本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定 AWS Site-to-Site VPN 客戶閘道裝置的靜態路由 以下是使用使用者界面 (如果有的話) 來設定客戶閘道裝置的一些範例程序。 ------ #### [ Check Point ] 如果您的裝置是執行 R77.10 或更高版本的 Check Point Security Gateway 裝置,並且使用 Gaia 作業系統和 Check Point SmartDashboard,以下是設定客戶閘道裝置的步驟。您也可以參考 Check Point Support Center 上的 [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) 文章。 **設定通道界面** 第一個步驟是建立 VPN 通道,並為每個通道提供客戶閘道和虛擬私有閘道的私有 (內部) IP 地址。若要建立第一個通道,請使用組態檔案 `IPSec Tunnel #1` 區段下提供的資訊。若要建立第二個通道,請使用組態檔案 `IPSec Tunnel #2` 區段下提供的值。 1. 開啟 Check Point Security Gateway 裝置的 Gaia 入口網站。 1. 選擇 **Network Interfaces (網路界面)**、**Add (新增)**、**VPN tunnel (VPN 通道)**。 1. 在對話方塊中,進行設定如下,然後在完成時選擇 **OK (確定)**: + 針對 **VPN Tunnel ID (VPN 通道 ID)**,輸入任何唯一值 (例如 1)。 + 針對 **Peer (對等)**,輸入通道的唯一名稱 (例如 `AWS_VPC_Tunnel_1` 或 `AWS_VPC_Tunnel_2`)。 + 確定選取 **Numbered (編號)**,而且針對 **Local Address (本機地址)**,輸入組態檔案中針對 `CGW Tunnel IP` 所指定的 IP 地址 (例如 `169.254.44.234`)。 + 針對 **Remote Address (遠端地址)**,輸入組態檔案中針對 `VGW Tunnel IP` 所指定的 IP 地址 (例如 `169.254.44.233`)。 ![Check Point Add VPN Tunnel (新增 VPN 通道) 對話方塊](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/check-point-create-tunnel.png) 1. 透過 SSH 連線到您的安全閘道。若您使用非預設的殼層,請藉由執行下列命令來變更到 clish:`clish` 1. 針對通道 1,執行下列命令。 ``` set interface vpnt1 mtu 1436 ``` 針對通道 2,執行下列命令。 ``` set interface vpnt2 mtu 1436 ``` 1. 使用組態檔案 `IPSec Tunnel #2` 區段下的資訊,重複這些步驟來建立第二個通道。 **設定靜態路由** 在此步驟中,在每個通道的 VPC 中指定子網路的靜態路由,讓您可以透過通道界面傳送流量。萬一第一個通道出問題,第二個通道會啟用容錯移轉。如果偵測到問題,以政策為基礎的靜態路由從路由表移除,並啟用第二個路由。您也必須讓 Check Point 閘道 ping 到通道的另一端,確認通道是否為啟動。 1. 在 Gaia 入口網站中,選擇 **IPv4 Static Routes (IPv4 靜態路由)**、**Add (新增)**。 1. 指定子網路的 CIDR (例如 `10.28.13.0/24`)。 1. 選擇 **Add Gateway (新增閘道)**、**IP Address (IP 地址)**。 1. 輸入組態檔案中針對 `VGW Tunnel IP` 所指定的 IP 地址 (例如 `169.254.44.233`),然後指定優先順序 1。 1. 選取 **Ping**。 1. 使用組態檔案 `IPSec Tunnel #2` 區段下的 `VGW Tunnel IP` 值,針對第二個通道重複步驟 3 和 4。指定優先順序 2。 ![Check Point Edit Destination Route (編輯目標路由) 對話方塊](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/check-point-static-routes.png) 1. 選擇 **Save (儲存)**。 如果您使用叢集,則請針對其他叢集成員重複上述步驟。 **定義新的網路物件** 在此步驟中,您會建立每個 VPN 通道的網路物件,指定虛擬私有閘道的公有 (外部) IP 地址。您稍後會將這些網路物件新增為您 VPN 社群的附屬閘道。您也需要建立空白群組,做為 VPN 網域的預留位置。 1. 開啟 Check Point SmartDashboard。 1. 針對 **Groups (群組)**,開啟內容選單,然後選擇 **Groups (群組)**、**Simple Group (簡易群組)**。您可以為每個網路物件使用相同的群組。 1. 針對 **Network Objects (網路物件)**,開啟內容 (按右鍵) 選單,然後選擇 **New (新增)**、**Interoperable Device (互通裝置)**。 1. 針對 **Name (名稱)**,輸入您為您的通道所提供的名稱,例如 `AWS_VPC_Tunnel_1` 或 `AWS_VPC_Tunnel_2`。 1. 針對 **IPv4 Address (IPv4 地址)**,輸入組態檔案中提供的虛擬私有閘道外部 IP 地址,例如 `54.84.169.196`。儲存您的設定,然後關閉對話方塊。 ![Check Point 互通裝置對話方塊](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/check-point-network-device.png) 1. 在 SmartDashboard 中,開啟閘道屬性,並在分類窗格中選擇 **Topology (拓撲)**。 1. 若要擷取界面組態,請選擇 **Get Topology (取得拓撲)**。 1. 在 **VPN Domain (VPN 網域)** 區段中,選擇 **Manually defined (手動定義)**,然後瀏覽並選取您在步驟 2 中建立的空白簡易群組。選擇**確定**。 **注意** 您可以保留您已設定的任何現有 VPN 網域。但請確保使用或由新 VPN 連接提供的主機和網路都並非在該 VPN 網域中宣告,尤其是當 VPN 網域是自動衍生時。 1. 使用組態檔案 `IPSec Tunnel #2` 區段下的資訊,重複這些步驟來建立第二個網路物件。 **注意** 若您使用叢集,請編輯拓撲並將界面定義為叢集界面。使用組態檔案中指定的 IP 地址。 **建立及設定 VPN 社群、IKE 和 IPsec 設定** 在此步驟中,您會在您的 Check Point 閘道上建立 VPN 社群,並在將每個通道的網路物件 (互通裝置) 新增至其中。您也可以設定網際網路金鑰交換 (IKE) 和 IPsec 設定。 1. 從您的閘道屬性中,在分類窗格中選擇 **IPSec VPN**。 1. 選擇 **Communities (社群)**、**New (新增)**、**Star Community (星型社群)**。 1. 為您的社群提供名稱 (例如 `AWS_VPN_Star`),然後在分類窗格中選擇 **Center Gateways (中央閘道)**。 1. 選擇 **Add (新增)**,然後將您的閘道或叢集新增到參與者閘道清單。 1. 在分類窗格中,選擇 **Satellite Gateways (附屬閘道)**、**Add (新增)**,然後將您先前建立的互通裝置 (`AWS_VPC_Tunnel_1` 和 `AWS_VPC_Tunnel_2`) 新增到參與者閘道清單。 1. 在分類窗格中,選擇 **Encryption (加密)**。在 **Encryption Method (加密方法)** 區段中,選擇 **IKEv1 only (僅限 IKEv1)**。在 **Encryption Suite (加密產品套件)** 區段中,選擇 **Custom (自訂)**、**Custom Encryption (自訂加密)**。 1. 在對話方塊中,設定加密屬性如下,然後在完成時選擇 **OK (確定)**: + IKE 安全關聯 (階段 1) 屬性: + **Perform key exchange encryption with (使用下列方式執行金鑰交換)**:AES-128 + **Perform data integrity with (使用下列方式執行資料完整性)**:SHA-1 + IPsec 安全關聯 (階段 2) 屬性: + **Perform IPsec data encryption with (使用下列方式執行 IPsec 資料加密)**:AES-128 + **Perform data integrity with (使用下列方式執行資料完整性)**:SHA-1 1. 在分類窗格中,選擇 **Tunnel Management (通道管理)**。選擇 **Set Permanent Tunnels (設定永久通道)**、**On all tunnels in the community (在社群中的所有通道上)**。在 **VPN Tunnel Sharing (VPN 通道共享)** 區段中,選擇 **One VPN tunnel per Gateway pair (每個閘道對一個 VPN 通道)**。 1. 在分類窗格中,展開 **Advanced Settings (進階設定)** 並選擇 **Shared Secret (共享秘密)**。 1. 選取第一個通道的對等名稱、選擇 **Edit (編輯)**,然後輸入組態檔案中 `IPSec Tunnel #1` 區段內指定的預先共用金鑰。 1. 選取第二個通道的對等名稱、選擇 **Edit (編輯)**,然後輸入組態檔案中 `IPSec Tunnel #2` 區段內指定的預先共用金鑰。 ![Check Point 互通共享秘密對話方塊](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/check-point-shared-secret.png) 1. 在 **Advanced Settings (進階設定)** 分類中,選擇 **Advanced VPN Properties (進階 VPN 屬性)**,設定屬性如下,然後在完成時選擇 **OK (確定)**: + IKE (階段 1): + **Use Diffie-Hellman group (使用 Diffie-Hellman 群組)**:`Group 2` + **Renegotiate IKE security associations every** `480` **minutes (每 480 分鐘重新交涉 IKE 安全關聯)** + IPsec (階段 2): + 選擇 **Use Perfect Forward Secrecy (使用完美遠期保密)** + **Use Diffie-Hellman group (使用 Diffie-Hellman 群組)**:`Group 2` + **Renegotiate IPsec security associations every** `3600` **seconds (每 3600 秒重新交涉 IPsec 安全關聯)** **建立防火牆規則** 在此步驟中,您會使用防火牆規則和允許 VPC 和本機網路間通訊的方向性比對規則來設定政策。