Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Configura il routing dinamico per un dispositivo gateway del cliente AWS Virtual Private Network Di seguito sono riportate alcune procedure di esempio per configurare un dispositivo gateway del cliente utilizzando l'interfaccia utente (se disponibile). ------ #### [ Check Point ] Di seguito sono riportati i passaggi per configurare un dispositivo Check Point Security Gateway con R77.10 o versione successiva, utilizzando il portale web Gaia e Check Point. SmartDashboard È anche possibile fare riferimento all'articolo [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) in Check Point Support Center. **Per configurare l'interfaccia del tunnel** La prima fase consiste nel creare i tunnel VPN e fornire gli indirizzi IP (interni) privati del gateway del cliente E del gateway virtuale privato per ogni tunnel. Per creare il primo tunnel, utilizza le informazioni fornite nella sezione `IPSec Tunnel #1` del file di configurazione. Per creare il secondo tunnel, utilizza i valori forniti nella sezione `IPSec Tunnel #2` del file di configurazione. 1. Connettersi al gateway di sicurezza su SSH. Se si utilizza la shell non predefinita, modificare in clish eseguendo il seguente comando: `clish` 1. Imposta l'ASN del gateway del cliente (l'ASN fornito al momento della creazione del gateway del cliente AWS) eseguendo il comando seguente. ``` set as {{65000}} ``` 1. Creare l'interfaccia del tunnel per il primo tunnel utilizzando le informazioni fornite nella sezione `IPSec Tunnel #1` del file di configurazione. Fornire un nome univoco per il tunnel, ad esempio `AWS_VPC_Tunnel_1`. ``` add vpn tunnel 1 type numbered local {{169.254.44.234}} remote {{169.254.44.233}} peer {{AWS_VPC_Tunnel_1}} set interface vpnt1 state on set interface vpnt1 mtu {{1436}} ``` 1. Ripetere questi comandi per creare il secondo tunnel utilizzando le informazioni fornite nella sezione `IPSec Tunnel #2` del file di configurazione. Fornire un nome univoco per il tunnel, ad esempio `AWS_VPC_Tunnel_2`. ``` add vpn tunnel 1 type numbered local {{169.254.44.38}} remote {{169.254.44.37}} peer {{AWS_VPC_Tunnel_2}} set interface vpnt2 state on set interface vpnt2 mtu {{1436}} ``` 1. Impostare l'ASN del gateway virtuale privato. ``` set bgp external remote-as {{7224}} on ``` 1. Configurare il BGP per il primo tunnel, utilizzando le informazioni fornite nella sezione `IPSec Tunnel #1` del file di configurazione. ``` set bgp external remote-as {{7224}} peer {{169.254.44.233}} on set bgp external remote-as {{7224}} peer {{169.254.44.233}} holdtime 30 set bgp external remote-as {{7224}} peer {{169.254.44.233}} keepalive 10 ``` 1. Configurare il BGP per il secondo tunnel, utilizzando le informazioni fornite nella sezione `IPSec Tunnel #2` del file di configurazione. ``` set bgp external remote-as {{7224}} peer {{169.254.44.37}} on set bgp external remote-as {{7224}} peer {{169.254.44.37}} holdtime 30 set bgp external remote-as {{7224}} peer {{169.254.44.37}} keepalive 10 ``` 1. Salvare la configurazione. ``` save config ``` **Per creare una policy BGP** Crea una policy BGP che consente di importare route pubblicizzate da AWS. Quindi, configureremo il gateway del cliente per pubblicizzare le route locali ad AWS. 1. Nella interfaccia utente Web Gaia, scegli **Advanced Routing (Routing avanzato)**, **Inbound Route Filters (Filtri route in entrata)**. Scegli **Add (Aggiungi)** e seleziona **Add BGP Policy (Based on AS) (Aggiungi policy BGP (basata su AS))**. 1. Per **Add BGP Policy (Aggiungi policy BGP)**, seleziona un valore compreso tra 512 e 1024 nel primo campo e immetti l'ASN del gateway virtuale privato nel secondo campo, ad esempio `7224`. 1. Scegli **Save** (Salva). **Per pubblicizzare route locali** Le fasi seguenti sono relative alla distribuzione delle route dell'interfaccia locale. Puoi anche ridistribuire route da origini diverse; ad esempio, route statiche o route ottenute tramite protocolli di routing dinamici. Per ulteriori informazioni, consulta la [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm). 