Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Archivos de configuración estáticos y dinámicos para un dispositivo de puerta de enlace del cliente AWS Site-to-Site VPN
<a name="example-configuration-files"></a>

Después de crear la conexión de VPN, también tiene la opción de descargar un proporcionado por AWS el archivo de configuración de ejemplo desde la consola de Amazon VPC o mediante la API de EC2. Para obtener más información, consulte [Paso 6: Descargar el archivo de configuración](SetUpVPNConnections.md#vpn-download-config). También puede descargar archivos .zip de configuraciones de ejemplo específicamente para enrutamiento estático frente a dinámico de estas páginas respectivas.

El archivo AWS de configuración de ejemplo proporcionado contiene información específica sobre su conexión VPN que puede utilizar para configurar su dispositivo de pasarela de cliente. Estos archivos de configuración específicos del dispositivo sólo están disponibles para los dispositivos que han sido probados por AWS. Si su dispositivo específico gateway de cliente no aparece en la lista, puede descargar un archivo de configuración genérico para empezar.

**importante**  
El archivo de configuración es solo un ejemplo y es posible que no coincida por completo con la configuración de conexión Site-to-Site VPN prevista. Especifica los requisitos mínimos para una conexión Site-to-Site VPN de AES128 SHA1, y Diffie-Hellman del grupo 2 en la mayoría de AWS las regiones, y de AES128 SHA2, y Diffie-Hellman del grupo 14 en las regiones. AWS GovCloud También especifica claves previamente compartidas para la autenticación. Debe modificar el archivo de configuración de ejemplo para aprovechar los algoritmos de seguridad adicionales, los grupos de Diffie-Hellman, los certificados privados y el tráfico. IPv6 

**nota**  
Estos archivos de configuración específicos del dispositivo se proporcionan con el máximo esfuerzo. AWS Si bien han sido probados por AWS, estas pruebas son limitadas. Si experimenta un problema con los archivos de configuración, es posible que deba contactar al proveedor específico para obtener asistencia adicional.

La siguiente tabla contiene una lista de dispositivos que tienen un archivo de configuración de ejemplo disponible para descargar que se ha actualizado para que sea compatible IKEv2. Hemos introducido la IKEv2 compatibilidad en los archivos de configuración para muchos dispositivos de pasarela de clientes populares y seguiremos añadiendo archivos adicionales con el tiempo. Esta lista se actualizará a medida que se agreguen más archivos de configuración de ejemplo.


| Proveedor | Plataforma | Software | 
| --- | --- | --- | 
|  AXGATE  |  NF  |  LAOS 3.2\$1  | 
|  PUERTA HEXAGONAL  |  UTM  |  LAOS 2.1\$1  | 
|  Punto de comprobación  |  Gaia  |  R80.10\$1  | 
|  Cisco Meraki  |  Serie MX  |  15.12\$1 (WebUI)  | 
|  Cisco Systems, Inc.  |  Serie ASA 5500  |  ASA 9.7\$1 VTI  | 
|  Cisco Systems, Inc.  |  CSRv AMI  |  IOS 12.4\$1  | 
|  Fortinet  |  Serie Fortigate 40\$1  |  ForTIOS 6.4.4\$1 (GUI)  | 
|  Juniper Networks, Inc.  |  Routers Serie J  |  JunOS 9.5\$1  | 
|  Juniper Networks, Inc.  |  Routers SRX  |  JunOS 11.0\$1  | 
|  Mikrotik  |  RouterOS  |  6.44.3  | 
|  Palo Alto Networks  |  Serie PA  |  PANOS 7.0\$1  | 
|  SonicWall  |  NSA, TZ  |  OS 6.5  | 
|  Sophos  |  Sophos Firewall  |  v19\$1  | 
|  Strongswan  |  Ubuntu 16.04  |  Strongswan 5.5.1\$1  | 
|  Yamaha  |  Routers RTX  |  Rev.10.01.16\$1  | 

# Archivos de configuración de enrutamiento estático descargables para un dispositivo de puerta de enlace del AWS Site-to-Site VPN cliente
<a name="cgw-static-routing-examples"></a>

Para descargar un archivo de configuración de muestra con valores específicos para la configuración de su conexión Site-to-Site VPN, utilice la consola Amazon VPC, la línea de AWS comandos o la API de Amazon EC2. Para obtener más información, consulte [Paso 6: Descargar el archivo de configuración](SetUpVPNConnections.md#vpn-download-config).

[También puede descargar archivos de configuración genéricos de ejemplo para el enrutamiento estático que no incluyen valores específicos de la configuración de su conexión Site-to-Site VPN: .zip static-routing-examples](samples/static-routing-examples.zip) 

Los archivos utilizan valores de marcadores de posición para algunos componentes. Por ejemplo, usan:
+ Valores de ejemplo para el ID de conexión de VPN, el ID de gateway de cliente y el ID de gateway privada virtual
+ Marcadores de posición para los AWS puntos finales de la dirección IP remota (externa) (y) *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
+ Un marcador de posición para la dirección IP de la interfaz externa enrutable a Internet del dispositivo de pasarela del cliente () *your-cgw-ip-address*
+ Un marcador de posición para el valor clave previamente compartido () pre-shared-key
+ Valores de ejemplo de direcciones IP interiores para el túnel.
+ Valores de muestra para la configuración de MTU.

