Opções de túnel para sua conexão com AWS Site-to-Site VPN - AWS Site-to-Site VPN

Opções de túnel para sua conexão com AWS Site-to-Site VPN

Use uma conexão da Site-to-Site VPN para conectar a rede remota a uma VPC. Cada conexão da VPN local a local tem dois túneis, sendo que cada um usa um endereço IP público exclusivo. Para a redundância, é importante configurar ambos os túneis. Quando um túnel fica indisponível (por exemplo, para manutenção), o tráfego de rede é roteado automaticamente para o túnel que estiver disponível para aquela conexão da Site-to-Site VPN específica.

O diagrama a seguir mostra os dois túneis de uma conexão VPN. Cada túnel termina em uma zona de disponibilidade diferente para fornecer maior disponibilidade. O tráfego da rede on-premises para a AWS usa os dois túneis. O tráfego da AWS para a rede on-premises escolhe um dos túneis, mas pode ocorrer failover automaticamente para o outro túnel se houver uma falha do lado da AWS.

Os dois túneis de uma conexão VPN entre um gateway privado virtual e um gateway do cliente.

Ao criar uma conexão da Site-to-Site VPN, baixar um arquivo de configuração específico para seu dispositivo de gateway do cliente que contém informações para configuração do dispositivo, incluindo as informações para configuração de cada túnel. Como opção, você mesmo pode especificar algumas das opções de túnel ao criar a conexão da Site-to-Site VPN. Caso contrário, a AWS fornece os valores padrão.

nota

Os endpoints do túnel da VPN de local para local avaliam as propostas do gateway do cliente começando com o menor valor configurado da lista abaixo, independentemente da ordem da proposta do gateway do cliente. É possível usar o comando modify-vpn-connection-options para restringir a lista de opções que os endpoints da AWS aceitarão. Para obter mais informações, consulte modify-vpn-connection-options em Referência de linha de comando do Amazon EC2.

Veja a seguir as opções de túnel que você pode configurar.

nota

Algumas opções de túnel têm vários valores padrão. Por exemplo, as versões IKE têm dois valores de opção de túnel padrão: ikev1 e ikev2. Todos os valores padrão serão associados a essa opção de túnel se você não escolher valores específicos. Clique para remover qualquer valor padrão que você não queira associar à opção de túnel. Por exemplo, se você quiser usar ikev1 apenas para a versão IKE, clique em ikev2 para removê-lo.

Tempo limite do Dead Peer Detection (DPD)

A duração, em segundos, após a qual ocorre o tempo limite do DPD. Um tempo limite do DPD de 30 segundos significa que o endpoint da VPN considerará o par desativado 30 segundos após a primeira falha no keep-alive. É possível especificar 30 ou superior.

Padrão: 60

Ação de tempo limite do DPD

A ação a ser executada após atingir o tempo limite do Dead Peer Detection (DPD). É possível especificar o seguinte:

  • Clear: finalizar a sessão do protocolo IKE quando o tempo limite do DPD for atingido (interromper o túnel e limpar as rotas)

  • None: nenhuma ação quando o tempo limite do DPD for atingido

  • Restart: reiniciar a sessão do protocolo IKE quando o tempo limite do DPD for atingido

Para obter mais informações, consulte AWS Site-to-Site VPNOpções de iniciação de túnel do .

Padrão: Clear

Opções de registro em log da VPN

Com os logs da Site-to-Site VPN, você pode obter acesso a detalhes sobre estabelecimento do túnel de segurança IP (IPsec), negociações do Internet Key Exchange (IKE) e mensagens de protocolo Dead Peer Detection (DPD).

Para obter mais informações, consulte AWS Site-to-Site VPNLogs do .

Formatos de log disponíveis: json, text

Versões do IKE

As versões do IKE que são permitidas para o túnel VPN. É possível especificar um ou mais dos valores padrão.

Padrões: ikev1, ikev2

CIDR de IPv4 do túnel interno

O intervalo de endereços IPv4 internos para o túnel de VPN. É possível especificar um bloco CIDR de tamanho /30 a partir do intervalo 169.254.0.0/16. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway privado virtual.

nota

O bloco CIDR não precisa ser exclusivo em todas as conexões em um gateway de trânsito. No entanto, se eles não forem exclusivos, isso pode criar um conflito no gateway do cliente. Tenha cuidado ao reutilizar o mesmo bloco CIDR em várias conexões Site-to-Site VPN em um gateway de trânsito.

Os seguintes blocos CIDR são reservados e não podem ser usados:

  • 169.254.0.0/30

  • 169.254.1.0/30

  • 169.254.2.0/30

  • 169.254.3.0/30

  • 169.254.4.0/30

  • 169.254.5.0/30

  • 169.254.169.252/30

Padrão: um bloco CIDR IPv4 de tamanho /30 do intervalo 169.254.0.0/16.

Armazenamento de chaves pré-compartilhadas

O tipo do armazenamento para a chave pré-compartilhada:

  • Padrão: a chave pré-compartilhada é armazenada diretamente no serviço Site-to-Site VPN.

  • Secrets Manager: a chave pré-compartilhada é armazenada usando o AWS Secrets Manager. Para ter mais informações sobre o Secrets Manager, consulte Recursos de segurança aprimorados usando o Secrets Manager.

CIDR de IPv6 do túnel interno

(Somente conexões VPN IPv6) O intervalo de endereços IPv6 internos para o túnel de VPN. É possível especificar um bloco CIDR de tamanho /126 a partir do intervalo fd00::/8 local. O bloco CIDR deve ser exclusivo em todas as conexões Site-to-Site VPN que usam o mesmo gateway de trânsito. Se você não especificar uma sub-rede IPv6, a Amazon selecionará automaticamente uma sub-rede /128 desse intervalo. Independentemente de você especificar a sub-rede ou de a Amazon a selecionar, a Amazon usa o primeiro endereço IPv6 utilizável na sub-rede do lado da conexão dela e seu lado usa o segundo endereço IPv6 utilizável.

Padrão: um bloco CIDR IPv6 de tamanho /126 do intervalo fd00::/8 local.

Tipo de endereço IP do túnel externo

O tipo de endereço IP para os endereços IP do túnel externo. É possível especificar um dos seguintes:

  • PrivateIpv4: use endereço IPv4 privado para implantar conexões VPN do Site-to-Site VPN por meio do Direct Connect.

  • PublicIpv4: (padrão) use endereços IPv4 para os IPs de túnel externo.

  • Ipv6: use endereços IPv6 para os IPs de túnel externo. Essa opção só está disponível para conexões VPN em um gateway de trânsito ou Cloud WAN.

Quando você seleciona Ipv6, a AWS configura automaticamente os endereços IPv6 dos túneis VPN externos do lado da AWS. O dispositivo de gateway do cliente deve permitir endereçamento IPv6 e ser capaz de estabelecer túneis IPsec com endpoints IPv6.

Padrão: PublicIpv4

CIDR de rede IPv4 local

(Somente conexão VPN IPv4) O intervalo CIDR usado durante a negociação da fase 2 da IKE para o cliente (ambiente on-premises) do túnel VPN. Esse intervalo é usado para propor rotas, mas não impõe restrições de tráfego, pois a AWS usa exclusivamente VPNs baseadas em rotas. Não há compatibilidade para VPNs baseadas em políticas, pois elas limitariam a capacidade da AWS de atender a protocolos de roteamento dinâmico e arquiteturas multirregionais. Isso deve incluir os intervalos de IP da sua rede on-premises que precisam se comunicar pelo túnel VPN. Configurações de tabela de rotas, NACLs e grupos de segurança adequados devem ser usados para controlar o fluxo de tráfego real.

Padrão: 0.0.0.0/0

CIDR de rede IPv4 remota

(Somente conexão VPN IPv4) O intervalo CIDR usado durante a negociação da fase 2 do IKE para o lado da AWS do túnel VPN. Esse intervalo é usado para propor rotas, mas não impõe restrições de tráfego, pois a AWS usa exclusivamente VPNs baseadas em rotas. A AWS não permite VPNs baseadas em políticas porque elas não têm a flexibilidade necessária para cenários complexos de roteamento e são incompatíveis com determinados recursos, como gateways de trânsito e multicaminho de custo igual (ECMP) de VPN. Para VPCs, esse geralmente é o intervalo CIDR da sua VPC. Para gateways de trânsito, isso pode incluir vários intervalos CIDR de VPCs conectadas ou de outra rede.

Padrão: 0.0.0.0/0

CIDR de rede IPv6 local

(Somente conexão VPN IPv6) O intervalo CIDR IPv6 no gateway do cliente (local) que tem permissão para se comunicar pelos túneis de VPN.

