View a markdown version of this page

Configuration du routage dynamique pour un dispositif de passerelle AWS Virtual Private Network client - AWS Site-to-Site VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du routage dynamique pour un dispositif de passerelle AWS Virtual Private Network client

Voici quelques exemples de procédures pour configurer un périphérique de passerelle client à l'aide de son interface utilisateur (si disponible).

Check Point

Voici les étapes à suivre pour configurer un appareil Check Point Security Gateway exécutant le R77.10 ou une version ultérieure, à l'aide du portail Web Gaia et de Check Point. SmartDashboard Pour de plus amples informations, veuillez consulter Amazon Web Services (AWS) VPN BGP sur le Centre de support Check Point.

Pour configurer l'interface du tunnel

La première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de la passerelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel, utilisez les informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Pour créer le second tunnel, utilisez les valeurs fournies dans la section IPSec Tunnel #2 du fichier de configuration.

  1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui par défaut, choisissez clish en exécutant la commande suivante : clish

  2. Définissez l'ASN de la passerelle client (l'ASN fourni lors de la création de la passerelle client AWS) en exécutant la commande suivante.

    set as 65000

  3. Créez l'interface de tunnel pour le premier tunnel, en utilisant les informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel que AWS_VPC_Tunnel_1.

    add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
set interface vpnt1 state on 
set interface vpnt1 mtu 1436

  4. Répétez ces commandes pour créer le second tunnel, à l'aide des informations fournies dans la section IPSec Tunnel #2 du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel que AWS_VPC_Tunnel_2.

    add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
set interface vpnt2 state on 
set interface vpnt2 mtu 1436

  5. Définissez l'ASN de la passerelle réseau privé virtuel.

    set bgp external remote-as 7224 on

  6. Configurez le protocole BGP pour le premier tunnel, à l'aide des informations fournies dans la section IPSec Tunnel #1 du fichier de configuration :

    set bgp external remote-as 7224 peer 169.254.44.233 on 
set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

  7. Configurez le protocole BGP pour le second tunnel, à l'aide des informations fournies dans la section IPSec Tunnel #2 du fichier de configuration :

    set bgp external remote-as 7224 peer 169.254.44.37 on 
set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

  8. Enregistrez la configuration.

    save config
Pour créer une stratégie BGP

Ensuite, créez une stratégie BGP qui autorise l'importation des acheminements publiés par AWS. Ensuite, configurez votre passerelle client pour publier ses acheminements locaux vers AWS.

  1. Dans l'interface utilisateur Web de Gaia, sélectionnez Advanced Routing, Inbound Route Filters. Choisissez Add, puis sélectionnez Add BGP Policy (Based on AS).

  2. Pour Add BGP Policy (Ajouter une stratégie BGP), sélectionnez une valeur comprise entre 512 et 1 024 dans le premier champ, puis saisissez l'ASN de la passerelle réseau privé virtuel dans le second champ (par exemple, 7224).

  3. Choisissez Enregistrer.

Pour publier les itinéraires locaux

Les étapes suivantes concernent la répartition des itinéraires locaux d'interface. Vous pouvez également redistribuer les routes à partir de différentes sources (par exemple, les routes statiques ou celles obtenues via les protocoles de routage dynamique). Pour de plus amples informations, veuillez consulter le manuel Gaia Advanced Routing R77 Versions Administration Guide.

  1. Dans l'interface utilisateur Web de Gaia, sélectionnez Advanced Routing, Routing Redistribution. Choisissez Add Redistribution From (Ajouter une redistribution à partir de) et sélectionnez Interface.

  2. Pour To Protocol (Vers le protocole), sélectionnez l'ASN de la passerelle réseau privé virtuel (par exemple, 7224).

  3. Pour Interface, sélectionnez une interface interne. Choisissez Enregistrer.

Pour définir un nouvel objet réseau

Ensuite, créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IP publiques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau en tant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe vide comme espace réservé du domaine VPN.

  1. Ouvrez le point de contrôle SmartDashboard.

  2. Pour Groups, ouvrez le menu contextuel et choisissez Groups, Simple Group. Vous pouvez utiliser le même groupe pour chaque objet réseau.

  3. Pour Network Objects, ouvrez le menu contextuel (clic droit) et choisissez New, Interoperable Device.

  4. Pour Name (Nom), entrez le nom attribué à votre tunnel à l'étape 1 : AWS_VPC_Tunnel_1 ou AWS_VPC_Tunnel_2, par exemple.