**nota**  
La configuración de MTU proporcionada en los archivos de configuración de muestra son solo ejemplos. Consulte [Prácticas recomendadas para un dispositivo de pasarela de cliente AWS Site-to-Site VPN](cgw-best-practice.md) para obtener información sobre cómo establecer el valor de MTU óptimo para su situación.

Además de proporcionar valores de marcador de posición, los archivos especifican los requisitos mínimos para una conexión Site-to-Site VPN del grupo 2 de Diffie-Hellman en la mayoría de las regiones y AES128 SHA1, y del grupo 14 de Diffie-Hellman en AWS las regiones. AES128 SHA2 AWS GovCloud También se especifican claves previamente compartidas para la [autenticación](vpn-tunnel-authentication-options.md). Debe modificar el archivo de configuración de ejemplo para aprovechar los algoritmos de seguridad adicionales, los grupos de Diffie-Hellman, los certificados privados y el tráfico. IPv6 

En el siguiente diagrama se ofrece una descripción general de los diferentes componentes que se configuran en el dispositivo de gateway de cliente. Incluye valores de ejemplo para las direcciones IP de la interfaz del túnel.

![\[Dispositivo de gateway de cliente con direccionamiento estático\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/cgw-static-routing.png)


# Configure el enrutamiento estático para un dispositivo de puerta de enlace del cliente AWS Site-to-Site VPN
<a name="cgw-static-routing-example-interface"></a>

A continuación, se presentan algunos procedimientos de ejemplo para configurar un dispositivo de gateway de cliente a través de su interfaz de usuario (si está disponible).

------
#### [ Check Point ]

Los siguientes son los pasos para configurar su dispositivo de pasarela de clientes si su dispositivo es un dispositivo Check Point Security Gateway que ejecute R77.10 o superior y utilice el sistema operativo Gaia y Check Point. SmartDashboard También puede consultar el artículo de [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) en el Check Point Support Center.

**Para configurar la interfaz de túnel**

El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) de la gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice la información proporcionada en la sección `IPSec Tunnel #1` del archivo de configuración. Para crear el segundo túnel, utilice los valores proporcionados en la sección `IPSec Tunnel #2` del archivo de configuración. 

1. Abra el portal de Gaia de su dispositivo Check Point Security Gateway.

1. Elija **Network Interfaces**, **Add**, **VPN tunnel**.

1. En el cuadro de diálogo, configure los ajustes tal como se muestra y elija **OK** cuando haya terminado:
   + Para **VPN Tunnel ID**, escriba cualquier valor único, como 1.
   + Para **Peer**, escriba un nombre único para cada túnel, como `AWS_VPC_Tunnel_1` o `AWS_VPC_Tunnel_2`.
   + Asegúrese de que la opción **Numbered** (Numerado) esté seleccionada y, en **Local Address** (Dirección local), escriba la dirección IP especificada para `CGW Tunnel IP` en el archivo de configuración; por ejemplo: `169.254.44.234`. 
   + Para **Remote Address**, escriba la dirección IP especificada para `VGW Tunnel IP` en el archivo de configuración; por ejemplo: `169.254.44.233`.  
![\[Cuadro de diálogo Add VPN Tunnel (Agregar túnel de VPN) de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado, cambie a clish ejecutando el siguiente comando: `clish`.

1. Para el túnel 1, ejecute el siguiente comando:

   ```
   set interface vpnt1 mtu 1436
   ```

   Para el túnel 2, ejecute el siguiente comando:

   ```
   set interface vpnt2 mtu 1436
   ```

1. Repita estos pasos para crear un segundo túnel, utilizando la información de la sección `IPSec Tunnel #2` del archivo de configuración.

**Para configurar las rutas estáticas**

En este paso, debe especificar la ruta estática de la subred en la VPC para que cada túnel le permita enviar tráfico a través de las interfaces del túnel. El segundo túnel permite la conmutación por error en caso de que haya un problema con el primer túnel. Si se detecta un problema, la ruta estática basada en políticas se quitará de la tabla de ruteo y se activará la segunda ruta. También debe habilitar la gateway de Check Point para hacer ping al otro extremo del túnel y comprobar si el túnel está activo.

1. **En el portal de Gaia, seleccione **Rutas IPv4 estáticas** y añada.**

1. Especifique el CIDR de su subred; por ejemplo: `10.28.13.0/24`.

1. Elija **Add Gateway**, **IP Address**.

1. Escriba la dirección IP especificada para `VGW Tunnel IP` en el archivo de configuración (por ejemplo: `169.254.44.233`) y especifique una prioridad de 1.

1. Seleccione **Ping**.

1. Repita los pasos 3 y 4 para el segundo túnel, utilizando el valor `VGW Tunnel IP` de la sección `IPSec Tunnel #2` del archivo de configuración. Especifique una prioridad de 2.  
![\[Cuadro de diálogo Edit Destination Route (Editar ruta de destino) de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. Seleccione **Save**.

Si va a utilizar un clúster, repita los pasos anteriores para los demás miembros del clúster. 

**Para definir un nuevo objeto de red**

En este paso, creará un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador de posición para el dominio de VPN. 

1. Abre el punto SmartDashboard de control.

1. Para **Groups**, abra el menú contextual y elija **Groups**, **Simple Group**. Puede utilizar el mismo grupo para cada objeto de red.

