View a markdown version of this page

Configure las opciones de túnel para AWS Site-to-Site VPN - AWS Site-to-Site VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure las opciones de túnel para AWS Site-to-Site VPN

Esta sección proporciona una guía completa sobre la configuración de las opciones de túnel para AWS Site-to-Site VPN las conexiones y abarca parámetros esenciales como la detección de puntos muertos, las versiones de IKE y la configuración de cifrado. Puede personalizar estas opciones de túnel para optimizar la seguridad, el rendimiento y la compatibilidad de su conexión VPN con la infraestructura de red local.

A continuación, se muestran las opciones de túnel que puede configurar.

nota

Algunas opciones de túnel tienen varios valores predeterminados. Por ejemplo, las versiones de IKE tienen dos valores de opciones de túnel predeterminados: ikev1 y ikev2. Todos los valores predeterminados se asociarán a esa opción de túnel si no elige valores específicos. Haga clic para eliminar cualquier valor predeterminado que no desee asociar a la opción de túnel. Por ejemplo, si solo desea utilizar ikev1 para la versión de IKE, haga clic en ikev2 para eliminarla.

Tiempo de espera de detección de pares muertos (DPD)

El número de segundos después del cual se produce un tiempo de espera de DPD. Un tiempo de espera de DPD de 30 segundos significa que el punto final de la VPN considerará que el par está inactivo 30 segundos después del primer error de mantenimiento activo. Puede especificar 30 o un valor superior.

Predeterminado: 40

Acción de tiempo de espera de DPD

La acción que se debe realizar después de que se agote el tiempo de espera de detección de pares muertos (DPD). Puede especificar lo siguiente:

  • Clear: finalice la sesión de IKE cuando se cumpla el tiempo de espera de DPD (detenga el túnel y borre las rutas)

  • None: no realice ninguna acción cuando se cumpla el tiempo de espera de DPD

  • Restart: reinicie la sesión de IKE cuando se cumpla el tiempo de espera de DPD

Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.

Valor predeterminado: Clear

Opciones de registro de VPN

Con los registros de la Site-to-Site VPN, puede acceder a los detalles sobre el establecimiento del túnel de seguridad IP (IPsec), las negociaciones sobre el intercambio de claves de Internet (IKE) y los mensajes del protocolo de detección de pares muertos (DPD).

Para obtener más información, consulte AWS Site-to-Site VPN registros.

Formatos de registro disponibles: json, text

Versiones de IKE

Las versiones de IKE permitidas para el túnel de VPN. Puede especificar uno o varios valores predeterminados.

Valores predeterminados: ikev1, ikev2

Túnel interior de CIDR IPv4

Intervalo de direcciones IPv4 internas (internas) para el túnel VPN. Pude especificar un bloque de CIDR de tamaño /30 desde el rango 169.254.0.0/16. El bloque CIDR debe ser único en todas las conexiones Site-to-Site VPN que utilizan la misma puerta de enlace privada virtual.

nota

El bloque de CIDR no tiene por qué ser único en todas las conexiones de una puerta de enlace de tránsito. En caso de no ser único, puede crear un conflicto en la puerta de enlace de cliente. Proceda con cuidado al reutilizar el mismo bloque CIDR en varias conexiones Site-to-Site VPN en una puerta de enlace de tránsito.

Los siguientes bloques de CIDR están reservados y no se pueden utilizar:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Predeterminado: un bloque de CIDR IPv4 de tamaño /30 del intervalo 169.254.0.0/16.

Pre-shared almacenamiento de claves

Tipo de almacenamiento de la clave compartida previamente:

  • Estándar: la clave previamente compartida se almacena directamente en el servicio Site-to-Site VPN.

  • Secrets Manager: la clave previamente compartida se almacena mediante AWS Secrets Manager. Para obtener más información acerca de Secrets Manager, consulte Características de seguridad mejoradas con Secrets Manager.

Ancho de banda del túnel

El ancho de banda compatible con el túnel.

  • Estándar: el ancho de banda del túnel está establecido en un máximo de 1,25 Gbps por túnel (predeterminado).

  • Grande: el ancho de banda del túnel alcanza un máximo de 5 Gbps por túnel.

    nota

    El tamaño grande solo está disponible para las conexiones VPN conectadas a una pasarela de tránsito o a una WAN de nube. No es compatible con las conexiones de pasarelas de enlace privadas virtuales.

