Guías técnicas

Conexión VPN IPSec entre DC y AWS

Es muy común que allí donde hay recursos desplegados en un Public Cloud es necesario conectarlo al DataCenter, pasando automáticamente a una arquitectura de tipo Cloud hibrida. Existen varias formas de realizar esta interconexión:

  1. mediante conexión punto a punto provista por el operador hacia Cloud (también llamada DirectConnect, ExpressRoute, etc..).
  2. mediante VPN IPSec entre FG DC y FG desplegado en el Cloud.
  3. mediante VPN IPSec entre FG DC y servicio VPN del cloud publico.

En este post cubriremos esta ultimo punto para ver cómo realizar una VPN IPSec entre FG DC y AWS. Estos son los pasos a realizar:

1. En la Consola de administración de AWS:

  • El primer paso es generar un objeto tipo VPG o Virtual Private Gateway. Este servicio de AWS permite generar una VPN IPSec site-to-site entre AWS y el FG. Para ello hay que:
    • Seleccionar la región à VPC à desde el menú lateral seleccionar “Virtual Private Gateway” àCreate New
    • Seleccionar el VPG creado à Actions à Attach to VPC à Seleccionar el VPC que queramos conectar.
  • Sin dejar la consola de AWS hay que crear un objeto tipo “Customer Gateway” o lo que es lo mismo la IP Publica de nuestro FG del DC. Para ello:
    • Seleccionar la región à VPC à desde el menú lateral seleccionar “Customer Gateway” à Create New

Nota: En routing podemos seleccionar estático o dinámico. En este post usaremos estático por simplificar pero solo quede anotado que AWS usa BGP como protocolo de routing dinámico.

  • Seguimos en AWS, ya solo nos queda configurar los túneles VPN. Los pasos son:
    • Seleccionar la región à VPC à desde el menú lateral seleccionar “VPN Connection” -> Create New -> Parámetros:
      • Virtual Private Gateway y Customer Gateway ID: Seleccionar los objetos creados en el primer y segundo paso respectivamente.
      • Routing Options à Estático
      • En el campo IP Prefix , configura el CIDR de las redes que hay detrás del FG del DC.

Habrás podido observar que AWS siempre se generan dos túneles con IP’s publicas diferentes. Con la configuración de un túnel VPN entre AWS y FG es suficiente para funcionar, se trata de una cuestión de redundancia

  • Verás que seleccionando la VPN que acabas de crear, si haces click en el botón “Download Configuration”, podrás descargarte los comandos CLI para hacer lo propio en el FG del DC, junto con parámetros como las Preshared que AWS ha autogenerado para las VPN’s. Si haces click también en la pestaña “Tunnel Details”, verás las dos IP’s publicas que ha provisionado para este servicio VPN creado.
  • Ahora solo falta configurar las rutas estáticas en las routing tables de las subnets del VPC hacia el objeto VPN. Importante: revisa que los security groups aplicados permiten el acceso IN/OUT a las instancias que quieras permitir.

Notas importantes de carácter general de AWS VPN respecto a las parámetros VPN IPsec de Phase1 y 2 (estos parámetros pueden cambiar con el tiempo y son AWS quien los gestiona):

    • Los parámetros VPN IPSec NO se pueden modificar y no hay otros disponibles en AWS.
    • Autenticación por PSK (no configurable).
    • Internet Key Exchange versión 2 (IKEv2).
    • NAT transversal.
    • ASN de cuatro bytes (además de ASN de dos bytes).
    • Direcciones IP reutilizables para gateways de clientes.
    • Opciones de cifrado adicionales que incluyen cifrado AES de 256 bits, hash SHA-2 y grupos adicionales Diffie-Hellman.

2. En el equipo FG del DC:

Recuerda que tienes disponible los parámetros de la VPN necesarios y donde quizás solo hayas de cambiar algunos parámetros como el source port y los CIDR. Para su configuración no entraremos en detalle de cómo configurar esta VPN porque no difiere de una VPN IPsec convencional, solo identificar que los pasos generales son:

      • Generar al menos una de las dos VPNs (una por cada IP Publica que ha dado AWS).
      • Crear las rutas estáticas cogiendo como Outgoing interface la VPN creada.
      • Aplicar las políticas de seguridad correspondientes.

3. Comprueba el estado de los túneles:

  • En FG se trata de una VPN más que podrás ver su estado desde Monitor à IPSec VPN. Los comandos CLI de debug habituales son:

diagnose debug application ike -1

diagnose debug enable

  • Desde AWS, simplemente esta la opción de seleccionar la VPN Connection creada y ver su status desde la pestaña “Tunnel Details”.
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *