CONFIGURACIÓN DE CONEXIÓN VPN CON CLIENTES


¿Qué es una conexión VPN site-to-site?

Una VPN (Virtual Private Network) es una red privada entre dos firewalls en diferentes ubicaciones geográficas que permite la comunicación segura entre las máquinas que se encuentren dentro de las redes permitidas en ambos lados de la conexión.

VPN Site-to-Site

¿Cuándo se necesita una VPN?

Se necesita una conexión VPN cuando se deben ejecutar pruebas en aplicaciones (Endpoints) que están en el área privada de la infraestructura de nuestros clientes, es decir, aplicaciones que no están expuestas a internet para acceso público.

¿Qué se necesita para crear una VPN site-to-site?

  • Dirección IP del cliente que se usará como puerta de acceso a su infraestructura. Ejemplo: 142.251.135.165.
  • Segmentos de red del lado del cliente donde estarán las máquinas que se accederán desde los scripts de los escenarios.
  • Parámetros de los túneles
    En AWS, cada VPN crea 2 túneles. Para cada uno de ellos se necesita:

    Phase 1 encryption algorithms AES128, AES256, AES128-GCM-16, AES256-GCM-16
    Phase 1 integrity algorithms SHA1, SHA2-256, SHA2-384, SHA2-512
    Phase 1 DH group numbers 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
    Phase 1 lifetime
    Phase 2 encryption algorithms AES128, AES256, AES128-GCM-16, AES256-GCM-16
    Phase 2 integrity algorithms SHA1, SHA2-256, SHA2-384, SHA2-512
    Phase 2 DH group numbers 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24
    Phase 2 lifetime
    IKE version ikev1, ikev2
    DPD timeout

IMPORTANTE: Los Segmentos de red del lado del cliente deben ser únicos, es decir, no pueden haber sido configurados para otra VPN de otro cliente.

¿Cómo crear una VPN en AWS?

El proceso de creación de una vpn site-to-site se describe en detalle aquí. Es muy importante tener en cuenta los siguientes aspectos:

  1. El Customer gateway (puerta de enlace) se crea utilizando la Dirección IP del cliente.
  2. En routing options, seleccionar Static
  3. Actualizar la tabla de enrutamiento de la VPC según el rango de IPs privadas del lado del cliente. Se debe mapear al virtual private gateway de la VPC donde están los generadores de carga.
  4. Adicionar a las rutas estáticas de la VPN los segmentos de red del lado del cliente