AWS Site-to-Site VPNOpciones de inicio de túnel de
De forma predeterminada, el dispositivo de gateway de cliente debe mostrar los túneles de la conexión de Site-to-Site VPN generando tráfico e iniciando el proceso de negociación de Intercambio de claves de Internet (IKE). Puede configurar los túneles de VPN para especificar que AWS debe iniciar o reiniciar el proceso de negociación de IKE en su lugar.
Opciones de iniciación de IKE de túnel de VPN
Las siguientes opciones de iniciación de IKE están disponibles. Puede implementar una o ambas opciones en uno o ambos túneles de la conexión de Site-to-Site VPN. Consulte Opciones de túnel de VPN para obtener más información sobre estas y otras opciones de configuración del túnel.
-
Acción de inicio: acción que se debe realizar al establecer el túnel de VPN para una conexión de VPN nueva o modificada. De forma predeterminada, el dispositivo de gateway de cliente inicia el proceso de negociación de IKE para mostrar el túnel. Puede especificar que AWS deba iniciar el proceso de negociación de IKE en su lugar.
-
Acción de tiempo de espera de DPD: la acción que se debe realizar después de que se cumpla el tiempo de espera de detección de pares muertos (DPD). De forma predeterminada, la sesión de IKE se detiene, el túnel se desactiva y se eliminan las rutas. Puede especificar que AWS deba reiniciar la sesión de IKE cuando se cumpla el tiempo de espera de DPD, o puede especificar que AWS no deba llevar a cabo ninguna acción cuando se cumpla el tiempo de espera de DPD.
Reglas y limitaciones
Se aplican las siguientes reglas y limitaciones:
-
Para iniciar la negociación de IKE, AWS requiere la dirección IP pública del dispositivo de puerta de enlace de cliente. Si configuró la autenticación basada en certificados para su conexión de VPN y no especificó una dirección IP cuando creó el recurso de puerta de enlace de cliente en AWS, debe crear una nueva puerta de enlace de cliente y especificar la dirección IP. A continuación, modifique la conexión de VPN y especifique la nueva gateway de cliente. Para obtener más información, consulte Cambio de la puerta de enlace de cliente para una conexión de AWS Site-to-Site VPN.
-
El inicio de IKE (acción de inicio) desde el extremo de AWS de la conexión de VPN solo se admite para IKEv2.
-
Si utiliza el inicio de IKE desde el lado de AWS de la conexión de VPN, no incluye una configuración de tiempo de espera. Intentará establecer una conexión continuamente hasta que se establezca una. Además, el lado de AWS de la conexión de VPN reiniciará la negociación de IKE cuando reciba un mensaje de eliminación de SA desde la puerta de enlace de cliente.
-
Si el dispositivo de gateway del cliente está detrás de un firewall u otro dispositivo que utilice la traducción de direcciones de red (NAT), debe tener una identidad (IDr) configurada. Para obtener más información acerca de IDr, consulte RFC 7296
.
Si no configura la iniciación de IKE desde el extremo de AWS para el túnel de VPN y la conexión de VPN experimenta un periodo de inactividad (normalmente, 10 segundos, según su configuración), el túnel podría desactivarse. Para evitar este problema, utilice una herramienta de monitoreo de red para generar pings keepalive.
Uso de opciones de iniciación de túnel de VPN
Para obtener más información sobre cómo trabajar con las opciones de iniciación de túnel de VPN, consulte los temas siguientes:
-
Para crear una nueva conexión de VPN y especificar las opciones de iniciación del túnel de VPN: Paso 5: Crear una conexión de VPN
-
Para modificar las opciones de iniciación del túnel de VPN en una conexión de VPN existente: Modificar opciones de túnel de AWS Site-to-Site VPN
