Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Crear una AWS Site-to-Site VPN conexión
Puedes crear conexiones Site-to-Site VPN que se conecten a pasarelas de tránsito o a redes globales de Cloud WAN. Ambos tipos de adjuntos admiten IPv6 protocolos IPv4 y, si lo desea, puede utilizar concentradores Site-to-Site VPN para conectar varios sitios remotos de forma rentable.
## Cree una conexión VPN mediante la consola
**Para crear una conexión VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.
1. Elija **Create VPN Connection** (Crear conexión VPN).
1. (Opcional) En **Etiqueta de nombre**, escriba el nombre de la conexión. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.
1. En el **tipo de puerta de enlace de destino**, elija una de las siguientes opciones:
+ **Puerta de enlace privada virtual**: cree una nueva conexión VPN de puerta de enlace privada virtual eligiendo una **puerta de enlace privada virtual** existente.
+ **Puerta de enlace de tránsito**: cree una nueva conexión VPN de puerta de enlace de tránsito eligiendo una **puerta de enlace de tránsito** existente. Para obtener más información acerca de cómo crear una gateway de tránsito, consulte [Gateways de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en *Gateways de tránsito de Amazon VPC*.
+ **Site-to-Site Concentrador VPN**: cree una nueva conexión de concentrador Site-to-Site VPN utilizando un concentrador Site-to-Site VPN existente o creando uno nuevo. Seleccione una de las siguientes opciones:
+ **Existente**: cree una nueva conexión Site-to-Site VPN con un concentrador VPN utilizando un concentrador existente.
+ **Nuevo**: introduzca un nombre opcional para el concentrador Site-to-Site VPN y, a continuación, elija la pasarela de tránsito para asociarlo.
+ **No asociada**: crea una conexión VPN independiente que luego se pueda asociar a Cloud WAN a través de la consola o la API de Network Manager. Para obtener más información sobre los adjuntos de VPN y Cloud WAN, consulta los [adjuntos de Site-to-site VPN en AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) en la *Guía del usuario de AWS Cloud WAN*.
1. En **Customer gateway** (Puerta de enlace de cliente), realice alguna de las siguientes operaciones:
+ Para utilizar una puerta de enlace de cliente existente, elija **Existente** y, a continuación, elija **ID de puerta de enlace de cliente**.
+ Para crear una nueva pasarela de clientes, selecciona **Nueva** y, a continuación, haz lo siguiente:
+ Para la **dirección IP**, introduzca una **IPv6**dirección estática **IPv4**o.
+ En **ARN de certificado**, elija el ARN de su certificado privado (si utiliza autenticación basada en certificados).
+ En **BGP ASN**, escriba el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) de la gateway de cliente. Para obtener más información, consulte [Opciones de gateway de cliente](cgw-options.md).
1. En **Opciones de enrutamiento**, elija **Dinámico (requiere BGP)** o **Estático**.
**nota**
Las conexiones VPN WAN en la nube y las conexiones VPN que utilizan concentradores solo admiten el enrutamiento BGP. El enrutamiento estático no es compatible con estos tipos de conexión.
1. En **Almacenamiento de claves compartidas previamente**, elija **Estándar** o **Secrets Manager**. La selección predeterminada es **Estándar**. Para obtener más información acerca del uso de AWS Secrets Manager, consulte [Seguridad](security.md).
1. Para la **versión Tunnel inside IP**, elija **IPv4**o **IPv6**.
1. (Opcional) En **Habilitar aceleración**, seleccione la casilla de verificación para habilitar la aceleración. Para obtener más información, consulte [Conexiones de VPN aceleradas](accelerated-vpn.md).
Si habilita la aceleración, creamos dos aceleradores que utilizan su conexión de VPN. Se aplican cargos adicionales de .
1. (Opcional) Según qué túnel de la versión de IP haya elegido, realice una de las siguientes operaciones:
+ IPv4 — Para el **CIDR de IPv4 red local**, especifique el rango de IPv4 CIDR en la puerta de enlace del cliente (local) que puede comunicarse a través de los túneles de la VPN. Para el **CIDR IPv4 de red remota**, elija el rango de CIDR en el AWS lado que puede comunicarse a través de los túneles de la VPN. El valor predeterminado de ambos campos es `0.0.0.0/0`.
+ IPv6 — Para el **CIDR de IPv6 red local**, especifique el rango de IPv6 CIDR en la puerta de enlace del cliente (local) que puede comunicarse a través de los túneles VPN. Para el **CIDR IPv6 de red remota**, elija el rango de CIDR en el AWS lado que puede comunicarse a través de los túneles de la VPN. El valor predeterminado de ambos campos es `::/0`
1. En **Tipo de dirección IP externa**, elija una de las siguientes opciones:
+ **Público IPv4**: (predeterminado) Usa IPv4 direcciones para el túnel exterior. IPs
+ **Privado IPv4**: utilice una IPv4 dirección privada para utilizarla en redes privadas.
+ **IPv6**- Usa IPv6 las direcciones del túnel exterior IPs. Esta opción requiere que el dispositivo de pasarela de clientes sea compatible con el IPv6 direccionamiento.
**nota**
Si selecciona el tipo **IPv6**de dirección IP externa, debe crear una pasarela de clientes con una IPv6 dirección
1. (Opcional) En **Opciones de túnel 1**, puede especificar la siguiente información para cada túnel:
+ Un bloque IPv4 CIDR de tamaño /30 del `169.254.0.0/16` rango de las direcciones del túnel IPv4 interior.
+ Si especificó **IPv6**para la **versión Tunnel inside IP**, un bloque IPv6 CIDR /126 del `fd00::/8` rango para las direcciones del túnel interno. IPv6
+ La clave previamente compartida de IKE (PSK). Se admiten las siguientes versiones: IKEv1 o. IKEv2
+ Para editar las opciones avanzadas del túnel, seleccione **Editar opciones de túnel**. Para obtener más información, consulte [Opciones de túnel de VPN](VPNTunnels.md).
+ (Opcional) Seleccione **Activar** en el **registro de actividad del túnel** para capturar los mensajes de registro de IPsec la actividad y los mensajes del protocolo DPD.
+ (Opcional) Seleccione **Activar** para **Ciclo de vida de puntos de conexión de túnel** para controlar la programación de sustituciones de puntos de conexión. Para obtener más información sobre el ciclo de vida de un punto de conexión, consulte [Ciclo de vida del punto de conexión del túnel](tunnel-endpoint-lifecycle.md).
1. (Opcional) Elija **Opciones de túnel 2** y siga los pasos anteriores para configurar un segundo túnel.
1. Elija **Create VPN Connection** (Crear conexión VPN).
# Cree una conexión de pasarela de AWS Site-to-Site VPN tránsito mediante la CLI o la API
## Cree una conexión VPN a Transit Gateway mediante la CLI
Usa el [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)comando y especifica el ID de la pasarela de tránsito para la `--transit-gateway-id` opción.
El siguiente ejemplo muestra la creación de una conexión VPN con un túnel IPv6 exterior IPs y un túnel IPv6 interior IPs:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Ejemplo de respuesta:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## Cree una conexión VPN a Transit Gateway mediante la API
Puede crear una conexión VPN mediante la API de Amazon EC2. En esta sección se proporcionan ejemplos de mensajes de solicitud y respuesta para crear una conexión VPN de Transit Gateway mediante la API.
### Requisitos previos
Antes de crear una conexión VPN mediante la API, asegúrate de tener:
+ Se ha creado y está disponible una pasarela de tránsito
+ Una pasarela de clientes configurada con los detalles de su dispositivo local
En el siguiente ejemplo, se muestra cómo crear una conexión VPN mediante la acción de la `CreateVpnConnection` API:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
En este ejemplo, se crea una conexión VPN con enrutamiento dinámico (BGP) entre la puerta de enlace de tránsito especificada y la puerta de enlace del cliente.
Si la API responde correctamente, se muestran los detalles de la conexión VPN:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
La respuesta incluye el ID de la conexión VPN, el estado actual y los detalles de configuración. La conexión estará inicialmente en estado «pendiente» mientras AWS aprovisiona los túneles de la VPN.
# Crea una conexión WAN a AWS Site-to-Site VPN la nube mediante la CLI o la API
Puedes crear una conexión Site-to-Site VPN entre tu WAN local y la de AWS Cloud siguiendo el procedimiento que se indica a continuación. Para obtener más información, consulta los [archivos adjuntos de Site-to-site VPN en AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) en la *Guía del usuario de AWS Cloud WAN*.
