en su gateway de Check Point, a la que agregará los objetos de red (dispositivos interoperables) para cada túnel. También puede configurar el intercambio de claves de Internet (IKE) y los IPsec ajustes. 1. En las propiedades de la puerta de enlace, elija **IPSecVPN** en el panel de categorías. 1. Elija **Communities**, **New**, **Star Community**. 1. Proporcione un nombre para su comunidad (por ejemplo, `AWS_VPN_Star`) y, a continuación, elija **Center Gateways** en el panel Category. 1. Elija **Add** y agregue su gateway o clúster a la lista de gateways participantes. 1. En el panel Category (Categoría), elija **Satellite Gateways** (Gateways satélite), **Add** (Agregar), y agregue los dispositivos interoperables que creó anteriormente (`AWS_VPC_Tunnel_1` y `AWS_VPC_Tunnel_2`) a la lista de gateways participantes. 1. En el panel Category, elija **Encryption**. En la sección **Método de cifrado**, elija **IKEv1 para IPv4 y IKEv2 para IPv6**. En la sección **Encryption Suite**, elija **Custom**, **Custom Encryption**. **nota** Debe seleccionar la IPv6 opción **IKEv1 para IPv4 y IKEv2 para** que IKEv1 funcione. 1. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija **OK** (Aceptar) cuando haya terminado: + Propiedades de asociación de seguridad de IKE (fase 1): + **Perform key exchange encryption with**: AES-128 + **Perform data integrity with**: SHA-1 + IPsec Propiedades de la asociación de seguridad (fase 2): + **Realice el cifrado IPsec de datos con**: AES-128 + **Perform data integrity with**: SHA-1 1. En el panel Category, elija **Tunnel Management**. Elija **Set Permanent Tunnels**, **On all tunnels in the community**. En la sección **VPN Tunnel Sharing**, elija **One VPN tunnel per Gateway pair**. 1. En el panel Category, expanda **Advanced Settings** y elija **Shared Secret**. 1. Seleccione el nombre homólogo para el primer túnel, elija **Edit** (Editar) y escriba la clave previamente compartida según lo especificado en la sección `IPSec Tunnel #1` del archivo de configuración. 1. Seleccione el nombre homólogo para el segundo túnel, elija **Edit** (Editar) y escriba la clave previamente compartida según lo especificado en la sección `IPSec Tunnel #2` del archivo de configuración. ![Cuadro de diálogo Interoperable Shared Secret (Secreto compartido interoperable) de Check Point](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-shared-secret.png) 1. Aún en la categoría **Advanced Settings** (Configuración avanzada), elija **Advanced VPN Properties** (Propiedades avanzadas de VPN), configure las propiedades según se indica y elija **OK** (Aceptar) cuando haya terminado: + IKE (fase 1): + **Use Diffie-Hellman group** (Usar el grupo Diffie-Hellman): `Group 2 (1024 bit)` + **Renegotiate IKE security associations every** `480` **minutes** + IPsec (Fase 2): + Elija **Use Perfect Forward Secrecy** + **Use Diffie-Hellman group** (Usar el grupo Diffie-Hellman): `Group 2 (1024 bit)` + ****Renegocie las asociaciones de IPsec seguridad cada segundo `3600`**** **Para crear reglas de firewall** A continuación, configurará una política con reglas de firewall y reglas de coincidencia direccional que permitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway. 1. En el SmartDashboard, elija **Propiedades globales** para su puerta de enlace. En el panel Category, expanda **VPN** y elija **Advanced**. 1. Elija **Enable VPN Directional Match in VPN Column** y elija **OK**. 1. En SmartDashboard, elija **Firewall** y cree una política con las siguientes reglas: + Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios. + Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios. 1. Abra el menú contextual para la celda de la columna de VPN, y elija **Edit Cell**. 1. En el cuadro de diálogo **VPN Match Conditions**, elija **Match traffic in this direction only**. Cree las siguientes reglas de coincidencia direccional; para ello, elija **Add** (Agregar) para cada una y seleccione **OK** (Aceptar) cuando haya terminado: + `internal_clear` > VPN community (Comunidad VPN) (la comunidad Star de VPN que creó antes; por ejemplo: `AWS_VPN_Star`) + VPN community > VPN community + Comunidad VPN > `internal_clear` 1. En el SmartDashboard, selecciona **Política** e **instala**. 