Conexión a un igual de AWS
Puede utilizar IBM Cloud VPN for VPC para conectar de forma segura el VPC a una red local a través de un túnel VPN. En este tema se proporciona orientación sobre cómo configurar la pasarela VPN de AWS para conectarse a VPN for VPC.
Puesto que AWS requiere que PFS esté habilitado en la fase 2, debe crear una política de IPsec personalizada para sustituir la política predeterminada para la VPN en la VPC. Para obtener más información, consulte Creación de una política de IPsec.
Cuando AWS VPN recibe una solicitud de conexión de VPN for VPC, AWS VPN utiliza los parámetros de la Fase 1 de IPsec para establecer una conexión segura y autenticar la pasarela de VPN for VPC. A continuación, si la política de seguridad permite la conexión, la VPN de AWS establece el túnel utilizando los parámetros de la Fase 2 de IPsec y aplica la política de seguridad de IPsec. Los servicios de seguridad, autenticación y gestión de claves se negocian dinámicamente mediante el protocolo IKE.
Revise las Limitaciones de pasarela VPN antes de conectarse al igual local.
Para dar soporte a estas funciones, debe realizar los siguientes pasos de configuración general en la VPN de AWS:
- Defina los parámetros de fase 1 que la VPN de AWS necesita para autenticar el igual remoto y establecer una conexión segura.
- Defina los parámetros de fase 2 que la VPN de AWS necesita para crear un túnel VPN con VPN for VPC.
Conexión de una VPN basada en políticas de IBM a un igual de AWS
Puede utilizar una VPN basada en políticas VPN for VPC para conectarse a una VPN basada en rutas AWS. Sin embargo, las VPN basadas en políticas requieren asociaciones de seguridad (SA) independientes para cada subred, mientras que las VPN basadas en ruta utilizan un único SA para todo el tráfico cifrado. Por lo tanto, una conexión entre una VPN basada en políticas a una VPN basada en rutas está limitada a una SA asociada con un único rango de CIDR.
Si tiene varias subredes con un rango de direcciones contiguo, puede crear una conexión con un CIDR que sea un superconjunto de subredes. Por ejemplo, 192.168.0.0/24 y 192.168.1.0/24 están cubiertos por CIDR 192.168.0.0/23.
Configuración de AWS
Para configurar un igual de AWS, siga estos pasos:
-
Cree una pasarela de cliente AWS utilizando una dirección IP de VPN basada en políticas de IBM.
-
Cree una pasarela privada virtual de AWS y conéctela a la VPC de AWS que debe enviar tráfico a la VPC de IBM.
-
Cree una única conexión de sitio a sitio de AWS:
-
Establezca la Pasarela privada virtual en la pasarela que ha creado en el paso 2.
-
Establezca la Pasarela de cliente en la pasarela de cliente que ha creado en el paso 1.
-
Establezca Opción de direccionamiento en Estático.
-
Añada el CIDR único en el lado de IBM a Prefijos de IP estática.
Para alcanzar varias subredes contiguas en IBM VPC, utilice un rango de CIDR más grande que cubra todas las subredes necesarias.
-
Especifique una clave precompartida para tunnel1 y tunnel2.
-
Para ambos túneles AWS, seleccione Editar opciones de túnel X y seleccione los parámetros de seguridad que desee. Puede elegir varios valores para cada parámetro si también están soportados por la IBM VPN.
Figura 2: AWS
-
-
Después de que el estado de la conexión de sitio a sitio de AWS sea Disponible, vaya a la pestaña Rutas estáticas para verificar que la ruta correcta se ha añadido automáticamente. Si es necesario, realice ajustes manuales.
La imagen siguiente muestra que las redes
10.240.128.0/27y10.240.128.32/27en el lado de VPC de IBM se direccionan con el nuevo destino10.240.128.0/26.
Figura 3: AWS -
Vaya a AWS Tablas de rutas en la sección Nube privada virtual y busque la tabla de rutas asociada con la VPC donde se ha conectado la VPN. Pulse Editar rutas y añada la misma ruta a la tabla de rutas.
Figura 4: AWS -
Verifique el estado de conexión en la página Conexión de sitio a sitio.
-
Verifique que la ACL AWS y las reglas de grupo de seguridad se ajustan para permitir el tráfico que necesita.