1. Nella interfaccia utente Web Gaia, scegliere **Advanced Routing (Routing avanzato)**,** Routing Redistribution (Ridistribuzione routing)**. Scegliere **Add Redistribution From (Aggiungi ridistribuzione da)** e selezionare **Interface (Interfaccia)**. 1. In **To Protocol (A protocollo)**, selezionare l'ASN del gateway virtuale privato, ad esempio `7224`. 1. In **Interface (Interfaccia)**, selezionare un'interfaccia interna. Scegli **Save** (Salva). **Per definire un nuovo oggetto di rete** Crea un oggetto di rete per ogni tunnel VPN, specificando gli indirizzi IP (esterni) pubblici per il gateway virtuale privato. In seguito questi oggetti vengono aggiunti come gateway satellite per la comunità VPN. Occorre anche creare un gruppo vuoto che agisce come segnaposto per il dominio VPN. 1. Apri il Check Point. SmartDashboard 1. In **Groups (Gruppi)**, aprire il menu contestuale e scegliere **Groups (Gruppi)**, **Simple Group (Gruppo semplice)**. Lo stesso gruppo può essere utilizzato per ogni oggetto di rete. 1. In **Network Objects (Oggetti di rete)**, aprire il menu contestuale (tasto destro del mouse) e scegliere **New (Nuovo)**, **Interoperable Device (Dispositivo interoperabile)**. 1. In **Name (Nome)**, immettere il nome fornito per il tunnel nella fase 1, ad esempio `AWS_VPC_Tunnel_1` o `AWS_VPC_Tunnel_2`. 1. Per **IPv4 Indirizzo**, inserisci l'indirizzo IP esterno del gateway privato virtuale fornito nel file di configurazione, ad esempio`54.84.169.196`. Salvare le impostazioni e chiudere la finestra di dialogo. ![Finestra di dialogo Interoperable Device (Dispositivo interoperabile) di Check Point](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/check-point-network-device.png) 1. Nel riquadro delle categorie a sinistra, scegliere **Topology (Topologia)**. 1. Nella sezione **VPN Domain (Dominio VPN)**, scegliere **Manually defined (Definito manualmente)**, quindi individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Scegli **OK**. 1. Ripetere queste fasi per creare un secondo oggetto di rete, utilizzando le informazioni fornite nella sezione `IPSec Tunnel #2` del file di configurazione. 1. Passare all'oggetto di rete gateway, aprire il gateway o l'oggetto cluster e scegliere **Topology (Topologia)**. 1. Nella sezione **VPN Domain (Dominio VPN)**, scegliere **Manually defined (Definito manualmente)**, quindi individuare e selezionare il gruppo semplice vuoto creato nella fase 2. Scegli **OK**. **Nota** È possibile mantenere qualsiasi dominio VPN esistente che è stato configurato. Tuttavia, assicurarsi che host e reti utilizzate o servite dalla nuova connessione VPN non siano dichiarate in tale dominio VPN, in particolare se il dominio VPN viene derivato automaticamente. **Nota** Se stai utilizzando cluster, modifica la topologia e definisci le interfacce come interfacce del cluster. Utilizza gli indirizzi IP specificati nel file di configurazione. **Per creare e configurare la community VPN, IKE e IPsec le impostazioni** Crea quindi una comunità VPN nel gateway Check Point a cui aggiungere oggetti di rete (dispositivi interoperabili) per ogni tunnel. È inoltre possibile configurare Internet Key Exchange (IKE) e IPsec le impostazioni. 1. Dalle proprietà del gateway, scegli **IPSecVPN** nel riquadro delle categorie. 1. Selezionare **Communities (Comunità)**, **New (Nuova)**, **Star Community (Comunità stella)**. 1. Fornire un nome per la comunità (ad esempio, `AWS_VPN_Star`), quindi selezionare **Center Gateways (Gateway centrali)** nel riquadro delle categorie. 1. Selezionare **Add (Aggiungi)** e aggiungere il gateway o il cluster all'elenco dei gateway partecipanti. 1. Nel riquadro delle categorie, selezionare **Satellite Gateways (Gateway satellite)**, **Add (Aggiungi)** e aggiungere i dispositivi interoperabili creati in precedenza (`AWS_VPC_Tunnel_1` e `AWS_VPC_Tunnel_2`) all'elenco di gateway partecipanti. 1. Nel riquadro delle categorie, selezionare **Encryption (Crittografia)**. Nella sezione **Metodo di crittografia**, scegli **IKEv1 per IPv4 e IKEv2 per IPv6**. Nella sezione **Encryption Suite (Suite di crittografia)**, scegliere **Custom (Personalizzato)**, **Custom Encryption (Crittografia personalizzata)**. **Nota** È necessario selezionare l' IPv6opzione **IKEv1 for IPv4 e IKEv2 for per** per la IKEv1 funzionalità. 