您接著便會在您的閘道上安裝政策。 1. 在 SmartDashboard 中,為您的閘道選擇 **Global Properties (全域屬性)**。在分類窗格中,展開 **VPN** 並選擇 **Advanced (進階)**。 1. 選擇 **Enable VPN Directional Match in VPN Column (在 VPN 欄中啟用 VPN 方向性比對)**,然後儲存您的變更。 1. 在 SmartDashboard 中,選擇 **Firewall (防火牆)**,然後使用下列規則建立政策: + 允許 VPC 子網路透過必要的通訊協定,與本機網路進行通訊。 + 允許本機網路透過必要的通訊協定,與 VPC 子網路進行通訊。 1. 開啟 VPN 欄中儲存格的內容選單,然後選擇 **Edit Cell (編輯儲存格)**。 1. 在 **VPN Match Conditions (VPN 比對條件)** 對話方塊中,選擇 **Match traffic in this direction only (僅比對此方向的流量)**。透過為每個項目選擇 **Add (新增)** 來建立下列方向性比對規則,並在完成時選擇 **OK (確定)**: + `internal_clear` > VPN 社群 (您先前建立的 VPN 星型社群,例如 `AWS_VPN_Star`) + VPN 社群 > VPN 社群 + VPN 社群 > `internal_clear` 1. 在 SmartDashboard 中,選擇 **Policy (政策)**、**Install (安裝)**。 1. 在對話方塊中,選擇您的閘道,然後選擇 **OK (確定)** 以安裝政策。 **修改 tunnel\_keepalive\_method 屬性** 您的 Check Point 閘道可以使用無效對等偵測 (DPD) 來識別 IKE 關聯是否已關閉。若要設定永久通道的 DPD,必須在 AWS VPN 社群中設定永久通道 (請參閱步驟 8)。 根據預設,VPN 閘道的 `tunnel_keepalive_method` 屬性已設為 `tunnel_test`。您必須將值變更為 `dpd`。在 VPN 社群中的每個 VPN 閘道都會要求 DPD 監控必須設定 `tunnel_keepalive_method` 屬性,包括任何第三方 VPN 閘道。您不能為相同的閘道設定不同的監控機制。 您可以使用 GuiDBedit 工具更新 `tunnel_keepalive_method` 屬性。 1. 開啟 Check Point SmartDashboard,然後選擇 **Security Management Server (安全管理伺服器)**、**Domain Management Server (網域管理伺服器)**。 1. 選擇 **File (檔案)**、**Database Revision Control... (資料庫修訂控制...)**,並建立修訂快照。 1. 關閉所有 SmartConsole 視窗,例如 SmartDashboard、SmartView Tracker 和 SmartView Monitor。 1. 啟動 GuiDBedit 工具。如需詳細資訊,請參閱 Check Point Support Center 上的 [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) 文章。 1. 選擇 **Security Management Server (安全管理伺服器)**、**Domain Management Server (網域管理伺服器)**。 1. 在左上方的窗格中,選擇 **Table (資料表)**、**Network Objects (網路物件)**、**network\_objects**。 1. 在右上方窗格中,選取相關的 **Security Gateway (安全閘道)**、**Cluster (叢集)** 物件。 1. 按下 CTRL\+F,或使用 **Search (搜尋)** 選單搜尋下列內容:`tunnel_keepalive_method`。 1. 在下方窗格中,開啟 `tunnel_keepalive_method` 的內容選單,然後選擇 **Edit... (編輯...)**。選擇 **dpd**,然後選擇 **OK (確定)** 1. 為每個做為 AWS VPN 社群一部分的閘道重複步驟 7 到 9。 1. 選擇 **File (檔案)**、**Save All (全部儲存)**。 1. 關閉 GuiDBedit 工具。 1. 開啟 Check Point SmartDashboard,然後選擇 **Security Management Server (安全管理伺服器)**、**Domain Management Server (網域管理伺服器)**。 1. 在相關 **Security Gateway (安全閘道)**、**Cluster (叢集)** 物件上安裝政策。 如需詳細資訊,請參閱 Check Point Support Center 上的 [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) 文章。 **啟用 TCP MSS 夾鉗** TCP MSS 夾鉗降低 TCP 封包的區段大小上限,防止封包分散。 1. 導覽至下列目錄:`C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`。 1. 透過執行 `GuiDBEdit.exe` 檔案,開啟 Check Point Database Tool。 1. 選擇 **Table (資料表)**、**Global Properties (全域屬性)**、**properties (屬性)**。 1. 針對 `fw_clamp_tcp_mss`,選擇 **Edit (編輯)**。