Je souhaite créer un réseau privé virtuel AWS (VPN AWS) dynamique entre AWS et un pare-feu Palo-Alto.
Résolution
Prérequis
Vous devez disposer d’un cloud privé virtuel (VPC) avec une adresse IP-CIDR qui ne chevauche pas le réseau sur site. Ce VPC doit être associé à une passerelle privée virtuelle (VGW) ou rattaché à une passerelle de transit (TGW).
Configuration AWS
1. Créez une passerelle client (CGW). Lorsque vous créez la CGW, vous pouvez soit fournir votre numéro de système autonome (numéro AS), soit choisir l’option par défaut. Lorsque vous choisissez l’option par défaut, AWS fournit un numéro AS pour votre CGW.
2. Créez un VPN de site à site. Pour Passerelle, choisissez VGW ou TGW, et pour les Options de routage, choisissez Dynamique.
3. Téléchargez le fichier de configuration depuis la Console de gestion AWS.
Le fichier de configuration fournit les éléments suivants :
- Adresse IP publique AWS et clé pré-partagée
- Adresse IP et configuration MTU pour votre interface de tunnel Palo-Alto
- Configuration du protocole de passerelle frontière (BGP) et adresse IP BGP à configurer dans le pare-feu Palo-Alto
Configuration Palo-Alto
Palo-Alto fournit des pare-feux de nouvelle génération qui prennent en charge les VPN basés sur le routage, par défaut. Ainsi, lorsque vous créez un VPN entre Palo-Alto et AWS, vous n’avez pas besoin d’ID proxy.
Remarque : les paramètres de chiffrement, de groupe DH et d’authentification suivants restent les mêmes pour IKE-Crypto et IPSec-Crypto. La durée de vie des paramètres de phase 1 et de phase 2 est de 8 heures et 1 heure, par défaut.
- Chiffrement : AES-256-GCM
- Groupe DH : 20
- Authentification : SHA-384
1. Créez le profil IKE-Crypto à l’aide de l’algorithme ci-dessus.
2. Créez le profil IPSec-Crypto à l’aide de l’algorithme ci-dessus.
3. Créez l’interface du tunnel. Pour IPv4, indiquez l’adresse IP de l’interface du tunnel. Vous pouvez le trouver dans la section 3 du fichier de configuration que vous avez téléchargé depuis la Console de gestion AWS. Sous Avancé, définissez un MTU DE 1427.
4. Créez la passerelle IKE à l’aide des configurations suivantes :
- Pour Version, choisissez IKEv2 uniquement, et pour Authentification, choisissez la clé pré-partagée.
- Dans la section avancée, assurez-vous que NAT Traversal est activé.
- Choisissez le profil IKE-Crypto que vous avez créé à l’étape 1.
- Activez le contrôle de la durée de vie à intervalles de 5 secondes.
5. Dans l’onglet Réseau, choisissez Tunnels IPsec, puis créez le tunnel IPsec. Choisissez l’interface Tunnel et la passerelle IKE que vous avez créées à l’étape précédente.
6. Validez les modifications. Une fois cette opération terminée, accédez au pare-feu par SSH, puis exécutez les commandes suivantes pour démarrer la négociation VPN :
test vpn ike-sa gateway <IKE-Gateway-Name>
test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>
Sur l’interface graphique, sous Tunnels IPsec, le statut est désormais vert.
Configurer le routage BGP en tant que Palo-Alto
Remarque : le VPN AWS ne prend pas en charge le redémarrage progressif et la Détection du transfert bidirectionnel (BFD).
Tout d’abord, créez le profil de redistribution. Ensuite, configurez le BGP à l’aide de ces paramètres :
1. Dans l’onglet Général, cochez la case pour activer le BGP.
2. Ajoutez un ID de routeur et entrez le numéro AS Palo-Alto.
3. Dans l’onglet Groupe de pairs, choisissez Créer un nouveau groupe de pairs.
4. Pour AS pair, entrez le numéro AS AWS. Pour Adresse pair, entrez l’adresse IP BGP AWS. Vous trouverez ces deux numéros dans la section 4 du fichier de configuration que vous avez précédemment téléchargé depuis la Console de gestion AWS.
4. Dans Options de connexion, pour Intervalle keep-alive, choisissez 10 secondes. Pour Durée d’attente, choisissez 30 secondes.
5. Choisissez l’onglet Règles de R****edist, puis créez une règle de redist. Pour Nom, choisissez le profil de redistribution que vous avez créé précédemment. Choisissez ensuite Valider les modifications.
Ensuite, vérifiez que le BGP est établi.
1. Choisissez l’onglet Réseau, puis choisissez Routeur virtuel.
2. Choisissez Plus de statistiques d’exécution, puis choisissez BGP. Dans Pair, vérifiez que le statut est établi.
Informations connexes
Comment télécharger des exemples de fichiers de configuration AWS Site-to-Site VPN ?