Cómo funciona AWS Site-to-Site VPN - AWS Site-to-Site VPN
Gateway privada virtualPuerta de enlace de tránsitoDispositivo de gateway de clientePuerta de enlace de clienteConexiones de VPN IPv6

Cómo funciona AWS Site-to-Site VPN

Las conexiones de Site-to-Site VPN constan de lo siguiente:

Una conexión de VPN ofrece dos túneles de VPN entre una puerta de enlace privada virtual o una puerta de enlace de tránsito en el lado de AWS y una puerta de enlace de cliente en las instalaciones.

Para obtener más información sobre las cuotas de Site-to-Site VPN, consulte AWS Site-to-Site VPNCuotas de .

Gateway privada virtual

La gateway privada virtual es el concentrador VPN que se encuentra en el extremo de Amazon de la conexión de Site-to-Site VPN. Debe crear una puerta de enlace privada virtual y conectarla a una nube privada virtual (VPC) con recursos que deben acceder a la conexión de Site-to-Site VPN.

El siguiente diagrama muestra una conexión de VPN entre una VPC y la red en las instalaciones mediante una puerta de enlace privada virtual.

Una VPC con una puerta de enlace privada virtual asociada y una conexión a su red en las instalaciones.

Al crear una gateway privada virtual, puede especificar el número de sistema autónomo (ASN) privado en el lado de Amazon de la gateway. Si no especifica un ASN, la gateway privada virtual se crea con el ASN predeterminado (64 512). No se puede cambiar el ASN una vez que ha creado la gateway privada virtual. Para comprobar el ASN de su puerta de enlace privada virtual, consulte sus detalles en la página Puertas de enlace privadas virtuales de la consola de Amazon VPC o utilice el comando de AWS CLI describe-vpn-gateways.

nota

Las puertas de enlace privadas virtuales no admiten IPv6 para conexiones de Site-to-Site VPN. Si necesita compatibilidad con IPv6, use una puerta de enlace de tránsito o la WAN en la nube para la conexión de VPN.

Puerta de enlace de tránsito

Un puerta de enlace de tránsito es un hub de tránsito que puede utilizar para interconectar sus VPC y redes en las instalaciones. Para obtener más información, consulte Gateways de tránsito de Amazon VPC. Puede crear una conexión de Site-to-Site VPN como una asociación de la gateway de tránsito.

El siguiente diagrama muestra una conexión de VPN entre varias VPC y su red en las instalaciones utilizando una puerta de enlace de tránsito. La puerta de enlace de tránsito tiene tres conexiones de VPC y una conexión de VPN.

Una puerta de enlace de tránsito con tres conexiones de VPC y una conexión de VPN.

La conexión de Site-to-Site VPN en una puerta de enlace de tránsito puede admitir el tráfico de IPv4 o IPv6 en los túneles de VPN (direcciones IP internas). Además, las puertas de enlace de tránsito admiten direcciones IPv6 para las direcciones IP de túnel externas. Para obtener más información, consulte Tráfico de IPv4 e IPv6 en AWS Site-to-Site VPN.

Puede modificar la gateway de destino de una conexión de Site-to-Site VPN entre una gateway privada virtual y una gateway de tránsito. Para obtener más información, consulte Modificación de la puerta de enlace de destino de una conexión de AWS Site-to-Site VPN.

Dispositivo de gateway de cliente

Un dispositivo de gateway de cliente es un dispositivo físico o una aplicación de software que se encuentra en su extremo de la conexión de Site-to-Site VPN. Puede configurar el dispositivo para que funcione con la conexión de Site-to-Site VPN. Para obtener más información, consulte dispositivos de puerta de enlace de cliente de AWS Site-to-Site VPN.

De forma predeterminada, el dispositivo de gateway de cliente debe mostrar los túneles de la conexión de Site-to-Site VPN generando tráfico e iniciando el proceso de negociación de Intercambio de claves de Internet (IKE). Puede configurar la conexión de Site-to-Site VPN para especificar que AWS debe iniciar el proceso de negociación de IKE en su lugar. Para obtener más información, consulte AWS Site-to-Site VPNOpciones de inicio de túnel de .

Si utiliza IPv6 para las direcciones IP de túnel externo, el dispositivo de puerta de enlace de cliente debe admitir el direccionamiento IPv6 y poder establecer túneles IPsec con puntos de conexión IPv6.

Puerta de enlace de cliente

Una gateway del cliente es un recurso que se crea en AWS y que representa el dispositivo de la gateway del cliente en la red local. Cuando crea una gateway del cliente, proporciona información sobre el dispositivo a AWS. Para obtener más información, consulte Opciones de gateway de cliente para su conexión de AWS Site-to-Site VPN.

Una puerta de enlace de cliente y un dispositivo de puerta de enlace de cliente.

Para utilizar Amazon VPC con una conexión de Site-to-Site VPN, usted o su administrador de red también deberán configurar la aplicación o el dispositivo de gateway de cliente en la red remota. Cuando crea la conexión de Site-to-Site VPN, la información de configuración necesaria se la proporcionamos nosotros, mientras que es el administrador de red el que normalmente lleva a cabo esta configuración. Para obtener información sobre los requisitos y la configuración de la gateway de cliente, consulte dispositivos de puerta de enlace de cliente de AWS Site-to-Site VPN.

Puerta de enlace de cliente IPv6

Al crear una puerta de enlace de cliente para usarla con IP de túnel externo de IPv6, debe especificar una dirección IPv6 en lugar de una dirección IPv4. Puede crear una puerta de enlace de cliente IPv6 mediante la Consola de administración de AWS o la AWS CLI.

Para crear una puerta de enlace de cliente IPv6 mediante la AWS CLI, utilice el siguiente comando:

aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1

La dirección IPv6 debe ser una dirección IPv6 válida enrutable por Internet para el dispositivo de puerta de enlace de cliente.

Conexiones de VPN IPv6

Las conexiones de Site-to-Site VPN admiten las siguientes configuraciones de IPv6:

  • Túnel externo de IPv4 con paquetes internos de IPv4: la capacidad básica de VPN IPv4 que admite puerta de enlace privada virtual (VGW), puerta de enlace de tránsito (TGW) y WAN en la nube.

  • Túnel externo de IPv4 con paquetes internos de IPv6: permite transporte y aplicaciones de IPv6 en el túnel de VPN. Compatible con TGW y WAN en la nube (no compatible con VGW).

  • Túnel externo de IPv6 con paquetes internos de IPv6: permite la migración completa de IPv6 con direcciones IPv6 tanto para las IP de túnel externo como para las IP de los paquetes internos. Compatible con TGW y WAN en la nube.

  • Túnel externo IPv6 con paquetes internos de IPv4: permite el direccionamiento del túnel externo de IPv6 y, al mismo tiempo, admite aplicaciones IPv4 antiguas en el túnel. Compatible con TGW y WAN en la nube.

Para crear una conexión de VPN con IP de túnel externo de IPv6, debe especificar OutsideIPAddressType=Ipv6 al crear la conexión de VPN. AWS configura automáticamente las direcciones IPv6 de túnel externo para el extremo de AWS de los túneles de VPN.

Ejemplo de comando de la CLI para crear una conexión de VPN con IP de túnel externo de IPv6 e IP de túnel interno de IPv6:

aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]

Puede ver las direcciones IPv6 asignadas a su conexión de VPN mediante el comando describe-vpn-connection de la CLI.