Opciones de gateway de cliente para su conexión de AWS Site-to-Site VPN
La siguiente tabla describe la información que necesitará para crear un recurso de gateway de cliente en AWS.
| Elemento | Descripción |
|---|---|
|
(Opcional) Etiqueta de nombre. |
Crea una etiqueta con una clave de "Nombre" y un valor que especifique. |
|
(Solo direccionamiento dinámico) Número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) de la gateway de cliente. |
El ASN en el rango comprendido entre 1 y 4 294 967 295 es compatible. Puede utilizar un ASN público existente asignado a su red, con excepción de lo siguiente:
Si no tiene ningún ASN público, puede utilizar un ASN privado en el rango comprendido entre 64 512 y 65 534 o 4 200 000 000 y 4 294 967 294. El ASN predeterminado es 64512. Para obtener más información sobre el enrutamiento, consulte AWS Site-to-Site VPNOpciones de direccionamiento de . |
|
La dirección IP de la interfaz externa del dispositivo de puerta de enlace de cliente. |
La dirección IP debe ser estática y puede ser IPv4 o IPv6. Para direcciones IPv4: si su dispositivo de puerta de enlace de cliente está detrás de un dispositivo de traducción de direcciones de red (NAT), utilice la dirección IP de su dispositivo NAT. Además, asegúrese de que los paquetes UDP en el puerto 500 (y en el puerto 4500, si se utiliza NAT transversal) tienen permiso para pasar entre la red y los puntos de conexión de AWS Site-to-Site VPN. Consulte Reglas de firewall para obtener más información. Para direcciones IPv6: la dirección debe ser una dirección IPv6 válida y enrutable por Internet. Las direcciones IPv6 solo son compatibles con conexiones de VPN en una puerta de enlace de tránsito o una WAN en la nube. No se requiere una dirección IP cuando se utiliza un certificado privado de AWS Private Certificate Authority y una VPN pública. |
| (Opcional) Certificado privado de una entidad emisora de certificados subordinada que use AWS Certificate Manager (ACM). | Si quiere utilizar la autenticación basada en certificados, proporcione el ARN de un certificado privado ACM para usarlo en el dispositivo de gateway de cliente. Cuando crea una gateway de cliente, puede configurarla para que utilice certificados privados de AWS Private Certificate Authority para autenticar Site-to-Site VPN. Cuando elige utilizar esta opción, crea un private certificate authority (CA) totalmente alojado en AWS para que la organización la utilice internamente. almacena y administra tanto el certificado de entidad de certificación raíz como la entidad de certificación subordinada Autoridad de certificación privada de AWS. Antes de crear la gateway de cliente, tiene que crear un certificado privado a partir de una CA subordinada mediante AWS Private Certificate Authority y luego especifica el certificado al configurar la gateway de cliente. Para obtener información sobre la creación de un certificado privado, consulte la sección de creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority. |
|
(Opcional) Dispositivo. |
Un nombre para el dispositivo de puerta de enlace de cliente asociado con esta puerta de enlace de cliente. |
Opciones de puerta de enlace de cliente IPv6
Al crear una puerta de enlace de cliente con una dirección IPv6, tenga en cuenta lo siguiente:
-
Las puertas de enlace de cliente IPv6 solo son compatibles con conexiones de VPN en una puerta de enlace de tránsito o en una WAN en la nube.
-
La dirección IPv6 debe ser válida y enrutable por Internet.
-
El dispositivo de puerta de enlace de cliente debe admitir el direccionamiento IPv6 y poder establecer túneles de IPsec con puntos de conexión IPv6.
-
Para crear una puerta de enlace de cliente IPv6 mediante la CLI de AWS, utilice una dirección IPv6 para el parámetro
--ip-address:aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