1. Para **Network Objects**, abra el menú contextual (clic con el botón derecho) y elija **New**, **Interoperable Device**.

1. Para **Name** (Nombre), escriba el nombre que ha proporcionado para cada túnel, por ejemplo: `AWS_VPC_Tunnel_1` o `AWS_VPC_Tunnel_2`.

1. En **IPv4 Dirección**, introduzca la dirección IP externa de la puerta de enlace privada virtual proporcionada en el archivo de configuración, por ejemplo,`54.84.169.196`. Guarde la configuración y cierre el cuadro de diálogo.  
![\[Cuadro de diálogo Interoperable Device (Dispositivo interoperable) de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-network-device.png)

1. En SmartDashboard, abra las propiedades de la puerta de enlace y, en el panel de categorías, elija **Topología**. 

1. Para recuperar la configuración de la interfaz, elija **Get Topology**.

1. En la sección **VPN Domain** (Dominio de VPN), elija **Manually defined** (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione **Aceptar**.
**nota**  
Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante, asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPN no estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtiene automáticamente.

1. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección `IPSec Tunnel #2` del archivo de configuración.

**nota**  
Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster. Utilice las direcciones IP especificadas en el archivo de configuración. 

**Para crear y configurar la comunidad VPN, el IKE y los ajustes IPsec**

En este paso, creará una comunidad de VPN en su gateway de Check Point, a la que agregará los objetos de red (dispositivos interoperables) para cada túnel. También puede configurar el intercambio de claves de Internet (IKE) y los IPsec ajustes.

1. En las propiedades de la puerta de enlace, elija **IPSecVPN** en el panel de categorías.

1. Elija **Communities**, **New**, **Star Community**.

1. Proporcione un nombre para su comunidad (por ejemplo, `AWS_VPN_Star`) y, a continuación, elija **Center Gateways** en el panel Category.

1. Elija **Add** y agregue su gateway o clúster a la lista de gateways participantes.

1. En el panel Category (Categoría), elija **Satellite Gateways** (Gateways satélite), **Add** (Agregar), y luego agregue los dispositivos interoperables que creó anteriormente (`AWS_VPC_Tunnel_1` y `AWS_VPC_Tunnel_2`) a la lista de gateways participantes.

1. En el panel Category, elija **Encryption**. En la sección **Método de cifrado**, elija **IKEv1 solo**. En la sección **Encryption Suite**, elija **Custom**, **Custom Encryption**.

1. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija **OK** cuando haya terminado:
   + Propiedades de asociación de seguridad de IKE (fase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Propiedades de la asociación de seguridad (fase 2):
     + **Realice el cifrado IPsec de datos con**: AES-128
     + **Perform data integrity with**: SHA-1

1. En el panel Category, elija **Tunnel Management**. Elija **Set Permanent Tunnels**, **On all tunnels in the community**. En la sección **VPN Tunnel Sharing**, elija **One VPN tunnel per Gateway pair**.

1. En el panel Category, expanda **Advanced Settings** y elija **Shared Secret**.

1. Seleccione el nombre homólogo para el primer túnel, elija **Edit** (Editar) y escriba la clave previamente compartida según lo especificado en la sección `IPSec Tunnel #1` del archivo de configuración.

1. Seleccione el nombre homólogo para el segundo túnel, elija **Edit** (Editar) y escriba la clave previamente compartida según lo especificado en la sección `IPSec Tunnel #2` del archivo de configuración.  
![\[Cuadro de diálogo Interoperable Shared Secret (Secreto compartido interoperable) de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Aún en la categoría **Advanced Settings** (Configuración avanzada), elija **Advanced VPN Properties** (Propiedades avanzadas de VPN), configure las propiedades según se indica y elija **OK** (Aceptar) cuando haya terminado:
   + IKE (fase 1):
     + **Use Diffie-Hellman group** (Usar el grupo Diffie-Hellman): `Group 2`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Fase 2):
     + Elija **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group** (Usar el grupo Diffie-Hellman): `Group 2`
     + ****Renegocie las asociaciones de IPsec seguridad cada segundo `3600`****

**Para crear reglas de firewall**

En este paso, configurará una política con reglas de firewall y reglas de coincidencia direccional que permitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.

1. En el SmartDashboard, elija **Propiedades globales** para su puerta de enlace. En el panel Category, expanda **VPN** y elija **Advanced**.

1. Elija **Enable VPN Directional Match in VPN Column** y guarde los cambios.

1. En el SmartDashboard, elija **Firewall** y cree una política con las siguientes reglas: 
   + Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios. 
   + Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios.

1. Abra el menú contextual para la celda de la columna de VPN, y elija **Edit Cell**. 

1. En el cuadro de diálogo **VPN Match Conditions**, elija **Match traffic in this direction only**. Cree las siguientes reglas de coincidencia direccional; para ello, elija **Add** para cada una, y seleccione **OK** cuando haya terminado:
   + `internal_clear` > VPN community (Comunidad VPN) (la comunidad Star de VPN que creó antes; por ejemplo: `AWS_VPN_Star`)
   + VPN community > VPN community
   + Comunidad VPN > `internal_clear`

1. En el SmartDashboard, selecciona **Política** e **instala**. 

1. En el cuadro de diálogo, elija su gateway y seleccione **OK** para instalar la política.

**Para modificar la propiedad tunnel\$1keepalive\$1method**

Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad de AWS VPN (consulte el paso 8).

De forma predeterminada, la propiedad `tunnel_keepalive_method` de una gateway de VPN está configurada como `tunnel_test`. Debe cambiar el valor a `dpd`. Cada gateway de VPN de la comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedad `tunnel_keepalive_method`, incluida cualquier gateway de VPN de terceros. No puede configurar mecanismos de monitorización distintos para la misma gateway.

Puede actualizar la `tunnel_keepalive_method` propiedad mediante la DBedit herramienta GUI.

1. Abra el Check Point SmartDashboard y elija **Security Management Server**, **Domain Management Server**.

1. Elija **File**, **Database Revision Control...**, y cree una instantánea de revisión.

1. Cierre todas las SmartConsole ventanas, como el SmartDashboard SmartView Rastreador y el SmartView Monitor.

1. Inicie la BDedit herramienta GUI. Para obtener más información, consulte el artículo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009), en el centro de soporte técnico de Check Point. 

1. Elija **Security Management Server**, **Domain Management Server**.

1. En el panel superior izquierdo, elija **Table**, **Network Objects**, **network\$1objects**. 

1. En el panel superior derecho, seleccione el objeto de **Security Gateway**, **Cluster** correspondiente. 

1. Presione CTRL\$1F, o utilice el menú **Search** para buscar lo siguiente: `tunnel_keepalive_method`.

1. En el panel inferior, abra el menú contextual de `tunnel_keepalive_method` y seleccione **Edit... (Editar...)**. Elija **dpd** y luego **OK** (Aceptar).

1. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de AWS VPN.

1. Elija **File**, **Save All**.

1. Cierre la DBedit herramienta Gui.

1. Abra el Check Point SmartDashboard y elija **Security Management Server**, **Domain Management Server**.

1. Instale la política en el objeto **Security Gateway**, **Cluster** correspondiente.

Para obtener más información, consulte el artículo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746), en el centro de soporte técnico de Check Point.

**Para habilitar el bloqueo TCP MSS**

El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar la fragmentación de los paquetes.

1. Vaya al siguiente directorio: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Abra la herramienta Check Point Database ejecutando el archivo `GuiDBEdit.exe`.

1. Elija **Table**, **Global Properties**, **properties**.

1. Para `fw_clamp_tcp_mss`, elija **Edit**. Cambie el valor a `true` y elija **OK**.

**Para verificar el estado del túnel**  
Puede verificar el estado del túnel ejecutando el siguiente comando desde la herramienta de línea de comandos en el modo experto.

```
vpn tunnelutil
```

En las opciones que aparecen, elija **1** para comprobar las asociaciones IKE y **2** para comprobar las IPsec asociaciones.

También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexión se están cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado a través del túnel 1 y se ha cifrado.

![\[Archivo de registro de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

El procedimiento siguiente muestra cómo configurar los túneles de VPN en el dispositivo SonicWALL utilizando la interfaz de gestión SonicOS.

**Para configurar los túneles**

1. Abra la interfaz de gestión SonicWALL SonicOS. 

1. En el panel izquierdo, elija **VPN**, **Settings**. En **VPN Policies**, elija **Add...**.

1. En la ventana de política de VPN de la pestaña **General **, complete la información siguiente:
   + **Policy Type (Tipo de política)**: seleccione **Tunnel Interface (Interfaz de túnel)**.
   + **Authentication Method**: elija **IKE using Preshared Secret**.
   + **Name**: escriba un nombre para la política de VPN. Le recomendamos utilizar el nombre del ID de VPN tal como se indica en el archivo de configuración.
   + **IPsec Nombre o dirección de la puerta de enlace principal**: introduzca la dirección IP de la puerta de enlace privada virtual tal como se indica en el archivo de configuración (por ejemplo,`72.21.209.193`).
   + **IPsec Nombre o dirección de la puerta de enlace secundaria**: deje el valor predeterminado.
   + **Shared Secret**: escriba la clave previamente compartida tal como se indica en el archivo de configuración y vuelva a escribirla en **Confirm Shared Secret**.
   + **ID IKE local**: introduzca la IPv4 dirección de la pasarela del cliente (el dispositivo SonicWall). 
   + **ID IKE del** mismo nivel: introduzca la IPv4 dirección de la puerta de enlace privada virtual.

1. En la pestaña **Network**, complete la información siguiente:
   + En **Local Networks**, elija **Any address**. Se recomienda utilizar esta opción para evitar problemas de conectividad en su red local. 
   + En **Remote Networks**, elija **Choose a destination network from list**. Cree un objeto de dirección con el CIDR de su VPC en AWS.

