Como posso criar uma VPN baseada em roteamento dinâmico usando um firewall Palo Alto e uma AWS VPN?

Resolução

Pré-requisitos

Você deve ter uma nuvem privada virtual (VPC) com um IP-CIDR que não se sobreponha à rede local. Essa VPC deve estar associada a um gateway privado virtual (VGW) ou conectada a um gateway de trânsito (TGW).

Configuração da AWS

1.    Crie um gateway do cliente (CGW). Ao criar o CGW, você pode fornecer o número do seu sistema autônomo (número AS) ou escolher a opção padrão. Quando você escolhe o padrão, a AWS fornece um número AS para o seu CGW.

2.    Crie uma VPN site a site. Em Gateway, escolha VGW ou TGW e, para Opções de roteamento, escolha Dinâmico.

3.    Faça o download do arquivo de configuração do Console de Gerenciamento da AWS.

O arquivo de configuração fornece o seguinte:

• IP público da AWS e chave pré-compartilhada
• Configuração de endereço IP e de MTU para sua interface de túnel Palo Alto
• Configuração do Protocolo de Gateway da Borda (BGP) e IP do BGP a serem configurados no firewall Palo Alto

Configuração do Palo Alto

Palo Alto fornece firewalls de próxima geração que têm suporte a VPN baseada em rotas, por padrão. Portanto, ao criar uma VPN entre Palo Alto e AWS, você não precisa de IDs de proxy.

Observação: as seguintes configurações de criptografia, grupo DH e autenticação permanecem as mesmas para criptografia IKE e criptografia IPSEC. A vida útil das configurações de fase 1 e fase 2 é de 8 horas e 1 hora, por padrão.

• Criptografia: AES-256-GCM
• Grupo DH: 20
• Autenticação: SHA-384

1.    Crie o perfil de criptografia IKE usando o algoritmo acima.

2.    Crie o perfil de criptografia IPsec usando o algoritmo acima.

3.    Crie a interface do túnel. Para IPv4, forneça o IP da interface do túnel. Você pode encontrar isso na seção 3 do arquivo de configuração que você baixou do Console de Gerenciamento da AWS. Em Avançado, defina MTU de 1427.

4.    Crie o gateway IKE usando as seguintes configurações:

• Em Versão, escolha Somente IKEv2 e em Autenticação, escolha chave pré-compartilhada.
• Na seção avançada, verifique se NAT Traversal está ativado.
• Escolha o perfil de criptografia IKE que você criou na etapa 1.
• Ative a verificação de vivacidade em um intervalo de 5 segundos.

5.    Na guia Rede, escolha Túneis IPsec e crie o túnel IPsec. Escolha a interface do túnel e o gateway IKE que você criou na etapa anterior.

6.    Confirme as alterações. Depois que isso for concluído, acesse SSH do firewall e execute os seguintes comandos para iniciar a negociação da VPN:

test vpn ike-sa gateway <IKE-Gateway-Name>

test vpn ipsec-sa tunnel <IPsec-Tunnel-Name>

Na interface GUI, em Túneis IPsec, o status agora é verde.

Configurar o roteamento BGP como Palo Alto

Observação: a AWS VPN não tem suporte à reinicialização normal e à detecção de encaminhamento bidirecional (BFD).

Primeiro, crie o perfil de redistribuição. Em seguida, configure o BGP usando estas configurações:

1.    Na guia Geral, escolha a caixa de seleção para ativar o BGP.

2.    Adicione uma ID de roteador e insira o número AS do Palo Alto.

3.    Na guia Grupo de pares, escolha Criar um novo grupo de pares.

4.    Em Par de AS, insira o número AS da AWS. Em Endereço do par, insira o IP do AWS BGP. Você pode encontrar esses dois números na seção 4 do arquivo de configuração que você baixou anteriormente do Console de Gerenciamento da AWS.

4.    Nas Opções de conexão, em Intervalo de manutenção da atividade, escolha 10 segundos. Em Tempo de espera, escolha 30 segundos.

5.    Escolha a guia Regras do R****edist e, em seguida, crie uma regra redist. Em Nome, escolha o perfil de redistribuição que você criou anteriormente. Em seguida, escolha Confirmar alterações.

Então, verifique se o BGP está estabelecido.

1.    Escolha a guia Rede e escolha Roteador virtual.

2.    Escolha Mais estatísticas de tempo de execução e, em seguida, escolha BGP. Em Par, verifique se o status foi estabelecido.

Informações relacionadas

Como faço o download de exemplos de arquivos de configuração da AWS Site-to-Site VPN?