1. Nella finestra di dialogo, configurare le proprietà di crittografia come riportato di seguito e, al termine, scegliere **OK**: + Proprietà IKE Security Association (fase 1): + **Perform key exchange Encryption with (Esegui crittografia scambio delle chiavi con)**: AES-128 + **Perform data integrity with (Esegui integrità dei dati con)**: SHA-1 + IPsec Proprietà dell'associazione di sicurezza (fase 2): + **Esegui la crittografia IPsec dei dati con**: AES-128 + **Perform data integrity with (Esegui integrità dei dati con)**: SHA-1 1. Nel riquadro delle categorie, selezionare **Tunnel Management (Gestione tunnel)**. Selezionare **Set Permanent Tunnels (Imposta tunnel permanenti)**, **On all tunnels in the community (Su tutti i tunnel nelle comunità)**. Nella sezione **VPN Tunnel Sharing (Condivisione tunnel VPN)**, scegliere **One VPN tunnel per Gateway pair (Un tunnel VPN per coppia gateway)**. 1. Nel riquadro delle categorie, espandere **Advanced Settings (Impostazioni avanzate)** e scegliere **Shared Secret (Segreto condiviso)**. 1. Selezionare il nome peer per il primo tunnel, scegliere **Edit (Modifica)** e immettere la chiave precondivisa come specificato nel file di configurazione nella sezione `IPSec Tunnel #1`. 1. Selezionare il nome peer per il secondo tunnel, scegliere **Edit (Modifica)** e immettere la chiave precondivisa come specificato nel file di configurazione nella sezione `IPSec Tunnel #2`. ![Finestra di dialogo Interoperable Shared Secret (Segreto condiviso interoperabile) di Check Point](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/check-point-shared-secret.png) 1. Nella categoria **Advanced Settings (Impostazioni avanzate)**, scegliere **Advanced VPN Properties (Proprietà VPN avanzate)**, configurare le proprietà come segue e, al termine, scegliere **OK**: + IKE (fase 1): + **Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman)**: `Group 2 (1024 bit)` + **Renegotiate IKE security associations every (Rinegozia associazioni sicurezza IKE ogni)** `480` **minutes (minuti)** + IPsec (Fase 2): + Selezionare **Use Perfect Forward Secrecy (Utilizza Perfect Forward Secrecy)** + **Use Diffie-Hellman group (Utilizza gruppo Diffie-Hellman)**: `Group 2 (1024 bit)` + ****Rinegoziare le associazioni di IPsec sicurezza ogni secondo `3600`**** **Per creare regole del firewall** Viene quindi configurata una policy con regole del firewall e regole di corrispondenza direzionali che consentono la comunicazione tra il VPC e la rete locale. Viene quindi installata la policy nel gateway. 1. In SmartDashboard, scegli **Global Properties** per il tuo gateway. Nel riquadro delle categorie, espandere **VPN** e scegliere **Advanced (Avanzate)**. 1. Selezionare **Enable VPN Directional Match in VPN Column (Abilita corrispondenza VPN direzionale nella colonna VPN)** e scegliere **OK**. 1. Nella SmartDashboard, scegli **Firewall** e crea una politica con le seguenti regole: + Consente la comunicazione tra la sottorete VPC e la rete locale sui protocolli richiesti. + Consente la comunicazione tra la rete locale e la sottorete VPC sui protocolli richiesti. 1. Aprire il menu contestuale per la cella nella colonna VPN e scegliere **Edit Cell (Modifica cella)**. 1. Nella finestra di dialogo **VPN Match Conditions (Condizioni corrispondenza VPN)**, scegliere **Match traffic in this direction only (Corrispondenza traffico solo in questa direzione)**. Creare le seguenti regole di corrispondenza direzionale scegliendo **Add (Aggiungi)** per ognuna e, al termine, selezionare **OK**: + `internal_clear` > comunità VPN (la comunità stella VPN creata in precedenza, ad esempio `AWS_VPN_Star`) + Comunità VPN > Comunità VPN + Community VPN > `internal_clear` 1. Nel SmartDashboard, scegli **Policy**, **Installa**. 