Requisitos do um dispositivo de gateway do cliente do AWS Site-to-Site VPN

A AWS aceita vários dispositivos de gateway de cliente do Site-to-Site VPN, para os quais fornecemos arquivos de configuração que podem ser baixados. Para ver uma lista dos dispositivos compatíveis e as etapas para baixar os arquivos de configuração, consulte Arquivos de configuração de roteamento estático e dinâmico.

Caso seu dispositivo não esteja na lista de dispositivos compatíveis, a seção a seguir descreve os requisitos aos quais o dispositivo deve atender para estabelecer uma conexão do Site-to-Site VPN.

Há quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Os símbolos a seguir representam cada parte da configuração.

	Associação de segurança do Internet Key Exchange (IKE). Isso é necessário para trocar as chaves usadas para estabelecer a associação de segurança IPsec.
	Associação de segurança IPsec. Isso lida com a criptografia do túnel, com a autenticação e assim por diante.
	Interface do túnel. Isso recebe tráfego de e para o túnel.
	(Opcional) Emparelhamento de Protocolo de Gateway da Borda (BGP) Para dispositivos que usam BGP, isso troca as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual.

A tabela a seguir lista os requisitos para o dispositivo de gateway do cliente, o RFC relacionado (para referência) e comentários sobre os requisitos.

Cada conexão VPN consiste em dois túneis separados. Cada túnel contém uma associação de segurança IKE, uma associação de segurança IPsec e um emparelhamento de BGP. Você está limitado a um par exclusivo de associação de segurança (SA) por túnel (um de entrada e um de saída) e, portanto, a dois pares de SA exclusivos no total para dois túneis (quatro SAs). Alguns dispositivos usam uma VPN baseada em política e criam a mesma quantidade de SAs que as entradas da ACL. Assim, talvez seja necessário consolidar as regras e, depois, filtrar para não permitir o tráfego indesejado.

Por padrão, o túnel da VPN é ativado quando o tráfego é gerado e a negociação do protocolo IKE é iniciada do seu lado da conexão VPN. Em vez disso, você pode configurar a conexão VPN para iniciar a negociação do protocolo IKE do lado da AWS da conexão. Para obter mais informações, consulte AWS Site-to-Site VPNOpções de iniciação de túnel do .

Os endpoints de VPN são compatíveis com o rechaveamento e poderão iniciar renegociações quando a fase 1 estiver prestes a expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego de renegociação.

Requisito	RFC	Comentários
Estabelecer associação de segurança IKE	RFC 2409 RFC 7296	A associação de segurança IKE é estabelecida primeiro entre o gateway privado virtual e o dispositivo de gateway do cliente usando a chave pré-compartilhada ou um certificado privado que usa o Autoridade de Certificação Privada da AWS como autenticador. Quando estabelecido, o IKE negocia uma chave efêmera para proteger futuras mensagens de IKE. Deve haver um acordo completo entre os parâmetros, incluindo parâmetros de criptografia e de autenticação. Ao criar uma nova conexão VPN na AWS, você poderá especificar sua própria chave pré-compartilhada para cada túnel ou permitir que a AWS gere uma chave pré-compartilhada para você. Como alternativa, é possível especificar o certificado privado usando o Autoridade de Certificação Privada da AWS para usar seu dispositivo de gateway do cliente. Para obter mais informações, sobre como configurar túneis da VPN, consulte Opções de túnel para sua conexão com AWS Site-to-Site VPN. Há compatibilidade com as seguintes versões: IKEv1 e IKEv2. Na versão IKEv1, há compatibilidade apenas com o modo Principal O serviço Site-to-Site VPN é uma solução com base em rota. Se você estiver usando uma configuração com base em políticas, limite a configuração a uma única associação de segurança (SA).
Estabelecer associações de segurança IPsec no modo de túnel	RFC 4301	Usando a chave efêmera de IKE, as chaves são estabelecidas entre o gateway privado virtual e o dispositivo de gateway do cliente para formar uma associação de segurança (SA) IPsec. O tráfego entre os gateways é criptografado e descriptografado. usando essa SA. Usadas para criptografar o tráfego dentro da SA IPsec, as chaves efêmeras são alteradas automática e regularmente pela IKE para garantir a confidencialidade das comunicações.
Usar a função de criptografia AES de 128 bits ou AES de 256 bits	RFC 3602	A função de criptografia é usada para garantir a privacidade das associações de segurança IKE e IPsec.
Usar a função de hashing SHA-1 ou SHA-2 (256)	RFC 2404	Essa função de hashing é usada para autenticar as associações de segurança IKE e IPsec.
Use o Diffie-Hellman Perfect Forward Secrecy.	RFC 2409	O IKE usa Diffie-Hellman para estabelecer chaves efêmeras para proteger toda a comunicação entre os dispositivos de gateway do cliente e os gateways privados virtuais. Os seguintes grupos são compatíveis: Grupos da fase 1: 2, 14-24 Grupos da fase 2: 2, 5, 14-24
(Conexões VPN roteadas dinamicamente) Usar Dead Peer Detection do IPsec	RFC 3706	O Dead Peer Detection permite que os dispositivos de VPN identifiquem rapidamente quando uma condição de rede impede a entrega de pacotes pela Internet. Quando isso ocorre, os gateways excluem as associações de segurança e tentam criar outras associações. Durante esse processo, quando possível, o túnel IPsec alternativo é utilizado.
(Conexões VPN roteadas dinamicamente) Vincular o túnel à interface lógica (VPN baseada em rota)	Nenhum	O dispositivo deve ser capaz de vincular o túnel IPsec a uma interface lógica. A interface lógica contém um endereço IP que é usado para estabelecer o emparelhamento de BGP com o gateway privado virtual. Essa interface lógica não deve executar encapsulamento adicional (por exemplo, GRE ou IP em IP). A interface deve ser configurada para uma Maximum Transmission Unit (MTU) de 1.399 bytes.
(Conexões VPN roteadas dinamicamente) Estabelecer emparelhamentos de BGP	RFC 4271	O BGP é usado para trocar as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual para dispositivos que usam o BGP. Todo o tráfego de BGP é criptografado e transmitido por meio da associação de segurança IPsec. O BGP é necessário para que ambos os gateways troquem os prefixos IP que são acessíveis por meio da SA de IPsec.

Uma conexão VPN da AWS não é compatível com Path MTU Discovery (RFC 1191).

Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte Regras de firewall para um dispositivo de gateway do cliente do AWS Site-to-Site VPN.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Dispositivos gateway do cliente da Site-to-Site VPN

Práticas recomendadas