1. En la pestaña **Proposals** (Propuestas), complete la información siguiente: 
   + En **IKE (Phase 1) Proposal**, haga lo siguiente:
     + **Exchange**: elija **Main Mode**.
     + **DH Group** (Grupo de DH): escriba un valor para el grupo Diffie-Hellman (por ejemplo, `2`). 
     + **Encryption**: elija **AES-128** o **AES-256**.
     + **Autenticación**: elija **SHA1**o **SHA256**.
     + **Life Time**: escriba `28800`.
   + En **IKE (Phase 2) Proposal**, haga lo siguiente:
     + **Protocol**: elija **ESP**.
     + **Encryption**: elija **AES-128** o **AES-256**.
     + **Autenticación**: elija **SHA1**o **SHA256**.
     + Seleccione la casilla de verificación **Enable Perfect Forward Secrecy** y elija el grupo Diffie-Hellman.
     + **Life Time**: escriba `3600`.
**importante**  
Si creó su puerta de enlace privada virtual antes de octubre de 2015, debe especificar el grupo 2 de Diffie-Hellman, AES-128, y para ambas fases. SHA1

1. En la pestaña **Advanced**, complete la información siguiente:
   + Seleccione **Enable Keep Alive**.
   + Seleccione **Enable Phase2 Dead Peer Detection** y escriba lo siguiente:
     + En **Dead Peer Detection Interval**, escriba `60` (este es el valor mínimo que puede aceptar el dispositivo SonicWALL).
     + En **Failure Trigger Level**, escriba `3`.
   + En **VPN Policy bound to**, seleccione **Interface X1**. Esta es la interfaz que suele designarse para las direcciones IP públicas.

1. Seleccione **Aceptar**. En la página **Settings**, debe seleccionar la casilla de verificación **Enable** para el túnel de manera predeterminada. El punto verde indica que el túnel está activo.

------

## Dispositivos Cisco: información adicional
<a name="cgw-static-routing-examples-cisco"></a>

 Active/Standby Algunos solo son compatibles con Cisco. ASAs Cuando utiliza estos Cisco ASAs, solo puede tener un túnel activo a la vez. El otro túnel en espera se activará si el primer túnel se vuelve no disponible. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles. 

Cisco ASAs a partir de la versión 9.7.1 y del Active/Active modo de soporte posterior. Al utilizar estos sistemas Cisco ASAs, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Para los dispositivos Cisco, debe hacer lo siguiente:
+ Configurar la interfaz externa.
+ Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.
+ Asegurarse de que el número de secuencia de política de Crypto List es único.
+ Asegúrese de que el conjunto de IPsec transformación criptográfica y la secuencia de políticas ISAKMP de criptografía estén en armonía con cualquier otro IPsec túnel que esté configurado en el dispositivo.
+ Asegurarse de que el número de monitorización de SLA es único.
+ Configurar todo el direccionamiento interno que mueve el tráfico entre el dispositivo de gateway de cliente y su red local.

# Archivos de configuración de enrutamiento dinámico descargables para el dispositivo de puerta de enlace del AWS Site-to-Site VPN cliente
<a name="cgw-dynamic-routing-examples"></a>

Para descargar un archivo de configuración de muestra con valores específicos para la configuración de su conexión Site-to-Site VPN, utilice la consola Amazon VPC, la línea de AWS comandos o la API de Amazon EC2. Para obtener más información, consulte [Paso 6: Descargar el archivo de configuración](SetUpVPNConnections.md#vpn-download-config).

[También puede descargar archivos de configuración genéricos de ejemplo para el enrutamiento dinámico que no incluyan valores específicos de la configuración de su conexión Site-to-Site VPN: .zip dynamic-routing-examples](samples/dynamic-routing-examples.zip)

Los archivos utilizan valores de marcadores de posición para algunos componentes. Por ejemplo, usan:
+ Valores de ejemplo para el ID de conexión de VPN, el ID de gateway de cliente y el ID de gateway privada virtual
+ Marcadores de posición para los AWS puntos finales de la dirección IP remota (externa) (y) *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
+ Un marcador de posición para la dirección IP de la interfaz externa enrutable a Internet del dispositivo de pasarela del cliente () *your-cgw-ip-address*
+ Un marcador de posición para el valor clave previamente compartido () pre-shared-key
+ Valores de ejemplo de direcciones IP interiores para el túnel.
+ Valores de muestra para la configuración de MTU.

**nota**  
La configuración de MTU proporcionada en los archivos de configuración de muestra son solo ejemplos. Consulte [Prácticas recomendadas para un dispositivo de pasarela de cliente AWS Site-to-Site VPN](cgw-best-practice.md) para obtener información sobre cómo establecer el valor de MTU óptimo para su situación.

Además de proporcionar valores de marcador de posición, los archivos especifican los requisitos mínimos para una conexión Site-to-Site VPN del grupo 2 de Diffie-Hellman en la mayoría de las regiones y AES128 SHA1, y del grupo 14 de Diffie-Hellman en AWS las regiones. AES128 SHA2 AWS GovCloud También se especifican claves previamente compartidas para la [autenticación](vpn-tunnel-authentication-options.md). Debe modificar el archivo de configuración de ejemplo para aprovechar los algoritmos de seguridad adicionales, los grupos de Diffie-Hellman, los certificados privados y el tráfico. IPv6 

En el siguiente diagrama se ofrece una descripción general de los diferentes componentes que se configuran en el dispositivo de gateway de cliente. Incluye valores de ejemplo para las direcciones IP de la interfaz del túnel.

![\[Dispositivo de gateway de cliente con direccionamiento dinámico\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/cgw-bgp.png)


# Configure el enrutamiento dinámico para un dispositivo de puerta de enlace del cliente AWS Virtual Private Network
<a name="cgw-dynamic-routing-example-interface"></a>

A continuación, se presentan algunos procedimientos de ejemplo para configurar un dispositivo de gateway de cliente a través de su interfaz de usuario (si está disponible).