## Crea una conexión VPN a Cloud WAN mediante la CLI
Usa el [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)comando para crear una conexión VPN que luego se conectará a una red global de Cloud WAN. Esto crea una conexión VPN independiente que, posteriormente, se puede asociar a Cloud WAN a través de la consola o la API de Network Manager.
**Requisitos previos**
Antes de crear una conexión VPN de Cloud WAN, asegúrate de tener lo siguiente:
+ `customer-gateway-id`- Un recurso de pasarela de cliente existente (`cgw-xxxxxxxxx`) que represente tu dispositivo VPN local.
+ **Red global WAN en** la nube: se debe crear y configurar una red global WAN en la nube con los segmentos de red adecuados.
+ **Configuración BGP**: las conexiones VPN WAN en la nube requieren el enrutamiento BGP; no se admite el enrutamiento estático. Debe configurar el `StaticRoutesOnly=false` parámetro options
Este comando crea una conexión VPN sin especificar una puerta de enlace de destino. La conexión estará desconectada y, posteriormente, se podrá asociar a tu red global de Cloud WAN a través de la consola o la API de Network Manager. La `StaticRoutesOnly=false` opción habilita el enrutamiento BGP, que es obligatorio para los archivos adjuntos a la VPN de Cloud WAN, ya que no se admite el enrutamiento estático.
En el siguiente ejemplo, se crea una conexión VPN independiente para Cloud WAN:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
La respuesta devuelve lo siguiente:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
Tras crear la conexión VPN, puedes conectarla a tu red global de Cloud WAN mediante la consola de Network Manager o la llamada a la `create-site-to-site-vpn-attachment` API.
## Crea una conexión VPN Cloud WAN mediante la API
Puede usar la API de EC2 para crear una conexión VPN para la integración de Cloud WAN. Esto implica realizar una llamada a la `CreateVpnConnection` API que cree una conexión VPN independiente, que luego se puede asociar a tu red global de Cloud WAN.
La solicitud de API crea una conexión VPN sin especificar una puerta de enlace de destino, lo que la deja en un estado desconectado que está lista para la integración de Cloud WAN. La conexión usa el enrutamiento BGP, que es obligatorio para los archivos adjuntos de la VPN de Cloud WAN.
En el siguiente ejemplo, se muestra la solicitud HTTP para crear una conexión VPN de Cloud WAN:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
La API devuelve una respuesta correcta que contiene los detalles de la conexión VPN. La conexión estará en un `pending` estado inicial mientras se AWS aprovisiona los túneles de la VPN, momento en el que el estado cambiará a`available`.
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**Detalles de la respuesta**
La respuesta de la API proporciona la siguiente información clave:
+ **vpnConnectionId**- El identificador único de tu conexión VPN (por ejemplo,`vpn-0abcdef1234567890`) que utilizarás para conectarla a Cloud WAN
+ **estado**: inicialmente «pendiente», mientras que AWS aprovisiona los túneles de la VPN, luego pasa a «disponible» cuando está listo para su adjunto
+ **categoría**: muestra «VPN», lo que indica que se trata de una conexión VPN no conectada adecuada para la integración con una WAN en la nube
+ **staticRoutesOnly**- Configúrelo en «false» para habilitar el enrutamiento BGP, que es obligatorio para los archivos adjuntos a la VPN de Cloud WAN
Una vez que la conexión VPN alcance el estado «disponible», puedes conectarla a tu red global de Cloud WAN mediante la `CreateSiteToSiteVpnAttachment` API de Network Manager o a través de la consola de AWS.
# Cree una conexión de AWS Site-to-Site VPN Concentrator mediante la CLI o la API
## Cree una conexión de concentrador Site-to-Site VPN mediante la CLI
Después de crear un concentrador de Site-to-Site VPN, debe establecer conexiones VPN individuales desde sus sitios remotos al concentrador de Site-to-Site VPN. Cada sitio remoto requiere su propia conexión VPN que haga referencia al ID del Site-to-Site concentrador VPN. Esto permite que varios sitios remotos compartan la misma infraestructura de concentrador de Site-to-Site VPN y, al mismo tiempo, mantienen túneles separados y seguros para cada sitio.