Túnel interior de CIDR IPv6

(Sólo conexiones VPN IPv6) Intervalo de direcciones IPv6 internas (internas) para el túnel VPN. Puede especificar un bloque CIDR de tamaño /126 desde el rango local fd00::/8. El bloque CIDR debe ser único en todas las conexiones Site-to-Site VPN que utilizan la misma puerta de enlace de tránsito. Si no especifica una subred IPv6, Amazon selecciona automáticamente una subred /128 de este intervalo. Independientemente de si especifica la subred o de si Amazon la selecciona, Amazon usa la primera dirección IPv6 utilizable de la subred para su extremo de la conexión y esta usa la segunda dirección IPv6 utilizable.

Predeterminado: un bloque de CIDR IPv6 de tamaño /126 del intervalo local fd00::/8.

Tipo de dirección IP de túnel externo

Tipo de dirección IP de las direcciones IP de túnel externo. Puede especificar uno de los siguientes valores:

  • PrivateIpv4: Utilice una dirección IPv4 privada para implementar conexiones Site-to-Site VPN a través de Direct Connect.

  • PublicIpv4: (predeterminado) utilice direcciones IPv4 para las IP de túnel externo.

  • Ipv6: utilice direcciones IPv6 para las IP de túnel externo. Esta opción solo está disponible para conexiones de VPN en una puerta de enlace de tránsito o de WAN en la nube.

Cuando lo selecciona Ipv6, AWS configura automáticamente las direcciones IPv6 de túnel externo para el extremo de AWS de los túneles de VPN. El dispositivo de puerta de enlace de cliente debe admitir el direccionamiento IPv6 y poder establecer túneles de IPsec con puntos de conexión IPv6.

Valor predeterminado: PublicIpv4

CIDR de red IPv4 local

(Solo conexión de VPN IPv4) Intervalo de CIDR utilizado durante la negociación de la fase 2 de IKE para el extremo del cliente (en las instalaciones) del túnel de VPN. Este rango se usa para proponer rutas, pero no impone restricciones de tráfico, ya que AWS utiliza exclusivamente VPN basadas en rutas. Policy-based No se admiten las VPN porque AWS limitarían la capacidad de admitir protocolos de enrutamiento dinámico y arquitecturas multirregionales. Debería incluir los intervalos de IP de la red en las instalaciones que deben comunicarse a través del túnel de VPN. Se deben utilizar configuraciones de tablas de enrutamiento, NACL y grupos de seguridad adecuados para controlar el flujo de tráfico real.

Predeterminado: 0.0.0. 0/0

CIDR de red IPv4 remota

(Solo para conexión VPN IPv4) El rango CIDR utilizado durante la negociación de la fase 2 de IKE para el AWS lado del túnel VPN. Este intervalo se utiliza para proponer rutas, pero no impone restricciones de tráfico, ya que AWS utiliza exclusivamente VPN basadas en rutas. AWS no admite las VPN basadas en políticas porque carecen de la flexibilidad necesaria para escenarios de enrutamiento complejos y son incompatibles con funciones como las pasarelas de tránsito y VPN Equal Cost Multi-Path (ECMP). En el caso de las VPC, suele ser el intervalo de CIDR de la VPC. En el caso de las puertas de enlace de tránsito, podría incluir varios intervalos de CIDR procedentes de VPC conectadas o de otra red.

Predeterminado: 0.0.0. 0/0

CIDR de red IPv6 local

(Sólo conexión VPN IPv6) Intervalo CIDR IPv6 en el lado de la gateway del cliente (local) que puede comunicarse a través de los túneles VPN.

Predeterminado:: :/0

CIDR de red IPv6 remota

(Solo para conexión VPN IPv6) El rango CIDR de IPv6 está en el AWS lado que puede comunicarse a través de los túneles VPN.

Predeterminado:: :/0

Números de grupo de la fase 1 Diffie-Hellman (DH)

Los números del grupo DH permitidos para el túnel de VPN para las negociaciones IKE de la fase 1. Puede especificar uno o varios valores predeterminados.

Valores predeterminados: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Números de grupo de la fase 2 Diffie-Hellman (DH)

Los números del grupo DH permitidos para el túnel de VPN para las negociaciones IKE de la fase 2. Puede especificar uno o varios valores predeterminados.