  5. Pour IPv4 Adresse, entrez l'adresse IP externe de la passerelle privée virtuelle fournie dans le fichier de configuration, par exemple,54.84.169.196. Enregistrez vos paramètres et fermez la boîte de dialogue.

    Boîte de dialogue Check Point Interoperable Device

  6. Dans le volet de gauche des catégories, sélectionnez Topology.

  7. Dans la section VPN Domain (Domaine VPN), choisissez Manually defined (Défini manuellement), puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.

  8. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section IPSec Tunnel #2 du fichier de configuration.

  9. Accédez à votre objet réseau passerelle, ouvrez votre objet passerelle ou cluster, puis sélectionnez Topology.

  10. Dans la section VPN Domain (Domaine VPN), choisissez Manually defined (Défini manuellement), puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.

    Note

    Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré. Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN est automatiquement dérivé.

Note

Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces de cluster. Utilisez les adresses IP spécifiées dans le fichier de configuration.

Pour créer et configurer la communauté VPN, l'IKE et IPsec les paramètres

Ensuite, créez une communauté VPN sur votre passerelle Check Point et ajoutez-y les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également l'échange de clés Internet (IKE) et IPsec les paramètres.

  1. Dans les propriétés de votre passerelle, choisissez IPSecVPN dans le volet des catégories.

  2. Choisissez Communities, New, Star Community.

  3. Entrez un nom pour votre communauté (par exemple, AWS_VPN_Star), puis choisissez Center Gateways dans le volet des catégories.

  4. Choisissez Add, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.

  5. Dans le volet des catégories, sélectionnez Satellite Gateways (Passerelles satellites), Add (Ajouter), puis ajoutez les périphériques interopérables que vous avez créés précédemment (AWS_VPC_Tunnel_1 et AWS_VPC_Tunnel_2) à la liste des passerelles participantes.

  6. Dans le volet des catégories, sélectionnez Encryption. Dans la section Méthode de chiffrement, choisissez IKEv1 pour IPv4 et IKEv2 pour IPv6. Dans la section Encryption Suite, choisissez Custom, Custom Encryption.

    Note

    Vous devez sélectionner les options IKEv1 pour IPv4 et IKEv2 pour IPv6 pour les IKEv1 fonctionnalités.

  7. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez OK lorsque vous avez terminé :

    • Propriétés IKE Security Association (Phase 1) :

      • Perform key exchange encryption with : AES-128

      • Perform data integrity with : SHA-1

    • IPsec Propriétés de l'association de sécurité (phase 2) :

      • Effectuez le chiffrement IPsec des données avec : AES-128

      • Perform data integrity with : SHA-1

  8. Dans le volet des catégories, sélectionnez Tunnel Management. Choisissez Set Permanent Tunnels, On all tunnels in the community. Dans la section VPN Tunnel Sharing, choisissez One VPN tunnel per Gateway pair.

  9. Dans le volet des catégories, développez Advanced Settings, puis choisissez Shared Secret.

  10. Sélectionnez le nom d'homologue du premier tunnel, choisissez Edit (Modifier) et entrez la clé prépartagée comme indiqué dans la section IPSec Tunnel #1 du fichier de configuration.

  11. Sélectionnez le nom d'homologue du second tunnel, choisissez Edit (Modifier) et entrez la clé prépartagée comme indiqué dans la section IPSec Tunnel #2 du fichier de configuration.

    Boîte de dialogue Check Point Interoperable Shared Secret

  12. Toujours dans la catégorie Advanced Settings (Paramètres avancés), choisissez Advanced VPN Properties (Propriétés de VPN avancées), configurez les propriétés comme suit et sélectionnez OK lorsque vous avez terminé :

    • IKE (Phase 1) :

      • Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman) : Group 2 (1024 bit)

      • Renegotiate IKE security associations every 480 minutes

    • IPsec (Phase 2) :

      • Choisissez Use Perfect Forward Secrecy

      • Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman) : Group 2 (1024 bit)

      • Renégociez les associations de IPsec sécurité toutes les secondes 3600

Pour créer les règles de pare-feu

Ensuite, configurez une stratégie avec les règles de pare-feu et les règles de correspondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vous installez la stratégie sur votre passerelle.

  1. Dans le SmartDashboard, choisissez Propriétés globales pour votre passerelle. Dans le volet des catégories, développez VPN, puis choisissez Advanced.

  2. Choisissez Enable VPN Directional Match in VPN Column, puis OK.

  3. Dans le SmartDashboard, choisissez Firewall, puis créez une politique avec les règles suivantes :

    • Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis.

    • Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

  4. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez Edit Cell.

  5. Dans la boîte de dialogue VPN Match Conditions, choisissez Match traffic in this direction only. Créez les règles de correspondance directionnelle suivantes en choisissant Add (Ajouter) pour chaque règle, puis OK lorsque vous avez terminé :

    • internal_clear > Communauté VPN (la communauté VPN que vous avez créée plus tôt : par exemple, AWS_VPN_Star)

    • Communauté VPN > Communauté VPN

    • Communauté VPN > internal_clear

  6. Dans le SmartDashboard, choisissez Policy, Install.

  7. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez OK pour installer la stratégie.

Pour modifier la propriété tunnel_keepalive_method

Votre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) pour savoir à quel moment une association IKE est arrêtée. Pour configurer DDP pour un tunnel permanent, le tunnel permanent doit être configuré dans la communauté AWS VPN.

Par défaut, la propriété tunnel_keepalive_method pour une passerelle VPN est définie sur tunnel_test. Vous devez modifier la valeur sur dpd. Chaque passerelle VPN de la communauté VPN qui nécessite une surveillance DPD doit être configurée avec la propriété tunnel_keepalive_method, notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes de surveillance pour la même passerelle.

Vous pouvez mettre à jour la tunnel_keepalive_method propriété à l'aide de l'DBedit outil Gui.

  1. Ouvrez le point SmartDashboard de contrôle et choisissez Security Management Server, Domain Management Server.

  2. Choisissez File, Database Revision Control... et créez un instantané de révision.

  3. Fermez toutes les SmartConsole fenêtres, telles que le SmartDashboard SmartView Tracker et le SmartView Monitor.

  4. Démarrez l'BDedit outil Gui. Pour plus d'informations, consultez l'article Check Point Database Tool sur le Centre de support Check Point.

  5. Choisissez Security Management Server, Domain Management Server.

  6. Dans le volet supérieur gauche, choisissez Table, Network Objects, network_objects.

  7. Dans le volet supérieur droit, sélectionnez l'objet Security Gateway, Cluster approprié.

  8. Appuyez sur CTRL+F, ou utilisez le menu Search pour rechercher ce qui suit : tunnel_keepalive_method.

  9. Dans le volet inférieur, ouvrez le menu contextuel pour tunnel_keepalive_method et sélectionnez Edit.... Choisissez dpd, puis OK.

  10. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.

  11. Sélectionnez File, Save As.

  12. Fermez l'DBedit outil Gui.

  13. Ouvrez le point SmartDashboard de contrôle et choisissez Security Management Server, Domain Management Server.

  14. Installez la stratégie sur l'objet Security Gateway, Cluster approprié.

Pour plus d'informations, consultez l'article Nouvelles fonction VPN dans R77.10 sur le Centre de support Check Point.

Pour activer la restriction TCP MSS

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentation des paquets.

  1. Accédez au répertoire suivant : C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

  2. Ouvrez Check Point Database Tool en exécutant le fichier GuiDBEdit.exe.

  3. Choisissez Table, Global Properties, properties.

  4. Pour fw_clamp_tcp_mss, choisissez Edit. Remplacez la valeur par true, puis choisissez OK.

Pour vérifier l'état du tunnel

Vous pouvez vérifier l'état du tunnel en exécutant la commande suivante à partir de l'outil de ligne de commande en mode expert. 

vpn tunnelutil

Dans les options qui s'affichent, choisissez 1 pour vérifier les associations IKE et 2 pour vérifier les IPsec associations.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de la connexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyé via le tunnel 1 et qu'il a été chiffré.

Fichier journal Check Point
SonicWALL

Vous pouvez configurer un appareil SonicWALL à l'aide de l'interface de gestion SonicOS. Pour plus d’informations sur la configuration des tunnels, consultez Configuration du routage statique pour un dispositif de passerelle AWS Site-to-Site VPN client.

Vous ne pouvez pas configurer BGP pour le dispositif à l'aide de l'interface de gestion. À la place, utilisez les instructions de ligne de commande fournies dans l'exemple de fichier de configuration, sous la section nommée BGP.