Para establecer una conexión VPN mediante un concentrador de Site-to-Site VPN, especifique el concentrador de Site-to-Site VPN en lugar de la puerta de enlace de tránsito al crear la conexión de VPN. El siguiente ejemplo crea una conexión VPN mediante un concentrador Site-to-Site VPN:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
Una respuesta correcta devuelve lo siguiente:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## Cree una conexión de Site-to-Site VPN Concentrator mediante la API
Puede crear una conexión VPN que utilice un concentrador de Site-to-Site VPN mediante la API Amazon EC2. En esta sección se proporcionan ejemplos de mensajes de solicitud y respuesta para crear una conexión VPN con un concentrador Site-to-Site VPN.
Antes de crear una conexión VPN con un concentrador de Site-to-Site VPN mediante la API, asegúrese de tener:
+ Se ha creado y está disponible un concentrador de Site-to-Site VPN
+ Una pasarela de cliente configurada para su sitio remoto
+ Configuración de red que permite IPsec el tráfico entre su sitio y AWS
El siguiente ejemplo muestra cómo crear una conexión VPN mediante un concentrador de Site-to-Site VPN con la acción de la `CreateVpnConnection` API:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
En este ejemplo, se crea una conexión VPN entre el concentrador de Site-to-Site VPN especificado y la puerta de enlace del cliente. El concentrador Site-to-Site VPN actúa como punto final AWS lateral, lo que permite que varios sitios remotos se conecten a través de un concentrador centralizado.
Si la API responde correctamente, se muestran los detalles de la conexión VPN junto con la información del concentrador Site-to-Site VPN:
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
La respuesta incluye el ID de conexión VPN y hace referencia al ID del concentrador Site-to-Site VPN en lugar de a un ID de pasarela de tránsito. Esta conexión permite que su sitio remoto se comunique con otros sitios conectados al mismo concentrador Site-to-Site VPN, lo que habilita las topologías de hub-and-spoke red.
# Ver AWS Site-to-Site VPN conexiones
## Vea las conexiones VPN mediante la consola
Puede ver sus conexiones VPN y sus detalles mediante la consola de administración de AWS. Esto proporciona una interfaz visual para monitorear el estado de la conexión, el estado del túnel y los detalles de configuración.
**Para ver las conexiones VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Site-to-Site VPN Connections**.
1. Seleccione su conexión VPN para ver información detallada, que incluye:
+ Estado y estado de la conexión
+ Detalles y estado de salud del túnel
+ Información sobre la ruta
+ Parámetros de configuración
La consola muestra información de estado en tiempo real y le permite monitorear la conectividad del túnel, ver las tablas de enrutamiento y acceder a los detalles de configuración para solucionar problemas.
## Vea las conexiones VPN mediante la CLI
Utilice la AWS CLI para consultar y recuperar información detallada sobre sus conexiones de VPN mediante programación. Este método permite la automatización, la creación de scripts y la integración con las herramientas de monitoreo.
Para consultar todas las conexiones VPN de su cuenta y región de AWS actuales, ejecute el `describe-vpn-connections` comando sin parámetros. Sin embargo, si desea ver los detalles de una conexión VPN concreta, necesitará saber el identificador de la conexión VPN.
Para obtener información detallada de una conexión VPN específica, especifique el ID de conexión como parámetro. El siguiente ejemplo muestra una solicitud para ver los detalles de una conexión VPN específica.
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
La respuesta incluye información completa sobre la conexión VPN, incluidas las opciones de túnel, los detalles de enrutamiento y el estado actual.
+ `State`- El estado actual de la conexión VPN
+ `TunnelOptions`- Configuración y estado de cada túnel
+ `OutsideIpAddress`- Las direcciones IP públicas de los túneles VPN
+ `Routes`- Información de enrutamiento de la conexión
Ejemplo de extracto de respuesta que muestra los detalles clave de la conexión:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## Vea las conexiones VPN mediante la API
Realiza llamadas directas a la API al EC2 servicio de Amazon para recuperar la información de conexión de la VPN. Este enfoque proporciona la máxima flexibilidad para aplicaciones personalizadas e integraciones programáticas.
La acción de la `DescribeVpnConnections` API consulta y devuelve información detallada sobre una o más conexiones VPN. Puede aplicar filtros por ID de conexión, estado u otros atributos para limitar los resultados.
A continuación, se muestra un ejemplo de solicitud para proporcionar detalles sobre una única conexión VPN.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
La respuesta devuelve detalles sobre esa conexión VPN.
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```