¿Cómo puedo crear una VPN basada en el enrutamiento dinámico con un firewall de Palo-Alto y una VPN de AWS?

Resolución

Requisitos previos

Debe tener una nube virtual privada (VPC) con un IP-CIDR que no se superponga con la red local. Esta VPC debe estar asociada a una puerta de enlace privada virtual (VGW) o conectada a una puerta de enlace de tránsito (TGW).

Configuración de AWS

1.    Cree una puerta de enlace de cliente (CGW). Al crear la CGW, puede proporcionar su número de sistema autónomo (número AS) o elegir la opción predeterminada. Si elige la opción predeterminada, AWS proporciona un número AS para la CGW.

2.    Cree una Site-to-Site VPN. En Puerta de enlace, elija VGW o TGW y en Opciones de enrutamiento, elija Dinámico.

3.    Descargue el archivo de configuración de la Consola de administración de AWS.

El archivo de configuración proporciona lo siguiente:

• IP pública de AWS y clave compartida previamente
• Configuración de dirección IP y MTU para la interfaz de túnel de Palo-Alto
• Configuración del protocolo de puerta de enlace fronteriza (BGP) e IP del BGP para el firewall de Palo-Alto

Configuración de Palo-Alto

Palo-Alto proporciona firewalls de última generación que admiten VPN basada en rutas, de forma predeterminada. Por lo tanto, al crear una VPN entre Palo-Alto y AWS, no necesita identificadores de proxy.

Nota: Las siguientes configuraciones de cifrado, grupo DH y autenticación siguen siendo las mismas tanto para IKE-Crypto como para IPsec-Crypto. La duración de los ajustes de la fase 1 y fase 2 es de 8 horas y 1 hora, de forma predeterminada.

• Cifrado: AES-256-GCM
• Grupo DH: 20
• Autenticación: SHA-384

1.    Cree el perfil IKE-Crypto con el algoritmo anterior.

2.    Cree el perfil IPsec-Crypto con el algoritmo anterior.

3.    Cree la interfaz de túnel. Para IPv4, proporcione la IP de la interfaz de túnel. La encontrará en la sección 3 del archivo de configuración que ha descargado de la Consola de administración de AWS. En Avanzado, defina una MTU de 1427.

4.    Cree la puerta de enlace de IKE con la siguiente configuración:

• En Versión, elija Solo IKEv2 y en Autenticación, elija clave compartida previamente.
• En la sección avanzada, asegúrese de que el NAT traversal esté activado.
• Elija el perfil IKE-Crypto que ha creado en el paso 1.
• Active la comprobación de conectividad con un intervalo de 5 segundos.

5.    En la pestaña Red, seleccione Túneles IPSec y, a continuación, cree el túnel IPSec. Elija la interfaz de túnel y la puerta de enlace de IKE que ha creado en el paso anterior.

6.    Confirme los cambios. Una vez completado este proceso, acceda por SSH al firewall y, a continuación, ejecute los siguientes comandos para iniciar la negociación de la VPN:

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

En la interfaz GUI, en Túneles IPSec, el estado ahora es verde.

Configurar el enrutamiento del BGP como Palo-Alto

Nota: La VPN de AWS no admite el reinicio estable ni la Detección de reenvío bidireccional (BFD).

Primero, cree el perfil de redistribución. A continuación, configure el BGP con la siguiente configuración:

1.    En la pestaña General, seleccione la casilla para activar el BGP.

2.    Añada un ID de enrutador e introduzca el Número AS de Palo-Alto.

3.    En la pestaña Grupo de pares, selecciona Crear un nuevo grupo de pares.

4.    En AS de par, introduzca el número AS de AWS. En Dirección de par, introduzca la IP del BGP de AWS. Encontrará estos dos números en la sección 4 del archivo de configuración que ha descargado antes de la Consola de administración de AWS.

4.    En Opciones de conexión, para el intervalo de mantenimiento de conexión, elija 10 segundos. En Tiempo de espera, elija 30 segundos.

5.    Seleccione la pestaña Reglas de redistribución y, a continuación, cree una. En Nombre, elija el perfil de redistribución que ha creado antes. A continuación, seleccione Confirmar cambios.

Después, compruebe que el BGP esté establecido.

1.    Elija la pestaña Red y, a continuación, Enrutador virtual.

2.    Elija Más estadísticas de tiempo de ejecución y, a continuación, BGP. En Par, compruebe que el estado sea Establecido.

Información relacionada

¿Cómo puedo descargar ejemplos de archivos de configuración de AWS Site-to-Site VPN?