Regras de firewall para um dispositivo de gateway do cliente do AWS Site-to-Site VPN
É necessário ter um endereço IP estático para usar como endpoint para os túneis IPsec que conectam o dispositivo de gateway do cliente aos endpoints do AWS Site-to-Site VPN. Se houver um firewall entre a AWS e o dispositivo de gateway do cliente, as regras das tabelas a seguir deverão estar em vigor para estabelecer os túneis IPsec. Os endereços IP para o lado da AWS estarão no arquivo de configuração.
|
Regra de entrada I1 |
|
|---|---|
|
IP de origem |
IP externo do túnel 1 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Destino |
500 |
|
Regra de entrada I2 |
|
|
IP de origem |
IP externo do túnel 2 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Porta de destino |
500 |
|
Regra de entrada I3 |
|
|
IP de origem |
IP externo do túnel 1 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regra de entrada I4 |
|
|
IP de origem |
IP externo do túnel 2 |
|
Dest IP |
Gateway do cliente |
|
Protocolo |
IP 50 (ESP) |
|
Regra de saída O1 |
|
|---|---|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 1 |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Porta de destino |
500 |
|
Regra de saída O2 |
|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 2 |
|
Protocolo |
UDP |
|
Porta de origem |
500 |
|
Porta de destino |
500 |
|
Regra de saída O3 |
|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 1 |
|
Protocolo |
IP 50 (ESP) |
|
Regra de saída O4 |
|
|
IP de origem |
Gateway do cliente |
|
Dest IP |
IP externo do túnel 2 |
|
Protocolo |
IP 50 (ESP) |
As regras I1, I2, O1 e O2 permitem a transmissão de pacotes IKE. As regras I3, I4, O3 e O4 permitem a transmissão de pacotes IPsec que contêm o tráfego de rede criptografado.
nota
Caso esteja usando NAT Traversal (NAT-T) no dispositivo, certifique-se de que o tráfego UDP na porta 4500 também tenha permissão para passar entre a rede e os endpoints do AWS Site-to-Site VPN. Verifique se o seu dispositivo está anunciando NAT-T.