1. Nella finestra di dialogo, scegliere il gateway e quindi **OK** per installare la policy. **Per modificare la proprietà tunnel\_keepalive\_method** Il gateway Check Point può utilizzare Dead Peer Detection (DPD) per identificare quando un'associazione IKE è inattiva. Per configurare DPD per un tunnel permanente, il tunnel permanente deve essere configurato nella community AWS VPN. Per impostazione predefinita, la proprietà `tunnel_keepalive_method` per un gateway VPN è impostata su `tunnel_test`. Occorre modificare il valore in `dpd`. Ogni gateway VPN nella community VPN che richiede il monitoraggio DPD deve essere configurato con la proprietà `tunnel_keepalive_method`, inclusi eventuali gateway VPN di terze parti. Non è possibile configurare meccanismi di monitoraggio diversi per lo stesso gateway. È possibile aggiornare la `tunnel_keepalive_method` proprietà utilizzando lo strumento GuiDBedit . 1. Apri Check Point SmartDashboard e scegli **Security Management Server**, **Domain Management Server**. 1. Selezionare **File**, **Database Revision Control... (Controllo revisione database...)** e creare una snapshot di revisione. 1. Chiudi tutte le SmartConsole finestre, come SmartView Tracker e SmartView Monitor. SmartDashboard 1. Avvia lo strumento GuiBDedit . Per ulteriori informazioni, consulta l'articolo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) in Check Point Support Center. 1. Selezionare **Security Management Server (Server di gestione della sicurezza)**, **Domain Management Server (Server di gestione domini)**. 1. Nel riquadro in alto a sinistra, scegliere **Table (Tabella)**, **Network Objects (Oggetti di rete)**, **network\_objects**. 1. Nel riquadro in alto a destra, selezionare l'oggetto **Security Gateway (Gateway di sicurezza)**, **Cluster** pertinente. 1. Premere CTRL\+F o utilizzare il menu **Search (Cerca)** per cercare quanto segue: `tunnel_keepalive_method`. 1. Nel riquadro inferiore, aprire il menu contestuale per `tunnel_keepalive_method` e selezionare **Edit... (Modifica...)**. Scegliere **dpd**, **OK**. 1. Ripetere le fasi da 7 a 9 per ogni gateway che fa parte della community AWS VPN. 1. Selezionare **File**, **Save All (Salva tutto)**. 1. Chiudi lo strumento GuiDBedit . 1. Apri Check Point SmartDashboard e scegli **Security Management Server**, **Domain Management Server**. 1. Installare la policy nell'oggetto **Security Gateway (Gateway di sicurezza)**, **Cluster** pertinente. Per ulteriori informazioni, consulta l'articolo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) in Check Point Support Center. **Per abilitare TCP MSS Clamping** TCP MSS Clamping riduce la dimensione segmento massima dei pacchetti TCP per impedire la frammentazione pacchetti. 1. Accedere alla seguente directory: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`. 1. AprireCheck Point Database Tool eseguendo il file `GuiDBEdit.exe`. 1. Selezionare **Table (Tabella)**, **Global Properties (Proprietà globali)**, **properties (proprietà)**. 1. In `fw_clamp_tcp_mss`, scegliere **Edit (Modifica)**. Modificare il valore in `true`, quindi scegliere **OK**. **Per verificare lo stato del tunnel** Puoi verificare lo stato del tunnel eseguendo il seguente comando dallo strumento a riga di comando in modalità esperto. ``` vpn tunnelutil ``` Nelle opzioni visualizzate, scegli **1** per verificare le associazioni IKE e **2** per verificare le IPsec associazioni. Puoi anche utilizzare Check Point Smart Tracker Log per verificare che i pacchetti sulla connessione siano crittografati. Ad esempio, il seguente log indica che un pacchetto al VPC è stato inviato su tunnel 1 ed è stato crittografato. ![File di log di Check Point](http://docs.aws.amazon.com/it_it/vpn/latest/s2svpn/images/check-point-log.png) ------ #### [ SonicWALL ] Puoi configurare un dispositivo SonicWALL tramite l'interfaccia di gestione SonicOS. Per ulteriori informazioni sulla configurazione dei tunnel, consulta [Configura il routing statico per un dispositivo gateway del cliente AWS Site-to-Site VPN](cgw-static-routing-example-interface.md). Non puoi configurare BGP per il dispositivo utilizzando l'interfaccia di gestione. Utilizza invece le istruzioni della riga di comando fornite nel file di configurazione di esempio precedente, nella sezione denominata **BGP**. ------