Configuración de la VPN basada en políticas de IBM
Para configurar una VPN basada en políticas de IBM para un igual de AWS, siga estos pasos:
-
Cree una nueva conexión para una de las IP de túnel de AWS. Utilice un único CIDR para Subredes locales y Subredes homólogas.
Puesto que AWS requiere que PFS esté habilitado en la fase 2, debe crear una política IPsec personalizada para sustituir la política predeterminada para la VPN en la VPC. Para obtener más información, consulte Creación de una política de IPsec personalizada en VPN for VPC.
-
Después de que el estado de la conexión sea Activo, verifique el tráfico entre las subredes.
Conexión de una VPN basada en ruta de IBM a un igual de AWS
Debe tener una pasarela IBM VPN y dos conexiones VPN AWS (un total de cuatro túneles) para esta configuración.
Configuración de AWS
Para configurar un igual de AWS, siga estos pasos:
-
Cree dos pasarelas de cliente AWS utilizando cada una de las direcciones IP de los miembros de VPN basados en ruta de IBM.
-
Cree una pasarela privada virtual de AWS y conéctela a la VPC de AWS que debe enviar tráfico a la VPC de IBM.
-
Cree la primera conexión de sitio a sitio de AWS.
- Establezca la Pasarela privada virtual en la pasarela que ha creado en el paso 2.
- Establezca la Pasarela de cliente en la primera pasarela de cliente que ha creado en el paso 1.
- Establezca Opción de direccionamiento en Estático.
- Divida la subred de VPC de IBM en dos subredes más pequeñas y añádalas a Prefijos IP estáticos. De esta forma, se prefiere la primera conexión sobre la segunda conexión.
- Especifique una clave precompartida para tunnel1 y tunnel2
- Para ambos túneles AWS, elija Editar opciones de túnel X y seleccione los parámetros de seguridad que necesita. Puede elegir varios valores para cada parámetro si también están soportados por la IBM VPN.
-
Cree la segunda conexión de sitio a sitio AWS.
- Establezca la Pasarela privada virtual en la pasarela que ha creado en el paso 2.
- Establezca la Pasarela de cliente en la segunda pasarela de cliente que ha creado en el paso 1.
- Establezca Opción de direccionamiento en Estático.
- Añada la subred de VPC de IBM a Prefijos IP estáticos.
- Especifique una clave precompartida para tunnel1 y tunnel2
- Para ambos túneles AWS, elija Editar opciones de túnel X y seleccione los parámetros de seguridad que necesita. Puede elegir varios valores para cada parámetro si también están soportados por la IBM VPN.
Figura 6: AWS -
Después de que las conexiones de sitio a sitio de AWS estén en estado Disponible, vaya al separador Rutas estáticas de cada conexión de sitio a sitio para verificar que se han añadido automáticamente las rutas correctas. Si es necesario, realice ajustes manuales. Las imágenes siguientes muestran que la red
10.248.0.0/24se direcciona en ambas conexiones.
Figura 7: AWS 
Figura 8: AWS -
Vaya a AWS Tablas de rutas en VIRTUAL PRIVATE CLOUD y busque la tabla de rutas asociada con la VPC donde está conectada la VPN. Pulse Editar rutas y añada la misma ruta a la tabla de rutas.
Figura 9: AWS -
Verifique el estado de conexión en la página Conexión de sitio a sitio.
-
Verifique que la ACL AWS y las reglas de grupo de seguridad se ajustan para permitir el tráfico que necesita.
Configuración de la VPN basada en ruta de IBM
Para configurar una VPN basada en ruta de IBM para un igual AWS, siga estos pasos:
-
Cree cuatro nuevas conexiones, una para cada IP de túnel AWS.
Puesto que AWS requiere que PFS esté habilitado en la fase 2, debe crear una política de IPsec personalizada para sustituir la política predeterminada para la VPN en la VPC. Para obtener más información, consulte Creación de una política de IPsec personalizada en VPN for VPC.
-
Cree cuatro rutas para cada subred de igual con la opción Siguiente salto que apunte a cada conexión que haya creado en el paso 1. A continuación, establezca cada ruta en un valor de Prioridad diferente.
La ruta con el valor de Prioridad más bajo es la ruta de prioridad.
Figura 5: IBM -
Después de que el estado de ambas conexiones muestre Activo, verifique el tráfico entre las subredes.
Verifique que la conexión preferida en AWS sea la misma que en IBM para evitar el direccionamiento asimétrico.