------
#### [ Check Point ]

Los siguientes son los pasos para configurar un dispositivo Check Point Security Gateway que ejecute la versión R77.10 o superior, mediante el portal web de Gaia y Check Point. SmartDashboard También puede consultar el artículo [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) en el centro de soporte técnico de Check Point.

**Para configurar la interfaz de túnel**

El primer paso es crear los túneles de VPN y proporcionar las direcciones IP privadas (internas) de la gateway de cliente y la gateway privada virtual de cada túnel. Para crear el primer túnel, utilice la información proporcionada en la sección `IPSec Tunnel #1` del archivo de configuración. Para crear el segundo túnel, utilice los valores proporcionados en la sección `IPSec Tunnel #2` del archivo de configuración. 

1. Conéctese a su gateway de seguridad a través de SSH. Si va a utilizar el shell no predeterminado, cambie a clish ejecutando el siguiente comando: `clish`.

1. Configure el ASN de la puerta de enlace del cliente (el ASN que se proporcionó cuando se creó la puerta de enlace del cliente en AWS) ejecutando el siguiente comando.

   ```
   set as 65000
   ```

1. Cree la interfaz del primer túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #1` del archivo de configuración. Especifique un nombre exclusivo para su túnel como, por ejemplo, `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Repita estos comandos para crear el segundo túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #2` del archivo de configuración. Especifique un nombre exclusivo para su túnel como, por ejemplo, `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Establezca el ASN de la gateway privada virtual.

   ```
   set bgp external remote-as 7224 on 
   ```

1. Configure BGP para el primer túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #1` del archivo de configuración.

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Configure BGP para el segundo túnel utilizando la información que se proporciona en la sección `IPSec Tunnel #2` del archivo de configuración.

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Guarde la configuración.

   ```
   save config
   ```

**Para crear una política de BGP**

A continuación, cree una política de BGP que permita importar las rutas que anuncia AWS. A continuación, configurará la gateway de cliente para anunciar estas rutas locales a AWS.

1. En Gaia WebUI, elija **Advanced Routing**, **Inbound Route Filters**. Elija **Add** y seleccione **Add BGP Policy (Based on AS)**.

1. En **Add BGP Policy** (Añadir política de BGP), seleccione un valor entre 512 y 1024 en el primer campo y escriba el ASN de la gateway privada virtual en el segundo campo (por ejemplo, `7224`).

1. Seleccione **Save**.

**Para anunciar rutas locales**

A continuación se presentan los pasos para distribuir rutas de interfaces locales. También puede redistribuir rutas desde distintos orígenes (por ejemplo, rutas estáticas o rutas obtenidas mediante protocolos de direccionamiento dinámico). Para obtener más información, consulte la [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. En Gaia WebUI, elija **Advanced Routing**,** Routing Redistribution**. Elija **Add Redistribution From** (Añadir redistribución desde) y luego seleccione **Interface** (Interfaz).

1. En **To Protocol** (A protocolo), seleccione el ASN de la gateway privada virtual (por ejemplo, `7224`).

1. En **Interface**, seleccione una interfaz interna. Seleccione **Save**.

**Para definir un nuevo objeto de red**

A continuación, cree un objeto de red para cada túnel de VPN, especificando las direcciones IP públicas (externas) de la gateway privada virtual. Más tarde añadirá estos objetos de red como gateways satélite para su comunidad de VPN. También debe crear un grupo vacío para que actúe como marcador de posición para el dominio de VPN. 

1. Abra el punto de control. SmartDashboard

1. Para **Groups**, abra el menú contextual y elija **Groups**, **Simple Group**. Puede utilizar el mismo grupo para cada objeto de red.

1. Para **Network Objects**, abra el menú contextual (clic con el botón derecho) y elija **New**, **Interoperable Device**.

1. En **Name** (Nombre), escriba el nombre que ha proporcionado para el túnel en el paso 1, por ejemplo: `AWS_VPC_Tunnel_1` o `AWS_VPC_Tunnel_2`.

1. En **IPv4 Dirección**, introduzca la dirección IP externa de la puerta de enlace privada virtual proporcionada en el archivo de configuración, por ejemplo,`54.84.169.196`. Guarde la configuración y cierre el cuadro de diálogo.  
![\[Cuadro de diálogo Interoperable Device (Dispositivo interoperable) de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-network-device.png)

1. En el panel de categorías izquierdo, elija **Topology**. 

1. En la sección **VPN Domain** (Dominio de VPN), elija **Manually defined** (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione **Aceptar**.

1. Repita estos pasos para crear un segundo objeto de red, utilizando la información de la sección `IPSec Tunnel #2` del archivo de configuración.

1. Vaya a su objeto de red de gateway, abra el objeto de clúster o gateway y elija **Topology**.

1. En la sección **VPN Domain** (Dominio de VPN), elija **Manually defined** (Definido manualmente), desplácese hasta el grupo sencillo vacío que creó en el paso 2 y selecciónelo. Seleccione **Aceptar**.
**nota**  
Puede conservar cualquier dominio de VPN existente que haya configurado. No obstante, asegúrese de que los hosts y las redes utilizados o servidos por la nueva conexión de VPN no estén declarados en ese dominio de VPN, especialmente si el dominio de VPN se obtiene automáticamente.

**nota**  
Si va a utilizar clústeres, edite la topología y defina las interfaces como interfaces de clúster. Utilice las direcciones IP especificadas en el archivo de configuración. 