1. En el cuadro de diálogo, elija su gateway y seleccione **OK** para instalar la política. **Para modificar la propiedad tunnel\_keepalive\_method** Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad de AWS VPN. De forma predeterminada, la propiedad `tunnel_keepalive_method` de una gateway de VPN está configurada como `tunnel_test`. Debe cambiar el valor a `dpd`. Cada gateway de VPN de la comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedad `tunnel_keepalive_method`, incluida cualquier gateway de VPN de terceros. No puede configurar mecanismos de monitorización distintos para la misma gateway. Puede actualizar la `tunnel_keepalive_method` propiedad mediante la DBedit herramienta GUI. 1. Abra el Check Point SmartDashboard y elija **Security Management Server**, **Domain Management Server**. 1. Elija **File**, **Database Revision Control...**, y cree una instantánea de revisión. 1. Cierre todas las SmartConsole ventanas, como el SmartDashboard SmartView Rastreador y el SmartView Monitor. 1. Inicie la BDedit herramienta GUI. Para obtener más información, consulte el artículo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009), en el centro de soporte técnico de Check Point. 1. Elija **Security Management Server**, **Domain Management Server**. 1. En el panel superior izquierdo, elija **Table**, **Network Objects**, **network\_objects**. 1. En el panel superior derecho, seleccione el objeto de **Security Gateway**, **Cluster** correspondiente. 1. Presione CTRL\+F, o utilice el menú **Search** para buscar lo siguiente: `tunnel_keepalive_method`. 1. En el panel inferior, abra el menú contextual de `tunnel_keepalive_method` y seleccione **Edit...** Elija **dpd**, **OK (Aceptar)**. 1. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de AWS VPN. 1. Elija **File**, **Save All**. 1. Cierre la DBedit herramienta Gui. 1. Abra el Check Point SmartDashboard y elija **Security Management Server**, **Domain Management Server**. 1. Instale la política en el objeto **Security Gateway**, **Cluster** correspondiente. Para obtener más información, consulte el artículo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746), en el centro de soporte técnico de Check Point. **Para habilitar el bloqueo TCP MSS** El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar la fragmentación de los paquetes. 1. Vaya al siguiente directorio: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`. 1. Abra la herramienta Check Point Database ejecutando el archivo `GuiDBEdit.exe`. 1. Elija **Table**, **Global Properties**, **properties**. 1. Para `fw_clamp_tcp_mss`, elija **Edit**. Cambie el valor a `true` y luego elija **OK** (Aceptar). **Para verificar el estado del túnel** Puede verificar el estado del túnel ejecutando el siguiente comando desde la herramienta de línea de comandos en el modo experto. ``` vpn tunnelutil ``` En las opciones que aparecen, elija **1** para comprobar las asociaciones IKE y **2** para comprobar las IPsec asociaciones. También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexión se están cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado a través del túnel 1 y se ha cifrado. ![Archivo de registro de Check Point](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-log.png) ------ #### [ SonicWALL ] Puede configurar el dispositivo SonicWALL mediante la interfaz de administración de SonicOS. Para obtener más información sobre la configuración de los túneles, consulte [Configure el enrutamiento estático para un dispositivo de puerta de enlace del cliente AWS Site-to-Site VPN](cgw-static-routing-example-interface.md). Sin embargo, no es posible configurar BGP para el dispositivo utilizando la interfaz de administración. En su lugar, utilice las instrucciones de la línea de comandos que se ofrecen en el archivo de configuración de ejemplo, en la sección **BGP**. ------