將值變更為 `true`,然後選擇 **OK (確定)**。 **驗證通道狀態** 您可以透過在命令列工具以專家模式執行下列命令,來驗證通道狀態。 ``` vpn tunnelutil ``` 在顯示的選項中,選擇 **1** 來驗證 IKE 關聯,以及 **2** 來驗證 IPsec 關聯。 您也可以使用 Check Point Smart Tracker Log 來驗證連線上的封包都已加密。例如,下列日誌指出目標為 VPC 的封包是透過通道 1 傳送的且目前已加密。 ![Check Point 日誌檔案](http://docs.aws.amazon.com/zh_tw/vpn/latest/s2svpn/images/check-point-log.png) ------ #### [ SonicWALL ] 下列程序示範如何使用 SonicOS 管理界面在 SonicWALL 裝置上設定 VPN 通道。 **設定通道** 1. 開啟 SonicWALL SonicOS 管理界面。 1. 在左側窗格中,選擇 **VPN**、**Settings (設定)**。在 **VPN Policies (VPN 政策)** 下,選擇 **Add... (新增...)**。 1. 在 **General (一般)** 標籤的 VPN 政策視窗上,填妥下列資訊: + **Policy Type (政策類型)**:選擇 **Tunnel Interface (通道界面)**。 + **Authentication Method (身分驗證方法)**:選擇 **IKE using Preshared Secret (IKE 使用預先共享秘密)**。 + **Name (名稱)**:輸入 VPN 政策的名稱。建議您使用組態檔案中提供的 VPN ID 名稱。 + **IPsec Primary Gateway Name or Address (IPsec 主要閘道名稱或地址)**:輸入組態檔案中提供的虛擬私有閘道 IP 地址 (例如 `72.21.209.193`)。 + **IPsec Secondary Gateway Name or Address (IPsec 輔助閘道名稱或地址)**:保留預設值。 + **Shared Secret (共享秘密)**:輸入組態檔案中提供的預先共享金鑰,並在 **Confirm Shared Secret (確認共享秘密)** 中再輸入一次。 + **Local IKE ID (本地 IKE ID)**:輸入客戶閘道 (SonicWALL 裝置) 的 IPv4 地址。 + **Peer IKE ID (對等 IKE ID)**:輸入虛擬私有閘道的 IPv4 地址。 1. 在 **Network (網路)** 標籤上,填妥下列資訊: + 在 **Local Networks (本地網路)** 下,選擇 **Any address (任何地址)**。建議使用此選項以防止本地網路出現連線問題。 + 在 **Remote Networks (遠端網路)** 下,選擇 **Choose a destination network from list (從清單選擇目標網路)**。在 AWS中使用您 VPC 的 CIDR 建立地址物件。 1. 在 **Proposals (提案)** 標籤上,填妥下列資訊: + 在 **IKE (Phase 1) Proposal (IKE (階段 1) 提案)** 下,執行下列作業: + **Exchange (交換)**:選擇 **Main Mode (主要模式)**。 + **DH Group (DH 群組)**:輸入 Diffie-Hellman 群組的值 (例如 `2`)。 + **Encryption (加密)**:選擇 **AES-128** 或 **AES-256**。 + **Authentication (身分驗證)**:選擇 **SHA1** 或 **SHA256**。 + **Life Time (生命週期)**:輸入 `28800`。 + 在 **IKE (Phase 2) Proposal (IKE (階段 2) 提案)** 下,執行下列作業: + **Protocol (通訊協定)**:選擇 **ESP**。 + **Encryption (加密)**:選擇 **AES-128** 或 **AES-256**。 + **Authentication (身分驗證)**:選擇 **SHA1** 或 **SHA256**。 + 選取 **Enable Perfect Forward Secrecy (啟用完美遠期保密)** 核取方塊,並選擇 Diffie-Hellman 群組。 + **Life Time (生命週期)**:輸入 `3600`。 **重要** 如果您的虛擬私有閘道是在 2015 年 10 月之前建立,則必須為這兩個階段指定 Diffie-Hellman 群組 2、AES-128 和 SHA1。 1. 在 **Advanced (進階)** 標籤上,填妥下列資訊: + 選取 **Enable Keep Alive (啟用保持有效)**。 + 選取 **Enable Phase2 Dead Peer Detection (啟用 Phase2 失效對等偵測)** 並輸入下列內容: + 針對 **Dead Peer Detection Interval (失效對等偵測週期)**,輸入 `60` (這是 SonicWALL 裝置接受的最小值)。 + 針對 **Failure Trigger Level (故障觸發層級)**,輸入 `3`。 + 針對 **VPN Policy bound to (繫結的 VPN 政策)**,選取 **Interface X1 (界面 X1)**。這是通常為公有 IP 地址指定的界面。 1. 選擇**確定**。在 **Settings (設定)** 頁面上,通道的 **Enable (啟用)** 核取方塊預設應為已選取。綠點指出通道已啟用。 ------