Padrão: ::/0

CIDR de rede IPv6 remota

(Somente conexão VPN IPv6) O intervalo CIDR IPv6 no lado da AWS que tem permissão para se comunicar pelos túneis de VPN.

Padrão: ::/0

Fase 1 Números de grupos Diffie-Hellman (DH)

Os números de grupos DH que são permitidos para o túnel VPN para a fase 1 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 2 Números de grupos Diffie-Hellman (DH)

Os números de grupos DH que são permitidos para o túnel VPN para a fase 2 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

Fase 1 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o túnel VPN para a fase 1 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Fase 2 Algoritmos de criptografia

Os algoritmos de criptografia permitidos para o túnel VPN para a fase 2 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: AES128, AES256, AES128-GCM-16, AES256-GCM-16

Fase 1 Algoritmos de integridade

Os algoritmos de integridade permitidos para o túnel VPN para a fase 1 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: SHA1, SHA2-256, SHA2-384, SHA2-512

Fase 2 Algoritmos de integridade

Os algoritmos de integridade permitidos para o túnel VPN para a fase 2 das negociações de IKE. É possível especificar um ou mais dos valores padrão.

Padrões: SHA1, SHA2-256, SHA2-384, SHA2-512

Tempo de vida da fase 1
nota

AWS inicia novas chaves com os valores de tempo definidos nos campos Vida útil da fase 1 e Vida útil da fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

O tempo de vida em segundos da fase 1 da negociação de IKE. É possível especificar um número entre 900 e 28.800.

Padrão: 28.800 (8 horas)

Tempo de vida da fase 2
nota

AWS inicia novas chaves com os valores de tempo definidos nos campos Vida útil da fase 1 e Vida útil da fase 2. Se as vidas úteis forem diferentes dos valores negociados no handshake, isso poderá interromper a conectividade do túnel.

O tempo de vida em segundos da fase 2 da negociação de IKE. É possível especificar um número entre 900 e 3.600. O número especificado deve ser menor que o número de segundos para a vida útil da fase 1.

Padrão: 3.600 (1 hora)

Chaves pré-compartilhadas (PSK)

Chave pré-compartilhada (PSK) para estabelecer a associação de IKE (Internet key exchange – Troca de chaves da Internet) inicial entre o gateway de destino e o gateway do cliente.

O PSK deve estar entre 8 e 64 caracteres de extensão e não pode começar com zero (0). Os caracteres permitidos são alfanuméricos, pontos (.) e sublinhados (_).

Padrão: uma string de 32 caracteres alfanuméricos.

Fuzz de rechaveamento

A porcentagem da janela de rechaveamento (determinada pelo tempo de margem de rechaveamento) dentro da qual o tempo de rechaveamento é selecionado aleatoriamente.

É possível especificar um valor percentual entre 0 e 100.

Padrão: 100

Tempo de margem de rechaveamento

O tempo de margem em segundos antes de a vida útil da fase 1 e da fase 2 expirar, durante o qual o lado AWS da conexão VPN executa um rechaveamento do IKE.

É possível especificar um número entre 60 e metade do valor de vida útil da fase 2.

A hora exata do rechaveamento é selecionada aleatoriamente com base no valor de fuzz de rechaveamento.

Padrão: 270 (4,5 minutos)

Reproduzir pacotes de tamanho da janela

O número de pacotes em uma janela de reprodução de IKE.

É possível especificar um valor entre 64 e 2048.

Padrão: 1024

Ação de inicialização

A ação a ser realizada ao estabelecer o túnel para uma conexão VPN. É possível especificar o seguinte:

  • Start: a AWS inicia a negociação do IKE para ativar o túnel. Somente compatível se o gateway do cliente estiver configurado com um endereço IP.

  • Add: o dispositivo de gateway do cliente deve iniciar a negociação do protocolo IKE para ativar o túnel.

Para obter mais informações, consulte AWS Site-to-Site VPNOpções de iniciação de túnel do .

Padrão: Add

Controle de ciclo de vida do endpoint de túnel

O controle de ciclo de vida do endpoint de túnel oferece controle sobre o cronograma de substituições de endpoints.

Para obter mais informações, consulte Controle de ciclo de vida do endpoint de túnel do AWS Site-to-Site VPN.

Padrão: Off

É possível especificar as opções de túnel ao criar uma conexão da Site-to-Site VPN ou modificar as opções de túnel para uma conexão VPN existente. Para obter mais informações, consulte os tópicos a seguir.