**Para crear y configurar la comunidad VPN, el IKE y los IPsec ajustes**

A continuación, cree una comunidad de VPN en su gateway de Check Point, a la que agregará los objetos de red (dispositivos interoperables) para cada túnel. También puede configurar el intercambio de claves de Internet (IKE) y los IPsec ajustes.

1. En las propiedades de la puerta de enlace, elija **IPSecVPN** en el panel de categorías.

1. Elija **Communities**, **New**, **Star Community**.

1. Proporcione un nombre para su comunidad (por ejemplo, `AWS_VPN_Star`) y, a continuación, elija **Center Gateways** en el panel Category.

1. Elija **Add** y agregue su gateway o clúster a la lista de gateways participantes.

1. En el panel Category (Categoría), elija **Satellite Gateways** (Gateways satélite), **Add** (Agregar), y agregue los dispositivos interoperables que creó anteriormente (`AWS_VPC_Tunnel_1` y `AWS_VPC_Tunnel_2`) a la lista de gateways participantes.

1. En el panel Category, elija **Encryption**. En la sección **Método de cifrado**, elija **IKEv1 para IPv4 y IKEv2 para IPv6**. En la sección **Encryption Suite**, elija **Custom**, **Custom Encryption**.
**nota**  
Debe seleccionar la IPv6 opción **IKEv1 para IPv4 y IKEv2 para** que IKEv1 funcione.

1. En el cuadro de diálogo, configure las propiedades de cifrado tal como se muestra y elija **OK** (Aceptar) cuando haya terminado:
   + Propiedades de asociación de seguridad de IKE (fase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Propiedades de la asociación de seguridad (fase 2):
     + **Realice el cifrado IPsec de datos con**: AES-128
     + **Perform data integrity with**: SHA-1

1. En el panel Category, elija **Tunnel Management**. Elija **Set Permanent Tunnels**, **On all tunnels in the community**. En la sección **VPN Tunnel Sharing**, elija **One VPN tunnel per Gateway pair**.

1. En el panel Category, expanda **Advanced Settings** y elija **Shared Secret**.

1. Seleccione el nombre homólogo para el primer túnel, elija **Edit** (Editar) y escriba la clave previamente compartida según lo especificado en la sección `IPSec Tunnel #1` del archivo de configuración.

1. Seleccione el nombre homólogo para el segundo túnel, elija **Edit** (Editar) y escriba la clave previamente compartida según lo especificado en la sección `IPSec Tunnel #2` del archivo de configuración.  
![\[Cuadro de diálogo Interoperable Shared Secret (Secreto compartido interoperable) de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Aún en la categoría **Advanced Settings** (Configuración avanzada), elija **Advanced VPN Properties** (Propiedades avanzadas de VPN), configure las propiedades según se indica y elija **OK** (Aceptar) cuando haya terminado:
   + IKE (fase 1):
     + **Use Diffie-Hellman group** (Usar el grupo Diffie-Hellman): `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Fase 2):
     + Elija **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group** (Usar el grupo Diffie-Hellman): `Group 2 (1024 bit)`
     + ****Renegocie las asociaciones de IPsec seguridad cada segundo `3600`****

**Para crear reglas de firewall**

A continuación, configurará una política con reglas de firewall y reglas de coincidencia direccional que permitan la comunicación entre la VPC y la red local. Luego instalará la política en su gateway.

1. En el SmartDashboard, elija **Propiedades globales** para su puerta de enlace. En el panel Category, expanda **VPN** y elija **Advanced**.

1. Elija **Enable VPN Directional Match in VPN Column** y elija **OK**.

1. En SmartDashboard, elija **Firewall** y cree una política con las siguientes reglas: 
   + Permitir que la subred de VPC se comunique con la red local a través de los protocolos necesarios. 
   + Permitir que la red local se comunique con la subred de VPC a través de los protocolos necesarios.

1. Abra el menú contextual para la celda de la columna de VPN, y elija **Edit Cell**. 

1. En el cuadro de diálogo **VPN Match Conditions**, elija **Match traffic in this direction only**. Cree las siguientes reglas de coincidencia direccional; para ello, elija **Add** (Agregar) para cada una y seleccione **OK** (Aceptar) cuando haya terminado:
   + `internal_clear` > VPN community (Comunidad VPN) (la comunidad Star de VPN que creó antes; por ejemplo: `AWS_VPN_Star`)
   + VPN community > VPN community
   + Comunidad VPN > `internal_clear`

1. En el SmartDashboard, selecciona **Política** e **instala**. 

1. En el cuadro de diálogo, elija su gateway y seleccione **OK** para instalar la política.

**Para modificar la propiedad tunnel\$1keepalive\$1method**

Su gateway de Check Point puede utilizar la detección de pares muertos (DPD) para identificar cuándo se desactiva una asociación de IKE. Para configurar DPD para un túnel permanente, el túnel permanente debe configurarse en la comunidad de AWS VPN.

De forma predeterminada, la propiedad `tunnel_keepalive_method` de una gateway de VPN está configurada como `tunnel_test`. Debe cambiar el valor a `dpd`. Cada gateway de VPN de la comunidad de VPN que requiera monitorización de DPD debe configurarse con la propiedad `tunnel_keepalive_method`, incluida cualquier gateway de VPN de terceros. No puede configurar mecanismos de monitorización distintos para la misma gateway.

Puede actualizar la `tunnel_keepalive_method` propiedad mediante la DBedit herramienta GUI.

1. Abra el Check Point SmartDashboard y elija **Security Management Server**, **Domain Management Server**.

1. Elija **File**, **Database Revision Control...**, y cree una instantánea de revisión.

1. Cierre todas las SmartConsole ventanas, como el SmartDashboard SmartView Rastreador y el SmartView Monitor.

1. Inicie la BDedit herramienta GUI. Para obtener más información, consulte el artículo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009), en el centro de soporte técnico de Check Point. 

1. Elija **Security Management Server**, **Domain Management Server**.

1. En el panel superior izquierdo, elija **Table**, **Network Objects**, **network\$1objects**. 

1. En el panel superior derecho, seleccione el objeto de **Security Gateway**, **Cluster** correspondiente. 

1. Presione CTRL\$1F, o utilice el menú **Search** para buscar lo siguiente: `tunnel_keepalive_method`.

1. En el panel inferior, abra el menú contextual de `tunnel_keepalive_method` y seleccione **Edit...** Elija **dpd**, **OK (Aceptar)**.

1. Repita los pasos del 7 al 9 por cada gateway que forme parte de la comunidad de AWS VPN.

1. Elija **File**, **Save All**.

1. Cierre la DBedit herramienta Gui.

1. Abra el Check Point SmartDashboard y elija **Security Management Server**, **Domain Management Server**.

1. Instale la política en el objeto **Security Gateway**, **Cluster** correspondiente.

Para obtener más información, consulte el artículo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746), en el centro de soporte técnico de Check Point.

**Para habilitar el bloqueo TCP MSS**

El bloqueo de TCP MSS reduce el tamaño máximo de segmento de los paquetes TCP para evitar la fragmentación de los paquetes.

1. Vaya al siguiente directorio: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Abra la herramienta Check Point Database ejecutando el archivo `GuiDBEdit.exe`.

1. Elija **Table**, **Global Properties**, **properties**.

1. Para `fw_clamp_tcp_mss`, elija **Edit**. Cambie el valor a `true` y luego elija **OK** (Aceptar).

**Para verificar el estado del túnel**  
Puede verificar el estado del túnel ejecutando el siguiente comando desde la herramienta de línea de comandos en el modo experto. 

```
vpn tunnelutil
```

En las opciones que aparecen, elija **1** para comprobar las asociaciones IKE y **2** para comprobar las IPsec asociaciones.

También puede utilizar Check Point Smart Tracker Log para verificar que los paquetes de la conexión se están cifrando. Por ejemplo, el siguiente log indica que un paquete para la VPC se ha enviado a través del túnel 1 y se ha cifrado.

![\[Archivo de registro de Check Point\]](http://docs.aws.amazon.com/es_es/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

Puede configurar el dispositivo SonicWALL mediante la interfaz de administración de SonicOS. Para obtener más información sobre la configuración de los túneles, consulte [Configure el enrutamiento estático para un dispositivo de puerta de enlace del cliente AWS Site-to-Site VPN](cgw-static-routing-example-interface.md).

Sin embargo, no es posible configurar BGP para el dispositivo utilizando la interfaz de administración. En su lugar, utilice las instrucciones de la línea de comandos que se ofrecen en el archivo de configuración de ejemplo, en la sección **BGP**.

------

## Dispositivos Cisco: información adicional
<a name="cgw-dynamic-routing-examples-cisco"></a>

Algunos ASAs solo admiten el Active/Standby modo Cisco. Cuando utiliza estos Cisco ASAs, solo puede tener un túnel activo a la vez. El otro túnel en espera se activará si el primer túnel se vuelve no disponible. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles. 

Cisco ASAs a partir de la versión 9.7.1 y del Active/Active modo de soporte posterior. Al utilizar estos sistemas Cisco ASAs, puede tener ambos túneles activos al mismo tiempo. Con esta redundancia, siempre debería tener conectividad a su VPC a través de uno de los túneles.

Para los dispositivos Cisco, debe hacer lo siguiente:
+ Configurar la interfaz externa.
+ Asegurarse de que el número de secuencia de política de Crypto ISAKMP es único.
+ Asegurarse de que el número de secuencia de política de Crypto List es único.
+ Asegúrese de que el conjunto de IPsec transformación criptográfica y la secuencia de políticas ISAKMP de criptografía estén en armonía con cualquier otro IPsec túnel que esté configurado en el dispositivo.
+ Asegurarse de que el número de monitorización de SLA es único.
+ Configurar todo el direccionamiento interno que mueve el tráfico entre el dispositivo de gateway de cliente y su red local.

## Dispositivos Juniper: información adicional
<a name="cgw-dynamic-routing-examples-juniper"></a>

La siguiente información se aplica a los archivos de configuración de ejemplo para dispositivos de gateway de cliente SRX y Juniper J-Series. 
+ La interfaz exterior se denomina. *ge-0/0/0.0*
+ La interfaz del túnel IDs se denomina *st0.1* y*st0.2*.
+ Asegúrese de identificar la zona de seguridad para la interfaz del enlace de subida (la información de configuración utiliza la zona predeterminada "poco fiable").
+ Asegúrese de identificar la zona de seguridad para la interfaz interior (la información de configuración utiliza la zona predeterminada "de confianza").