Valores predeterminados: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Algoritmos de cifrado de la fase 1

Los algoritmos de cifrado permitidos para el túnel VPN para las negociaciones IKE de fase 1. Puede especificar uno o varios valores predeterminados.

Valores predeterminados: AES128, AES256, AES128-GCM-16 AES256-GCM-16

Algoritmos de cifrado de la fase 2

Los algoritmos de cifrado permitidos para el túnel VPN para las negociaciones IKE de fase 2. Puede especificar uno o varios valores predeterminados.

Predeterminados: AES128, AES256, AES128-GCM-16 AES256-GCM-16

Algoritmos de integridad de la fase 1

Los algoritmos de integridad permitidos para el túnel VPN para las negociaciones IKE de fase 1. Puede especificar uno o varios valores predeterminados.

Valores predeterminados: SHA1,, SHA2-256 SHA2-384 SHA2-512

Algoritmos de integridad de la fase 2

Los algoritmos de integridad permitidos para el túnel VPN para las negociaciones IKE de fase 2. Puede especificar uno o varios valores predeterminados.

Valores predeterminados: SHA1,, SHA2-256 SHA2-384 SHA2-512

Vida útil de la fase 1
nota

AWS inicie el cambio de claves con los valores de temporización establecidos en los campos Duración de la fase 1 y Duración de la fase 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.

La duración en segundos de la fase 1 de las negociaciones IKE. Puede especificar un número comprendido entre 900 y 28 800.

Predeterminado: 28 800 (8 horas)

Vida útil de la fase 2
nota

AWS inicie los cambios de clave con los valores de temporización establecidos en los campos Duración de la fase 1 y Duración de la fase 2. Si tales campos de vida útil son diferentes a los valores de protocolo de enlace negociados, esto puede interrumpir la conectividad del túnel.

La duración en segundos de la fase 2 de las negociaciones IKE. Puede especificar un número comprendido entre 900 y 3600. El número que especifique debe ser inferior al número de segundos para la duración de la fase 1.

Predeterminado: 3600 (1 hora)

Pre-shared clave (PSK)

La clave previamente compartida (PSK) para establecer la asociación de seguridad de intercambio de claves de Internet (IKE) inicial entre la puerta de enlace de destino y la puerta de enlace de cliente.

La PSK debe tener un mínimo de 8 caracteres y un máximo de 64 y no puede comenzar por cero (0). Se permiten caracteres alfanuméricos, puntos (.) y guiones bajos (_).

Predeterminado: una cadena alfanumérica de 32 caracteres.

Difusión de cambio de clave

El porcentaje de la ventana de cambio de clave (determinado por el tiempo del margen de cambio de clave) dentro del cual se selecciona aleatoriamente el tiempo de cambio de clave.

Puede especificar un valor porcentual entre 0 y 100.

Predeterminado: 100

Tiempo de margen de cambio de clave

El margen de tiempo, expresado en segundos, antes de que venza la vida útil de las fases 1 y 2, durante el cual el AWS lado de la conexión VPN realiza un cambio de clave de IKE.

Puede especificar un número comprendido entre 60 y la mitad del valor de la duración de la fase 2.

El tiempo exacto de cambio de clave se selecciona aleatoriamente en función del valor de la difusión del cambio de clave.

Predeterminado: 270 (4,5 minutos)

Tamaño de paquetes del período de reproducción

El número de paquetes de un período de reproducción de IKE.

Puede especificar un valor comprendido entre 64 y 2048.

Predeterminado: 1024

Acción de inicio

La acción que se debe realizar al establecer el túnel para una conexión de VPN. Puede especificar lo siguiente:

  • Start: AWS inicia la negociación del IKE para abrir el túnel. Solo se admite si la gateway del cliente está configurada con una dirección IP.

  • Add: su dispositivo de gateway de cliente debe iniciar la negociación de IKE para mostrar el túnel.

Para obtener más información, consulte AWS Site-to-Site VPN opciones de inicio de túnel.

Valor predeterminado: Add

Control del ciclo de vida del punto de conexión del túnel

El control del ciclo de vida del punto de conexión del túnel permite controlar el programa de sustituciones de los puntos de conexión.

Para obtener más información, consulte AWS Site-to-Site VPN control del ciclo de vida de los puntos finales.

Valor predeterminado: Off

Puede especificar las opciones de túnel al crear una conexión Site-to-Site VPN o puede modificar las opciones de túnel para una conexión VPN existente. Para obtener más información, consulte los temas siguientes: