Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Trabaja con AWS Site-to-Site VPN
Puede trabajar con recursos de Site-to-Site VPN mediante la consola de Amazon VPC o la.AWS CLI
**Topics**
+ [Cree y administre concentradores VPN](create-manage-vpn-concentrators.md)
+ [Para crear una conexión de VPN](create-vpn-connection.md)
+ [Prueba de una conexión de VPN](HowToTestEndToEnd_Linux.md)
+ [Eliminación de una conexión de VPN y una puerta de enlace](delete-vpn.md)
+ [Modificación de la puerta de enlace de destino de una conexión de VPN](modify-vpn-target.md)
+ [Modificar las opciones de conexión de VPN](modify-vpn-connection-options.md)
+ [Modificación de las opciones del túnel de VPN](modify-vpn-tunnel-options.md)
+ [Edición de estáticas en una conexión de VPN](vpn-edit-static-routes.md)
+ [Cambio de la puerta de enlace de cliente para una conexión de VPN](change-vpn-cgw.md)
+ [Remplazo de credenciales comprometidas](CompromisedCredentials.md)
+ [Rotación de certificados de punto de conexión de túnel de VPN](rotate-vpn-certificate.md)
+ [VPN de IP privada con Direct Connect](private-ip-dx.md)
# Creación y administración de AWS Site-to-Site VPN concentradores
Site-to-SiteLos concentradores VPN le permiten agregar y administrar múltiples conexiones VPN desde sitios remotos, lo que proporciona una administración centralizada.
Tras crear los concentradores de Site-to-Site VPN, podrá verlos y gestionarlos desde la página principal de los concentradores de Site-to-Site VPN de la consola de Amazon VPC. Este panel muestra todos los concentradores de VPN activos que gestionan las conexiones seguras entre AWS y sus sitios remotos.
**Topics**
+ [Cree un concentrador de VPN](create-vpn-concentrator.md)
+ [Administre las etiquetas de VPN Concentrator](manage-vpn-concentrator-tags.md)
+ [Eliminar un concentrador de VPN](delete-vpn-concentrator.md)
# Crear un AWS Site-to-Site VPN concentrador
Cree un concentrador mediante la consola Amazon VPC, APIs la o la. AWS CLI Antes de crear un concentrador, primero debe haber creado una puerta de enlace de tránsito para asociarla al concentrador. Para obtener más información sobre la creación de pasarelas de tránsito, consulte [Crear una pasarela de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html) en la Guía de pasarelas de *tránsito de Amazon AWS VPC*.
## Cree un concentrador de Site-to-Site VPN mediante la consola
Para crear un concentrador Site-to-Site VPN mediante la consola AWS de administración, siga estos pasos:
**Para crear un concentrador Site-to-Site VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Site-to-Site Concentradores VPN**.
1. Elija **Crear concentrador de Site-to-Site VPN**.
1. (Opcional) En la **etiqueta con el nombre**, introduzca un nombre para su concentrador de Site-to-Site VPN.
1. Para **Transit Gateway**, selecciona una pasarela de tránsito existente.
1. (Opcional) Agregue etiquetas para ayudar a identificar y organizar su concentrador de Site-to-Site VPN.
1. Elija **Añadir nueva etiqueta**.
1. En **Key**, introduzca una clave de etiqueta (por ejemplo,**Name**).
1. En **Valor**, introduzca un valor de etiqueta (por ejemplo,**Production-VPN-Concentrator**).
1. Repita los pasos anteriores para añadir etiquetas adicionales según sea necesario.
1. Elija **Crear concentrador de Site-to-Site VPN**.
Tras su creación, el concentrador Site-to-Site VPN estará en ese `pending` estado mientras se aprovisiona. Cuando esté listo, el estado cambiará a `available` y podrás empezar a crear conexiones VPN que usen el concentrador Site-to-Site VPN.
## Cree un concentrador Site-to-Site VPN mediante la CLI
Antes de crear un concentrador Site-to-Site VPN mediante la CLI, asegúrese de tener lo siguiente:
+ Un Transit Gateway existente en tu AWS cuenta
+ Permisos de IAM adecuados para crear concentradores de Site-to-Site VPN
+ El ID de la Transit Gateway a la que quieres conectar el Concentrator
El siguiente ejemplo crea un concentrador de Site-to-Site VPN para la puerta de enlace de tránsito especificada:
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
A continuación se muestra una respuesta correcta:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## Cree un concentrador de Site-to-Site VPN mediante la API
Puede crear un concentrador de Site-to-Site VPN mediante la CreateVpnConcentrators API.
La API acepta los siguientes parámetros clave:
`TransitGatewayId`
El ID de la Transit Gateway a la que se va a conectar el concentrador Site-to-Site VPN.
`TagSpecification`
Etiquetas que se van a asignar al concentrador de Site-to-Site VPN para la organización y facturación de los recursos.
El siguiente ejemplo muestra cómo crear un concentrador Site-to-Site VPN conectado a una Transit Gateway:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
Tras la creación correcta, la API devuelve detalles sobre el concentrador Site-to-Site VPN recién creado:
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# Administrar etiquetas de AWS Site-to-Site VPN Concentrator
Las etiquetas son pares clave-valor que le ayudan a organizar y administrar sus concentradores de Site-to-Site VPN. Puede utilizar etiquetas para clasificar los concentradores de Site-to-Site VPN por finalidad, entorno, centro de costes o cualquier otro criterio que tenga sentido para su organización.
## Administre las etiquetas mediante la consola
Puede añadir o eliminar etiquetas para un concentrador Site-to-Site VPN mediante la consola AWS de administración.
**Para añadir etiquetas a un concentrador Site-to-Site VPN**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Site-to-Site Concentradores VPN**.
1. Seleccione el concentrador Site-to-Site VPN que desee etiquetar.
1. Elija la pestaña **Etiquetas**.
1. Elija **Manage tags** (Administrar etiquetas).
1. Elija **Add new tag** (Agregar nueva etiqueta).
1. En **Clave**, introduzca una clave de etiqueta (por ejemplo,**Environment**).
1. En **Valor**, introduzca un valor de etiqueta (por ejemplo,**Production**).
1. Seleccione **Save changes (Guardar cambios)**.
**Para eliminar etiquetas de un Site-to-Site concentrador VPN**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Site-to-Site Concentradores VPN**.
1. Seleccione el concentrador Site-to-Site VPN del que desee eliminar las etiquetas.
1. Elija la pestaña **Etiquetas**.
1. Elija **Administrar etiquetas**.
1. Para cada etiqueta que desee eliminar, seleccione **Eliminar**.
1. Seleccione **Save changes (Guardar cambios)**.
## Administre las etiquetas mediante la CLI
Puede añadir, modificar o eliminar etiquetas mediante AWS CLI.
**Agregar etiquetas.**
El siguiente ejemplo agrega etiquetas a un concentrador Site-to-Site VPN:
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
En caso de éxito, este comando no devuelve ningún resultado.
**Consulta de etiquetas**
El siguiente ejemplo describe las etiquetas de un concentrador Site-to-Site VPN:
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
Se devuelve la siguiente respuesta:
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**Eliminación de etiquetas**
El siguiente ejemplo elimina las etiquetas de un Site-to-Site concentrador VPN:
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
En caso de éxito, este comando no devuelve ningún resultado.
## Gestione las etiquetas mediante la API
Puede gestionar mediante programación las etiquetas de Site-to-Site VPN Concentrator mediante las operaciones de la API de Amazon EC2 .
**CreateTags**
Utilice la `CreateTags` operación para añadir o actualizar etiquetas:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
Se devuelve la siguiente respuesta:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**DescribeTags**
Utilice la `DescribeTags` operación para recuperar etiquetas:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
Se devuelve la siguiente respuesta:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
Utilice la `DeleteTags` operación para eliminar etiquetas:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
Se devuelve la siguiente respuesta:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# Eliminar un AWS Site-to-Site VPN concentrador
Cuando ya no necesite un concentrador Site-to-Site VPN, puede eliminarlo para dejar de incurrir en cargos. Al eliminar un concentrador Site-to-Site VPN, se elimina de forma permanente este y todas las configuraciones asociadas.
## Requisitos previos
Antes de eliminar un concentrador Site-to-Site VPN, asegúrese de lo siguiente:
+ Se eliminan todas las conexiones Site-to-Site VPN asociadas al concentrador VPN.
+ Dispone de los permisos necesarios para eliminar los concentradores Site-to-Site VPN ()`ec2:DeleteVpnConcentrator`.
## Elimine un concentrador Site-to-Site VPN mediante la consola
**Para eliminar un concentrador Site-to-Site VPN**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija Concentradores de **sitio a sitio.**
1. Seleccione el concentrador de Site-to-Site VPN que desee eliminar.
1. Elija **Acciones** y, a continuación, elija **Eliminar el concentrador de Site-to-Site VPN**.
1. En el cuadro de diálogo de confirmación, ingrese **delete** para confirmar la eliminación.
1. Elija **Eliminar**.
## Eliminar un concentrador Site-to-Site VPN mediante la CLI
Utilice el `delete-vpn-concentrator` comando para eliminar un concentrador Site-to-Site VPN. Necesitarás `vpn-concentrator-id` el para eliminarlo.
El siguiente ejemplo elimina un concentrador de Site-to-Site VPN:
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
Se devuelve la siguiente respuesta:
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## Elimine un concentrador de Site-to-Site VPN mediante la API
Utilice la `DeleteVpnConcentrator` operación para eliminar un concentrador Site-to-Site VPN. Necesitarás `VpnConcentratorId` el para eliminarlo.
El siguiente ejemplo elimina un concentrador de Site-to-Site VPN:
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
Se devuelve la siguiente respuesta:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# Crear una AWS Site-to-Site VPN conexión
Puedes crear conexiones Site-to-Site VPN que se conecten a pasarelas de tránsito o a redes globales de Cloud WAN. Ambos tipos de adjuntos admiten IPv6 protocolos IPv4 y, si lo desea, puede utilizar concentradores Site-to-Site VPN para conectar varios sitios remotos de forma rentable.
## Cree una conexión VPN mediante la consola
**Para crear una conexión VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.
1. Elija **Create VPN Connection** (Crear conexión VPN).
1. (Opcional) En **Etiqueta de nombre**, escriba el nombre de la conexión. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.
1. En el **tipo de puerta de enlace de destino**, elija una de las siguientes opciones:
+ **Puerta de enlace privada virtual**: cree una nueva conexión VPN de puerta de enlace privada virtual eligiendo una **puerta de enlace privada virtual** existente.
+ **Puerta de enlace de tránsito**: cree una nueva conexión VPN de puerta de enlace de tránsito eligiendo una **puerta de enlace de tránsito** existente. Para obtener más información acerca de cómo crear una gateway de tránsito, consulte [Gateways de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en *Gateways de tránsito de Amazon VPC*.
+ **Site-to-Site Concentrador VPN**: cree una nueva conexión de concentrador Site-to-Site VPN utilizando un concentrador Site-to-Site VPN existente o creando uno nuevo. Seleccione una de las siguientes opciones:
+ **Existente**: cree una nueva conexión Site-to-Site VPN con un concentrador VPN utilizando un concentrador existente.
+ **Nuevo**: introduzca un nombre opcional para el concentrador Site-to-Site VPN y, a continuación, elija la pasarela de tránsito para asociarlo.
+ **No asociada**: crea una conexión VPN independiente que luego se pueda asociar a Cloud WAN a través de la consola o la API de Network Manager. Para obtener más información sobre los adjuntos de VPN y Cloud WAN, consulta los [adjuntos de Site-to-site VPN en AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) en la *Guía del usuario de AWS Cloud WAN*.
1. En **Customer gateway** (Puerta de enlace de cliente), realice alguna de las siguientes operaciones:
+ Para utilizar una puerta de enlace de cliente existente, elija **Existente** y, a continuación, elija **ID de puerta de enlace de cliente**.
+ Para crear una nueva pasarela de clientes, selecciona **Nueva** y, a continuación, haz lo siguiente:
+ Para la **dirección IP**, introduzca una **IPv6**dirección estática **IPv4**o.
+ En **ARN de certificado**, elija el ARN de su certificado privado (si utiliza autenticación basada en certificados).
+ En **BGP ASN**, escriba el número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) de la gateway de cliente. Para obtener más información, consulte [Opciones de gateway de cliente](cgw-options.md).
1. En **Opciones de enrutamiento**, elija **Dinámico (requiere BGP)** o **Estático**.
**nota**
Las conexiones VPN WAN en la nube y las conexiones VPN que utilizan concentradores solo admiten el enrutamiento BGP. El enrutamiento estático no es compatible con estos tipos de conexión.
1. En **Almacenamiento de claves compartidas previamente**, elija **Estándar** o **Secrets Manager**. La selección predeterminada es **Estándar**. Para obtener más información acerca del uso de AWS Secrets Manager, consulte [Seguridad](security.md).
1. Para la **versión Tunnel inside IP**, elija **IPv4**o **IPv6**.
1. (Opcional) En **Habilitar aceleración**, seleccione la casilla de verificación para habilitar la aceleración. Para obtener más información, consulte [Conexiones de VPN aceleradas](accelerated-vpn.md).
Si habilita la aceleración, creamos dos aceleradores que utilizan su conexión de VPN. Se aplican cargos adicionales de .
1. (Opcional) Según qué túnel de la versión de IP haya elegido, realice una de las siguientes operaciones:
+ IPv4 — Para el **CIDR de IPv4 red local**, especifique el rango de IPv4 CIDR en la puerta de enlace del cliente (local) que puede comunicarse a través de los túneles de la VPN. Para el **CIDR IPv4 de red remota**, elija el rango de CIDR en el AWS lado que puede comunicarse a través de los túneles de la VPN. El valor predeterminado de ambos campos es `0.0.0.0/0`.
+ IPv6 — Para el **CIDR de IPv6 red local**, especifique el rango de IPv6 CIDR en la puerta de enlace del cliente (local) que puede comunicarse a través de los túneles VPN. Para el **CIDR IPv6 de red remota**, elija el rango de CIDR en el AWS lado que puede comunicarse a través de los túneles de la VPN. El valor predeterminado de ambos campos es `::/0`
1. En **Tipo de dirección IP externa**, elija una de las siguientes opciones:
+ **Público IPv4**: (predeterminado) Usa IPv4 direcciones para el túnel exterior. IPs
+ **Privado IPv4**: utilice una IPv4 dirección privada para utilizarla en redes privadas.
+ **IPv6**- Usa IPv6 las direcciones del túnel exterior IPs. Esta opción requiere que el dispositivo de pasarela de clientes sea compatible con el IPv6 direccionamiento.
**nota**
Si selecciona el tipo **IPv6**de dirección IP externa, debe crear una pasarela de clientes con una IPv6 dirección
1. (Opcional) En **Opciones de túnel 1**, puede especificar la siguiente información para cada túnel:
+ Un bloque IPv4 CIDR de tamaño /30 del `169.254.0.0/16` rango de las direcciones del túnel IPv4 interior.
+ Si especificó **IPv6**para la **versión Tunnel inside IP**, un bloque IPv6 CIDR /126 del `fd00::/8` rango para las direcciones del túnel interno. IPv6
+ La clave previamente compartida de IKE (PSK). Se admiten las siguientes versiones: IKEv1 o. IKEv2
+ Para editar las opciones avanzadas del túnel, seleccione **Editar opciones de túnel**. Para obtener más información, consulte [Opciones de túnel de VPN](VPNTunnels.md).
+ (Opcional) Seleccione **Activar** en el **registro de actividad del túnel** para capturar los mensajes de registro de IPsec la actividad y los mensajes del protocolo DPD.
+ (Opcional) Seleccione **Activar** para **Ciclo de vida de puntos de conexión de túnel** para controlar la programación de sustituciones de puntos de conexión. Para obtener más información sobre el ciclo de vida de un punto de conexión, consulte [Ciclo de vida del punto de conexión del túnel](tunnel-endpoint-lifecycle.md).
1. (Opcional) Elija **Opciones de túnel 2** y siga los pasos anteriores para configurar un segundo túnel.
1. Elija **Create VPN Connection** (Crear conexión VPN).
# Cree una conexión de pasarela de AWS Site-to-Site VPN tránsito mediante la CLI o la API
## Cree una conexión VPN a Transit Gateway mediante la CLI
Usa el [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)comando y especifica el ID de la pasarela de tránsito para la `--transit-gateway-id` opción.
El siguiente ejemplo muestra la creación de una conexión VPN con un túnel IPv6 exterior IPs y un túnel IPv6 interior IPs:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Ejemplo de respuesta:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## Cree una conexión VPN a Transit Gateway mediante la API
Puede crear una conexión VPN mediante la API de Amazon EC2. En esta sección se proporcionan ejemplos de mensajes de solicitud y respuesta para crear una conexión VPN de Transit Gateway mediante la API.
### Requisitos previos
Antes de crear una conexión VPN mediante la API, asegúrate de tener:
+ Se ha creado y está disponible una pasarela de tránsito
+ Una pasarela de clientes configurada con los detalles de su dispositivo local
En el siguiente ejemplo, se muestra cómo crear una conexión VPN mediante la acción de la `CreateVpnConnection` API:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
En este ejemplo, se crea una conexión VPN con enrutamiento dinámico (BGP) entre la puerta de enlace de tránsito especificada y la puerta de enlace del cliente.
Si la API responde correctamente, se muestran los detalles de la conexión VPN:
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
La respuesta incluye el ID de la conexión VPN, el estado actual y los detalles de configuración. La conexión estará inicialmente en estado «pendiente» mientras AWS aprovisiona los túneles de la VPN.
# Crea una conexión WAN a AWS Site-to-Site VPN la nube mediante la CLI o la API
Puedes crear una conexión Site-to-Site VPN entre tu WAN local y la de AWS Cloud siguiendo el procedimiento que se indica a continuación. Para obtener más información, consulta los [archivos adjuntos de Site-to-site VPN en AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) en la *Guía del usuario de AWS Cloud WAN*.
## Crea una conexión VPN a Cloud WAN mediante la CLI
Usa el [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)comando para crear una conexión VPN que luego se conectará a una red global de Cloud WAN. Esto crea una conexión VPN independiente que, posteriormente, se puede asociar a Cloud WAN a través de la consola o la API de Network Manager.
**Requisitos previos**
Antes de crear una conexión VPN de Cloud WAN, asegúrate de tener lo siguiente:
+ `customer-gateway-id`- Un recurso de pasarela de cliente existente (`cgw-xxxxxxxxx`) que represente tu dispositivo VPN local.
+ **Red global WAN en** la nube: se debe crear y configurar una red global WAN en la nube con los segmentos de red adecuados.
+ **Configuración BGP**: las conexiones VPN WAN en la nube requieren el enrutamiento BGP; no se admite el enrutamiento estático. Debe configurar el `StaticRoutesOnly=false` parámetro options
Este comando crea una conexión VPN sin especificar una puerta de enlace de destino. La conexión estará desconectada y, posteriormente, se podrá asociar a tu red global de Cloud WAN a través de la consola o la API de Network Manager. La `StaticRoutesOnly=false` opción habilita el enrutamiento BGP, que es obligatorio para los archivos adjuntos a la VPN de Cloud WAN, ya que no se admite el enrutamiento estático.
En el siguiente ejemplo, se crea una conexión VPN independiente para Cloud WAN:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
La respuesta devuelve lo siguiente:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
Tras crear la conexión VPN, puedes conectarla a tu red global de Cloud WAN mediante la consola de Network Manager o la llamada a la `create-site-to-site-vpn-attachment` API.
## Crea una conexión VPN Cloud WAN mediante la API
Puede usar la API de EC2 para crear una conexión VPN para la integración de Cloud WAN. Esto implica realizar una llamada a la `CreateVpnConnection` API que cree una conexión VPN independiente, que luego se puede asociar a tu red global de Cloud WAN.
La solicitud de API crea una conexión VPN sin especificar una puerta de enlace de destino, lo que la deja en un estado desconectado que está lista para la integración de Cloud WAN. La conexión usa el enrutamiento BGP, que es obligatorio para los archivos adjuntos de la VPN de Cloud WAN.
En el siguiente ejemplo, se muestra la solicitud HTTP para crear una conexión VPN de Cloud WAN:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
La API devuelve una respuesta correcta que contiene los detalles de la conexión VPN. La conexión estará en un `pending` estado inicial mientras se AWS aprovisiona los túneles de la VPN, momento en el que el estado cambiará a`available`.
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**Detalles de la respuesta**
La respuesta de la API proporciona la siguiente información clave:
+ **vpnConnectionId**- El identificador único de tu conexión VPN (por ejemplo,`vpn-0abcdef1234567890`) que utilizarás para conectarla a Cloud WAN
+ **estado**: inicialmente «pendiente», mientras que AWS aprovisiona los túneles de la VPN, luego pasa a «disponible» cuando está listo para su adjunto
+ **categoría**: muestra «VPN», lo que indica que se trata de una conexión VPN no conectada adecuada para la integración con una WAN en la nube
+ **staticRoutesOnly**- Configúrelo en «false» para habilitar el enrutamiento BGP, que es obligatorio para los archivos adjuntos a la VPN de Cloud WAN
Una vez que la conexión VPN alcance el estado «disponible», puedes conectarla a tu red global de Cloud WAN mediante la `CreateSiteToSiteVpnAttachment` API de Network Manager o a través de la consola de AWS.
# Cree una conexión de AWS Site-to-Site VPN Concentrator mediante la CLI o la API
## Cree una conexión de concentrador Site-to-Site VPN mediante la CLI
Después de crear un concentrador de Site-to-Site VPN, debe establecer conexiones VPN individuales desde sus sitios remotos al concentrador de Site-to-Site VPN. Cada sitio remoto requiere su propia conexión VPN que haga referencia al ID del Site-to-Site concentrador VPN. Esto permite que varios sitios remotos compartan la misma infraestructura de concentrador de Site-to-Site VPN y, al mismo tiempo, mantienen túneles separados y seguros para cada sitio.
Para establecer una conexión VPN mediante un concentrador de Site-to-Site VPN, especifique el concentrador de Site-to-Site VPN en lugar de la puerta de enlace de tránsito al crear la conexión de VPN. El siguiente ejemplo crea una conexión VPN mediante un concentrador Site-to-Site VPN:
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
Una respuesta correcta devuelve lo siguiente:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## Cree una conexión de Site-to-Site VPN Concentrator mediante la API
Puede crear una conexión VPN que utilice un concentrador de Site-to-Site VPN mediante la API Amazon EC2. En esta sección se proporcionan ejemplos de mensajes de solicitud y respuesta para crear una conexión VPN con un concentrador Site-to-Site VPN.
Antes de crear una conexión VPN con un concentrador de Site-to-Site VPN mediante la API, asegúrese de tener:
+ Se ha creado y está disponible un concentrador de Site-to-Site VPN
+ Una pasarela de cliente configurada para su sitio remoto
+ Configuración de red que permite IPsec el tráfico entre su sitio y AWS
El siguiente ejemplo muestra cómo crear una conexión VPN mediante un concentrador de Site-to-Site VPN con la acción de la `CreateVpnConnection` API:
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
En este ejemplo, se crea una conexión VPN entre el concentrador de Site-to-Site VPN especificado y la puerta de enlace del cliente. El concentrador Site-to-Site VPN actúa como punto final AWS lateral, lo que permite que varios sitios remotos se conecten a través de un concentrador centralizado.
Si la API responde correctamente, se muestran los detalles de la conexión VPN junto con la información del concentrador Site-to-Site VPN:
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
La respuesta incluye el ID de conexión VPN y hace referencia al ID del concentrador Site-to-Site VPN en lugar de a un ID de pasarela de tránsito. Esta conexión permite que su sitio remoto se comunique con otros sitios conectados al mismo concentrador Site-to-Site VPN, lo que habilita las topologías de hub-and-spoke red.
# Ver AWS Site-to-Site VPN conexiones
## Vea las conexiones VPN mediante la consola
Puede ver sus conexiones VPN y sus detalles mediante la consola de administración de AWS. Esto proporciona una interfaz visual para monitorear el estado de la conexión, el estado del túnel y los detalles de configuración.
**Para ver las conexiones VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Site-to-Site VPN Connections**.
1. Seleccione su conexión VPN para ver información detallada, que incluye:
+ Estado y estado de la conexión
+ Detalles y estado de salud del túnel
+ Información sobre la ruta
+ Parámetros de configuración
La consola muestra información de estado en tiempo real y le permite monitorear la conectividad del túnel, ver las tablas de enrutamiento y acceder a los detalles de configuración para solucionar problemas.
## Vea las conexiones VPN mediante la CLI
Utilice la AWS CLI para consultar y recuperar información detallada sobre sus conexiones de VPN mediante programación. Este método permite la automatización, la creación de scripts y la integración con las herramientas de monitoreo.
Para consultar todas las conexiones VPN de su cuenta y región de AWS actuales, ejecute el `describe-vpn-connections` comando sin parámetros. Sin embargo, si desea ver los detalles de una conexión VPN concreta, necesitará saber el identificador de la conexión VPN.
Para obtener información detallada de una conexión VPN específica, especifique el ID de conexión como parámetro. El siguiente ejemplo muestra una solicitud para ver los detalles de una conexión VPN específica.
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
La respuesta incluye información completa sobre la conexión VPN, incluidas las opciones de túnel, los detalles de enrutamiento y el estado actual.
+ `State`- El estado actual de la conexión VPN
+ `TunnelOptions`- Configuración y estado de cada túnel
+ `OutsideIpAddress`- Las direcciones IP públicas de los túneles VPN
+ `Routes`- Información de enrutamiento de la conexión
Ejemplo de extracto de respuesta que muestra los detalles clave de la conexión:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## Vea las conexiones VPN mediante la API
Realiza llamadas directas a la API al EC2 servicio de Amazon para recuperar la información de conexión de la VPN. Este enfoque proporciona la máxima flexibilidad para aplicaciones personalizadas e integraciones programáticas.
La acción de la `DescribeVpnConnections` API consulta y devuelve información detallada sobre una o más conexiones VPN. Puede aplicar filtros por ID de conexión, estado u otros atributos para limitar los resultados.
A continuación, se muestra un ejemplo de solicitud para proporcionar detalles sobre una única conexión VPN.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
La respuesta devuelve detalles sobre esa conexión VPN.
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# Prueba de una conexión de AWS Site-to-Site VPN
Después de crear la conexión de AWS Site-to-Site VPN y de configurar la gateway de cliente, puede lanzar una instancia y probar la conexión haciendo ping a la instancia.
Antes de comenzar, asegúrese de lo siguiente:
+ Utilizar una AMI que responda a las solicitudes de ping. Le recomendamos que utilice una de las AMI de Amazon Linux.
+ Configure el grupo de seguridad o la ACL de red en su VPC para filtrar el tráfico entrante de la instancia para permitir el tráfico ICMP entrante y saliente. Esto permite que la instancia reciba solicitudes `ping`.
+ Si va a utilizar instancias que ejecuten Windows Server, conecte la instancia y habilite el tráfico ICMPv4 entrante en el firewall de Windows para poder hacer ping a la instancia.
+ (Enrutamiento estático) Asegúrese de que el dispositivo de gateway de cliente tenga una ruta estática a la VPC, y de que su conexión VPN tenga una ruta estática, para poder redirigir el tráfico a su dispositivo de gateway de cliente.
+ (Enrutamiento dinámico) Asegúrese de que el estado de BGP en su dispositivo de gateway de cliente esté establecido. Una sesión de intercambio de tráfico BGP tarda aproximadamente 30 segundos en activarse. Compruebe que las rutas se anuncien con BGP correctamente y muestren una tabla de enrutamiento de subred para que el tráfico pueda regresar al gateway de cliente. Asegúrese de que los dos túneles estén configurados con la política de direccionamiento de BGP.
+ Compruebe que haya configurado el enrutamiento de las tablas de enrutamiento de subred para la conexión de VPN.
**Para probar la conectividad**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel, elija **Iniciar instancia**.
1. (Opcional) En **Nombre**, introduzca un nombre descriptivo para su instancia.
1. En **Imágenes de aplicación y sistema operativo (Imagen de máquina de Amazon)**, elija **Inicio rápido** y, a continuación, elija el sistema operativo correspondiente a su instancia.
1. En **Nombre del par de claves**, seleccione un par de claves existente o cree uno nuevo.
1. En **Configuración de red**, elija **Seleccionar un grupo de seguridad existente** y, a continuación, elija el grupo de seguridad que configuró.
1. En el panel **Resumen**, elija **Iniciar instancia**.
1. Cuando la instancia esté en ejecución, obtenga su dirección IP privada (por ejemplo, 10.0.0.4). En la consola de Amazon EC2, se muestra la dirección en los datos de la instancia.
1. Desde un equipo de su red que se encuentre detrás del dispositivo de gateway de cliente, utilice el comando **ping** con la dirección IP privada de la instancia.
```
ping 10.0.0.4
```
La respuesta correcta será similar a la que se muestra a continuación.
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
Para probar la conmutación por error de los túneles, puede desactivar temporalmente uno de los túneles de su dispositivo de puerta de enlace de cliente y, a continuación, repetir este paso. No se pueden deshabilitar los túneles en el lado de AWS de la conexión de VPN.
1. Para probar la conexión de AWS a la red en las instalaciones, puede utilizar SSH o RDP para conectarse a la instancia desde la red. A continuación, puede ejecutar el comando `ping` con la dirección IP privada de otro equipo de la red para comprobar que ambos lados de la conexión pueden iniciar y recibir solicitudes.
Para obtener más información acerca de cómo conectarse a una instancia de Linux, consulte [Conexión a la instancia de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html) en la *Guía del usuario de Amazon EC2*. Para obtener más información acerca de cómo conectarse a una instancia de Windows, consulte [Conexión a la instancia de Windows](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html) en la *Guía del usuario de Amazon EC2*.
# Eliminación de una conexión de AWS Site-to-Site VPN y una puerta de enlace
Si ya no necesita la conexión de AWS Site-to-Site VPN, puede eliminarla. Cuando elimina una conexión de Site-to-Site VPN, no se elimina la gateway de cliente ni la gateway privada virtual asociada a la conexión. Si ya no necesita la gateway de cliente ni la gateway privada virtual, puede eliminarlas.
**aviso**
Si elimina su conexión de Site-to-Site VPN y luego crea una nueva, deberá descargar un nuevo archivo de configuración y volver a configurar el dispositivo de puerta de enlace de cliente.
**Topics**
+ [Eliminación de una conexión de VPN](delete-vpn-connection.md)
+ [Eliminación de una puerta de enlace de cliente](delete-cgw.md)
+ [Desasociación y eliminación de una puerta de enlace privada virtual](delete-vgw.md)
# Eliminación de una conexión de AWS Site-to-Site VPN
Cuando se elimina una conexión de Site-to-Site VPN, esta permanece visible durante un breve espacio de tiempo con el estado `deleted` y después se borra automáticamente.
**Para eliminar una conexión de VPN con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones de Site-to-Site VPN**.
1. Seleccione la conexión de VPN y elija **Acciones**, **Eliminar conexión de VPN**.
1. Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Para eliminar una conexión de VPN mediante la línea de comandos o la API**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html) (API de consulta de Amazon EC2)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) (AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
# Eliminación de una puerta de enlace de cliente de AWS Site-to-Site VPN
Si ya no necesita una gateway de cliente, puede eliminarla. No se pueden eliminar las gateways de cliente que se están utilizando en una conexión de Site-to-Site VPN.
**Para eliminar una gateway de cliente con la consola**
1. En el panel de navegación, elija **Puertas de enlace de cliente**.
1. Elija la puerta de enlace de cliente y elija **Acciones**, **Eliminar puerta de enlace de cliente**.
1. Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Para eliminar una gateway de cliente mediante la línea de comando o API**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html) (API de consulta de Amazon EC2)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html) (AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
# Desasociación y eliminación de una puerta de enlace privada virtual en AWS Site-to-Site VPN
Si ya no necesita una gateway privada virtual para su VPC, puede de cliente, puede separarla del VPC.
**Para desasociar una gateway privada virtual con la consola**
1. En el panel de navegación, elija **Puertas de enlace privadas virtuales**.
1. Seleccione la gateway privada virtual y elija **Actions**, **Detach from VPC**.
1. Elija **Desasociar puerta de enlace privada virtual**.
Si ya no necesita la gateway privada virtual separada, puede eliminarla. Tenga en cuenta que no podrá eliminar la gateway privada virtual si sigue adjunta a la VPC. Después de que borre una puerta de enlace privada virtual, esta permanece visible durante un breve periodo de tiempo con un estado de `deleted` y, a continuación, la entrada se elimina automáticamente.
**Para eliminar una gateway privada virtual con la consola**
1. En el panel de navegación, elija **Puertas de enlace privadas virtuales**.
1. Seleccione la puerta de enlace privada virtual y elija **Acciones**, **Eliminar puerta de enlace privada virtual**.
1. Cuando le pidan confirmación, escriba **delete** y elija **Eliminar**.
**Para desasociar una gateway privada virtual mediante la línea de comando o API**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html) (API de consulta de Amazon EC2)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html) (AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**Para eliminar una gateway privada virtual mediante la línea de comando o API**
+ [DeleteVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html) (API de consulta de Amazon EC2)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html) (AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# Modificar la puerta de enlace de destino de una AWS Site-to-Site VPN conexión
Puede modificar la puerta de enlace de destino de una AWS Site-to-Site VPN conexión. Hay disponibles las siguientes opciones de migración:
+ De una gateway privada virtual existente a una gateway de tránsito
+ Una gateway privada virtual existente a otra gateway privada virtual
+ De una gateway de tránsito existente a otra gateway de tránsito
+ De una gateway de tránsito existente a una gateway privada virtual
Después de modificar la puerta de enlace de destino, su conexión Site-to-Site VPN no estará disponible temporalmente durante un breve período mientras aprovisionamos los nuevos puntos de conexión.
Las siguientes tareas le ayudan a realizar la migración a una nueva gateway.
**Topics**
+ [Paso 1: Crear la puerta de enlace de destino nueva](#step-create-gateway)
+ [Paso 2: Actualizar las rutas estáticas (condicional)](#step-update-staic-route)
+ [Paso 3: Migrar a una nueva gateway](#step-migrate-gateway)
+ [Paso 4: Actualizar tablas de enrutamiento de VPC](#step-update-routing)
+ [Paso 5: Actualizar el enrutamiento de la puerta de enlace de destino (condicional)](#step-update-transit-gateway-routing)
+ [Paso 6: Actualizar el ASN de la puerta de enlace de cliente (condicional)](#step-update-customer-gateway-asn)
## Paso 1: Crear la puerta de enlace de destino nueva
Antes de realizar la migración a la nueva puerta de enlace de destino, debe configurarla. Para obtener más información acerca de cómo añadir una gateway privada virtual, consulte [Creación de una gateway privada virtual](SetUpVPNConnections.md#vpn-create-vpg). Para obtener más información acerca de cómo agregar una gateway de tránsito, consulte [Crear una gateway de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw) en *Gateways de tránsito de Amazon VPC*.
Si la nueva puerta de enlace de destino es una puerta de enlace de tránsito, conéctela VPCs a la puerta de enlace de tránsito. Para obtener más información sobre las conexiones de la VPC, consulte [Vinculaciones de una gateway de tránsito a una VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html) en *Gateways de tránsito de Amazon VPC* .
Cuando el destino cambia de una gateway privada virtual a una gateway de tránsito, se puede configurar el ASN de la gateway de tránsito para que tenga el mismo valor que el ASN de la gateway privada virtual. Si prefiere tener un ASN diferente, debe establecer el ASN del dispositivo de gateway de cliente en el ASN de la gateway de tránsito. Para obtener más información, consulte [Paso 6: Actualizar el ASN de la puerta de enlace de cliente (condicional)](#step-update-customer-gateway-asn).
## Paso 2: Actualizar las rutas estáticas (condicional)
Este paso es necesario cuando se pasa de una gateway privada virtual con rutas estáticas a una gateway de destino.
Debe eliminar las rutas estáticas antes de migrar a la nueva gateway.
**sugerencia**
Mantenga una copia de la ruta estática antes de eliminarla. Tendrá que volver a agregar estas rutas a la gateway de tránsito cuando haya terminado de migrar la conexión de VPN.
**Para eliminar una ruta de una tabla de ruteo**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Route tables** y, a continuación, seleccione la tabla de enrutamiento.
1. En la pestaña **Rutas**, elija **Editar rutas**.
1. Elija **Eliminar** para la ruta estática hacia la puerta de enlace privada virtual.
1. Seleccione **Save changes (Guardar cambios)**.
## Paso 3: Migrar a una nueva gateway
**Para cambiar la puerta de enlace de destino**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, selecciona **conexiones Site-to-Site VPN**.
1. Elija la conexión de VPN y elija **Acciones**, **Modificar conexión de VPN**.
1. En **Tipo de destino**, elija el tipo de puerta de enlace.
1. Si la puerta de enlace de destino nueva es una puerta de enlace privada virtual, elija la **puerta de enlace de VPN**.
1. Si la puerta de enlace de destino nueva es una puerta de enlace de tránsito, elija la **puerta de enlace de tránsito**.
1. Seleccione **Save changes (Guardar cambios)**.
**Para modificar una conexión Site-to-Site VPN mediante la línea de comandos o la API**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(API de consultas de Amazon EC2)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## Paso 4: Actualizar tablas de enrutamiento de VPC
Después de migrar a la nueva gateway, es posible que tenga que modificar la tabla de ruteo de VPC. Para obtener más información, consulte [Tablas de ruteo](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) en la *Guía del usuario de Amazon VPC*.
En la siguiente tabla se proporciona información sobre las actualizaciones de la tabla de enrutamiento de VPC que se deben llevar a cabo después de modificar el destino de la puerta de enlace VPN.
| Gateway existente | Nueva gateway | Cambio en la tabla de ruteo de VPC |
| --- | --- | --- |
| Gateway privada virtual con rutas propagadas | Puerta de enlace de tránsito | Agregue una ruta que contenga el ID de la puerta de enlace de tránsito. |
| Gateway privada virtual con rutas propagadas | Gateway privada virtual con rutas propagadas | No se requiere ninguna acción. |
| Gateway privada virtual con rutas propagadas | Gateway privada virtual con ruta estática | Agregue una ruta que contenga el ID de la nueva puerta de enlace privada virtual. |
| Gateway privada virtual con rutas estáticas | Puerta de enlace de tránsito | Actualice la ruta que contiene el ID de la puerta de enlace privada virtual al ID de la puerta de enlace de tránsito. |
| Gateway privada virtual con rutas estáticas | Gateway privada virtual con rutas estáticas | Actualice la ruta que contiene el ID de la puerta de enlace virtual privada al ID de la nueva puerta de enlace virtual privada. |
| Gateway privada virtual con rutas estáticas | Gateway privada virtual con rutas propagadas | Elimine la ruta que contiene el ID de la puerta de enlace privada virtual. |
| Puerta de enlace de tránsito | Gateway privada virtual con rutas estáticas | Actualice la ruta que contiene el ID de la puerta de enlace de tránsito al ID de la puerta de enlace privada virtual. |
| Puerta de enlace de tránsito | Gateway privada virtual con rutas propagadas | Elimine la ruta que contiene el ID de la puerta de enlace de tránsito. |
| Puerta de enlace de tránsito | Puerta de enlace de tránsito | Actualice la ruta que contiene el ID de la puerta de enlace de tránsito por el ID de la nueva puerta de enlace de tránsito. |
## Paso 5: Actualizar el enrutamiento de la puerta de enlace de destino (condicional)
Cuando la nueva puerta de enlace sea una puerta de enlace de tránsito, modifique la tabla de rutas de la puerta de enlace de tránsito para permitir el tráfico entre la VPC y la Site-to-Site VPN. Para obtener más información, consulte [Tablas de enrutamiento de Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) en *Transit Gateways de Amazon VPC*.
Si eliminó las rutas estáticas de VPN, debe agregarlas en la tabla de enrutamiento de la gateway de tránsito.
A diferencia de una puerta de enlace privada virtual, una puerta de enlace de tránsito establece el mismo valor para el discriminador de salida múltiple (MED) en todos los túneles de una conexión de VPN. Si está migrando de una puerta de enlace privada virtual a una puerta de enlace de tránsito y ha confiado en el valor del MED para la selección de túnel, le recomendamos que implemente cambios de enrutamiento para evitar problemas de conexión. Por ejemplo, puede anunciar rutas más específicas en su puerta de enlace de tránsito. Para obtener más información, consulte [Tablas de enrutamiento y prioridad de AWS Site-to-Site VPN enrutamiento](vpn-route-priority.md).
## Paso 6: Actualizar el ASN de la puerta de enlace de cliente (condicional)
Cuando la nueva gateway tenga un ASN diferente que la gateway antigua, debe actualizar el ASN en su dispositivo de gateway de cliente para que apunte al nuevo ASN. Para obtener más información, consulte [Opciones de gateway de cliente para su conexión de AWS Site-to-Site VPN](cgw-options.md).
# Modificación de las opciones de conexión de AWS Site-to-Site VPN
Puede modificar las opciones de una conexión de Site-to-Site VPN. Puede modificar las siguientes opciones:
+ Los rangos de CIDR IPv4 en el lado local (gateway de cliente) y en el lado remoto (AWS) de la conexión de VPN que puede comunicarse a través de los túneles de VPN. El valor predeterminado es `0.0.0.0/0` para ambos rangos.
+ Los rangos de CIDR IPv6 en el lado local (gateway de cliente) y remoto (AWS) de la conexión de VPN que puede comunicarse a través de los túneles de VPN. El valor predeterminado es `::/0` para ambos rangos.
Al modificar las opciones de conexión de VPN, las direcciones IP del punto de conexión de la VPN en el extremo de AWS no cambian y las opciones de túnel no cambian. Su conexión de VPN no estará disponible temporalmente durante un breve período mientras se actualiza la conexión de VPN.
**Para modificar las opciones de conexión de VPN mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones de Site-to-Site VPN**.
1. Seleccione su conexión de VPN y elija **Acciones**, **Modificar las opciones de conexión de VPN**.
1. Introduzca nuevos intervalos de CIDR según sea necesario.
1. Seleccione **Save changes (Guardar cambios)**.
**Para modificar las opciones de conexión de VPN utilizando la línea de comandos o la API**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html) (AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) (API de consulta de Amazon EC2)
# Modificar opciones de túnel de AWS Site-to-Site VPN
Puede modificar las opciones de los túneles de VPN de la conexión de Site-to-Site VPN. Puede modificar un túnel de VPN al mismo tiempo.
**importante**
Al modificar un túnel de VPN, la conectividad a través del túnel se interrumpe durante varios minutos. Asegúrese de tener previsto el tiempo de inactividad esperado.
**Para modificar las opciones del túnel de VPN utilizando la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones de Site-to-Site VPN**.
1. Seleccione la conexión de Site-to-Site VPN y elija **Acciones**, **Modificar las opciones de túnel de VPN**.
1. En **Dirección IP externa del túnel de VPN**, elija la IP del punto de conexión del túnel de VPN.
1. Elija o introduzca nuevos valores para las opciones de túnel según sea necesario. Para obtener más información sobre las opciones de túnel, consulte [Opciones de túnel de VPN](VPNTunnels.md).
**nota**
Algunas opciones de túnel tienen varios valores predeterminados. Haga clic para eliminar cualquier valor predeterminado. A continuación, ese valor predeterminado se elimina de la opción de túnel.
1. Seleccione **Save changes (Guardar cambios)**.
**Para modificar las opciones del túnel de VPN utilizando la línea de comandos o la API**
+ (AWS CLI) Utilice [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) para ver las opciones de túnel actuales y [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) para modificar las opciones de túnel.
+ (API de consulta de Amazon EC2) Utilice [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) para consultar las opciones actuales del túnel y [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) para modificarlas.
# Edición de rutas estáticas para una conexión de AWS Site-to-Site VPN
En las conexiones de Site-to-Site VPN de una puerta de enlace privada virtual configurada para un enrutamiento estático, puede agregar o eliminar rutas estáticas en la configuración de VPN.
**Para agregar o eliminar una ruta estática mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones de Site-to-Site VPN**.
1. Seleccione la conexión de VPN.
1. Elija **Editar rutas estáticas**.
1. Agregue o elimine rutas según sea necesario.
1. Seleccione **Save changes (Guardar cambios)**.
1. Si no ha habilitado la propagación de rutas en la tabla de ruteo, deberá actualizar manualmente las rutas de su tabla de ruteo para que reflejen los prefijos IP estáticos actualizados en su conexión de VPN. Para obtener más información, consulte [(Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento](SetUpVPNConnections.md#vpn-configure-routing).
1. Para una conexión de VPN en una puerta de enlace de tránsito, agregue, modifique o elimine las rutas estáticas de la tabla de enrutamiento de la puerta de enlace de tránsito. Para obtener más información, consulte [Tablas de enrutamiento de Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) en *Transit Gateways de Amazon VPC*.
**Para añadir una ruta estática mediante la línea de comando o un API**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html) (API de consulta de Amazon EC2)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html) (AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
**Para eliminar una ruta estática mediante la línea de comando o un API**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html) (API de consulta de Amazon EC2)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html) (AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
# Cambio de la puerta de enlace de cliente para una conexión de AWS Site-to-Site VPN
Puede cambiar la gateway de cliente de una conexión Site-to-Site VPN utilizando la consola de Amazon VPC o una herramienta de línea de comandos.
Después de cambiar la puerta de enlace de cliente, su conexión de VPN no estará disponible temporalmente durante un breve periodo mientras aprovisionamos los nuevos puntos de conexión.
**Para cambiar la gateway de cliente mediante la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones de Site-to-Site VPN**.
1. Seleccione la conexión de VPN.
1. Elija **Acciones**, **Modificar la conexión de VPN**.
1. En **Tipo de destino**, elija **Puerta de enlace de cliente**.
1. En **Puerta de enlace de cliente de destino**, elija la nueva puerta de enlace de cliente.
1. Seleccione **Save changes (Guardar cambios)**.
**Para modificar la gateway de cliente mediante la línea de comando o API**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) (API de consulta de Amazon EC2)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
# Sustitución de las credenciales comprometidas por una conexión de AWS Site-to-Site VPN
Si cree que las credenciales del túnel de la conexión de Site-to-Site VPN se han visto comprometidas, puede cambiar la clave de IKE previamente compartida o el certificado de ACM. El método que utilice depende de la opción de autenticación que haya utilizado para los túneles de la VPN. Para obtener más información, consulte [AWS Site-to-Site VPNOpciones de autenticación de túneles de](vpn-tunnel-authentication-options.md).
**Para cambiar la clave de IKE previamente compartida**
Puede modificar las opciones de los túneles de la conexión de VPN y especificar una nueva clave de IKE previamente compartida para cada túnel. Para obtener más información, consulte [Modificar opciones de túnel de AWS Site-to-Site VPN](modify-vpn-tunnel-options.md).
Si lo desea, también puede eliminar la conexión de VPN. Para obtener más información, consulte [Eliminación de una conexión de VPN y una puerta de enlace](delete-vpn.md). No es necesario eliminar la VPC ni la gateway privada virtual. A continuación, cree una nueva conexión de VPN mediante la misma puerta de enlace privada virtual y configure las nuevas claves en su dispositivo de puerta de enlace de cliente. Puede especificar sus propias claves compartidas previamente para los túneles o permitir a AWS generar nuevas claves compartidas previamente para usted. Para obtener más información, consulte [Creación de una conexión de VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Las direcciones internas y externas del túnel podrían cambiar al crear de nuevo la conexión de VPN.
**Para cambiar el certificado del extremo de AWS del punto de enlace del túnel**
Gire el certificado. Para obtener más información, consulte [Rotación de certificados de punto de conexión de túnel de VPN](rotate-vpn-certificate.md).
**Para cambiar el certificado en el dispositivo de gateway de cliente**
1. Cree un nuevo certificado. Para obtener información, consulte [Emisión y administración de certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) en la *Guía del usuario de AWS Certificate Manager*.
1. Agregue el certificado al dispositivo de gateway de cliente.
# Rotación de certificados de punto de conexión de túnel de AWS Site-to-Site VPN
Puede rotar los certificados de los puntos de conexión del túnel en el extremo de AWS a través de la consola de Amazon VPC. Cuando el certificado de un punto de enlace de túnel esté a punto de caducar, AWS rota automáticamente el certificado utilizando el rol vinculado al servicio. Para obtener más información, consulte [Funciones vinculadas al servicio para la VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
**Para rotar el certificado del punto de enlace de un túnel de Site-to-Site VPN a través de la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Conexiones de Site-to-Site VPN**.
1. Seleccione la conexión de Site-to-Site VPN y, a continuación, elija **Acciones**, **Modificar certificado de túnel de VPN**.
1. Seleccione el punto de conexión del túnel.
1. Seleccione **Save**.
**Para rotar el certificado del punto de enlace de un túnel de Site-to-Site VPN a través de la AWS CLI**
Utilice el comando [modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html).
# IP privada AWS Site-to-Site VPN con Direct Connect
Con una VPN con IP privada, puede implementar IPsec una VPN a través de ella Direct Connect, cifrando el tráfico entre su red local y AWS sin el uso de direcciones IP públicas ni equipos VPN adicionales de terceros.
Uno de los principales usos de la VPN con IP privada Direct Connect es ayudar a los clientes de los sectores financiero, sanitario y federal a cumplir sus objetivos normativos y de cumplimiento. La conexión VPN con IP privada Direct Connect garantiza que el tráfico entre las redes locales AWS y entre ellas sea seguro y privado, lo que permite a los clientes cumplir con sus requisitos normativos y de seguridad.
## Beneficios de la VPN de IP privada
+ **Administración y operaciones de red simplificadas:** sin una VPN IP privada, los clientes tienen que implementar VPN y enrutadores de terceros para implementar redes privadas a VPNs través de Direct Connect redes. Con la capacidad de VPN de IP privada, los clientes no tienen que implementar ni administrar su propia infraestructura de VPN. De este modo, se simplifican las operaciones de la red y se reducen los costos.
+ **Mejora de la seguridad:** anteriormente, los clientes tenían que utilizar una interfaz Direct Connect virtual pública (VIF) para cifrar el tráfico Direct Connect, lo que requería direcciones IP públicas para los puntos finales de la VPN. El uso del IPs sistema público aumenta la probabilidad de sufrir ataques externos (DOS), lo que a su vez obliga a los clientes a implementar equipos de seguridad adicionales para proteger la red. Además, un VIF público abre el acceso entre todos los servicios AWS públicos y las redes locales de los clientes, lo que aumenta la gravedad del riesgo. La función de VPN con IP privada permite el cifrado en Direct Connect tránsito VIFs (en lugar de hacerlo público VIFs), además de la posibilidad de configurarlo de forma privada. IPs Esto proporciona conectividad end-to-end privada además del cifrado, lo que mejora la seguridad general.
+ **Mayor escala de rutas:** las conexiones VPN IP privadas ofrecen límites de ruta más altos (5000 rutas de salida y 1000 rutas de entrada) en comparación con las conexiones individuales Direct Connect, que actualmente tienen un límite de 200 rutas de salida y 100 de entrada.
## Cómo funciona la VPN de IP privada
La Site-to-Site VPN IP privada funciona a través de una interfaz virtual de Direct Connect tránsito (VIF). Utiliza una Direct Connect puerta de enlace y una puerta de enlace de tránsito para interconectar sus redes locales.AWS VPCs Una conexión VPN IP privada tiene puntos de terminación en la pasarela de tránsito, por un AWS lado, y en el dispositivo de puerta de enlace del cliente, en el lado local. Debe asignar direcciones IP privadas a los extremos de los IPsec túneles de la pasarela de tránsito y del dispositivo de puerta de enlace del cliente. Puede usar direcciones IP privadas de uno RFC1918 o varios rangos de IPv4 direcciones RFC6598 privadas.
Adjunta una conexión de VPN de IP privada a una puerta de enlace de tránsito. A continuación, enruta el tráfico entre el adjunto de la VPN y cualquier otra red VPCs (o cualquier otra red) que también esté conectada a la puerta de enlace de tránsito. Esto se hace asociando una tabla de enrutamiento con la conexión de VPN. En la dirección contraria, puede enrutar el tráfico desde su adjunto VPCs a la VPN con IP privada mediante tablas de enrutamiento asociadas a VPCs.
La tabla de rutas asociada al adjunto de la VPN puede ser la misma o diferente de la asociada al Direct Connect adjunto subyacente. Esto le permite enrutar el tráfico cifrado y no cifrado de forma simultánea entre su red VPCs y la local.
Para obtener más información sobre la ruta de tráfico que sale de la VPN, consulte las [políticas de enrutamiento de la interfaz virtual privada y de la interfaz virtual de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) en la *Guía del usuario de Direct Connect*.
## Requisitos previos
En la siguiente tabla se describen los requisitos previos a la creación de una VPN de IP privada a través de Direct Connect.
| Elemento | Steps | Información |
| --- | --- | --- |
| Prepare la puerta de enlace de tránsito para Site-to-Site la VPN. | Cree la puerta de enlace de tránsito mediante la consola Amazon Virtual Private Cloud(VPC) o mediante la línea de comandos o la API. Consulte [Puertas de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en la *Guía de puertas de enlace de tránsito de Amazon VPC*. | Una puerta de enlace de tránsito es un centro de tránsito de red que puede usar para interconectar sus VPCs redes con las locales. Puede crear una nueva puerta de enlace de tránsito o utilizar una ya existente para la conexión de VPN de IP privada. Al crear la puerta de enlace de tránsito, o al modificar una ya existente, se especifica un bloque de CIDR de IP privada para la conexión. Al especificar el bloque de CIDR de la puerta de enlace de tránsito que se va a asociar a su VPN de IP privada, asegúrese de que el bloque de CIDR no se solapa con ninguna dirección IP de ninguna otra conexión de red en la puerta de enlace de tránsito. Si algún bloque de CIDR de IP se solapa, puede provocar problemas de configuración con su dispositivo de puerta de enlace de cliente. |
| Cree la Direct Connect puerta de enlace para Site-to-Site la VPN. | Cree la puerta de enlace de Direct Connect mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Crear una puerta de enlace AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) en la *Guía Direct Connect del usuario*. | Una puerta de enlace Direct Connect le permite conectar interfaces virtuales (VIFs) en varias AWS regiones. Esta puerta de enlace se utiliza para conectarse a VIF. |
| Cree la asociación de pasarelas de tránsito para la Site-to-Site VPN. | Cree la asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Asociar o Direct Connect desasociar una pasarela de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) en la *Guía del Direct Connect usuario*. | Después de crear la Direct Connect puerta de enlace, cree una asociación de puerta de enlace de tránsito para la Direct Connect puerta de enlace. Especifique el CIDR de IP privada para la puerta de enlace de tránsito que se identificó anteriormente en la lista de prefijos permitidos. |
**Topics**
+ [Beneficios de la VPN de IP privada](#private-ip-dx-features)
+ [Cómo funciona la VPN de IP privada](#private-ip-dx-how)
+ [Requisitos previos](#private-ip-dx-prereqs)
+ [Creación de una VPN de IP privada a través de Direct Connect](private-ip-dx-steps.md)
# Crear una IP privada a AWS Site-to-Site VPN través de Direct Connect
Para crear una VPN con IP privada, Direct Connect sigue estos pasos. Antes de crear la VPN de IP privada a través de Direct Connect, debe asegurarse de crear primero una puerta de enlace de tránsito y una puerta de enlace de Direct Connect. Después de crear las dos puertas de enlace, debe crear una asociación entre las dos. Estos requisitos previos se describen en la tabla siguiente. Una vez que haya creado y asociado las dos puertas de enlace, creará una puerta de enlace para clientes de VPN y una conexión mediante esa asociación.
## Requisitos previos
En la siguiente tabla se describen los requisitos previos a la creación de una VPN de IP privada a través de Direct Connect.
| Elemento | Steps | Información |
| --- | --- | --- |
| Prepare la puerta de enlace de tránsito para la Site-to-Site VPN. | Cree la puerta de enlace de tránsito mediante la consola Amazon Virtual Private Cloud (VPC) o mediante la línea de comandos o la API. Consulte [Puertas de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) en la *Guía de puertas de enlace de tránsito de Amazon VPC*. | Una puerta de enlace de tránsito es un centro de tránsito de red que puede usar para interconectar sus VPCs redes con las locales. Puede crear una nueva puerta de enlace de tránsito o utilizar una ya existente para la conexión de VPN de IP privada. Al crear la puerta de enlace de tránsito, o al modificar una ya existente, se especifica un bloque de CIDR de IP privada para la conexión. Al especificar el bloque de CIDR de la puerta de enlace de tránsito que se va a asociar a su VPN de IP privada, asegúrese de que el bloque de CIDR no se solapa con ninguna dirección IP de ninguna otra conexión de red en la puerta de enlace de tránsito. Si algún bloque de CIDR de IP se solapa, puede provocar problemas de configuración con su dispositivo de puerta de enlace de cliente. |
| Cree la Direct Connect puerta de enlace para Site-to-Site la VPN. | Cree la puerta de enlace de Direct Connect mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Crear una puerta de enlace AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) en la *Guía Direct Connect del usuario*. | Una puerta de enlace Direct Connect le permite conectar interfaces virtuales (VIFs) en varias AWS regiones. Esta puerta de enlace se utiliza para conectarse a VIF. |
| Cree la asociación de pasarelas de tránsito para la Site-to-Site VPN. | Cree la asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito mediante la consola de Direct Connect o mediante la línea de comandos o la API. Consulte [Asociar o Direct Connect desasociar una pasarela de tránsito](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) en la *Guía del Direct Connect usuario*. | Después de crear la Direct Connect puerta de enlace, cree una asociación de puerta de enlace de tránsito para la Direct Connect puerta de enlace. Especifique el CIDR de IP privada para la puerta de enlace de tránsito que se identificó anteriormente en la lista de prefijos permitidos. |
## Cree la puerta de enlace del cliente y la conexión para la Site-to-Site VPN
Una pasarela de clientes es un recurso que se crea en él AWS. Representa el dispositivo de puerta de enlace de cliente en las instalaciones. Cuando crea una pasarela de clientes, proporciona información sobre su dispositivo a AWS. Para obtener más información, consulte [Puerta de enlace de cliente](how_it_works.md#CustomerGateway).
**Para crear una gateway de cliente con la consola**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puertas de enlace de cliente**.
1. Elija **Crear puerta de enlace de cliente**.
1. (Opcional) En **Name tag** (Etiqueta de nombre), ingrese un nombre para la puerta de enlace de cliente. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.
1. En **BGP ASN**, ingrese un número de sistema autónomo (ASN) para protocolo de puerta de enlace fronteriza (BGP) de la puerta de enlace de cliente.
1. En **IP address (Dirección IP)**, ingrese la dirección IP privada de su dispositivo de puerta de enlace de cliente.
**importante**
Al configurar la IP AWS privada AWS Site-to-Site VPN, debe especificar sus propias direcciones IP de punto final del túnel mediante las direcciones RFC 1918. No utilice las direcciones point-to-point IP para la interconexión eBGP entre el router de puerta de enlace del cliente y el punto final. Direct Connect AWS recomienda utilizar una interfaz LAN o de bucle invertido en el router de puerta de enlace del cliente como dirección de origen o destino en lugar de conexiones. point-to-point
Para obtener más información sobre la RFC 1918, consulte [Address Allocation for Private Internets](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Opcional) En **Device** (Dispositivo), ingrese un nombre para el dispositivo que aloja esta puerta de enlace de cliente.
1. Elija **Crear puerta de enlace de cliente**.
1. En el panel de navegación, seleccione las conexiones **Site-to-Site VPN**.
1. Elija **Create VPN Connection** (Crear conexión VPN).
1. (Opcional) En la **etiqueta de nombre**, introduzca un nombre para la conexión Site-to-Site VPN. Esta acción creará una etiqueta con una clave de `Name` y el valor que especifique.
1. En **Target gateway type (Tipo de puerta de enlace de destino)**, elija **Transit gateway (Puerta de enlace de tránsito)**. A continuación, elija la puerta de enlace de tránsito que identificó anteriormente.
1. En **Customer gateway (Puerta de enlace de cliente)**, seleccione **Existing (Existente)**. A continuación, elija la puerta de enlace de cliente que creó anteriormente.
1. Seleccione una de las opciones de direccionamiento en función de si el dispositivo de gateway de cliente da soporte al protocolo de gateway fronteriza (BGP):
+ Si el dispositivo de gateway de cliente da soporte a BGP, elija **Dynamic (requires BGP) (Dinámico [requiere BGP])**.
+ Si el dispositivo de gateway de cliente no da soporte a BGP, elija **Static (Estático)**.
1. En la **versión Túnel dentro de IP**, especifique si los túneles VPN admiten IPv4 IPv6 tráfico.
1. (Opcional) Si especificó **IPv4**la **versión Túnel dentro de IP**, también puede especificar los rangos de IPv4 CIDR para la puerta de enlace del cliente y AWS los lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado es `0.0.0.0/0`.
Si especificó **IPv6**la **versión Tunnel inside IP**, si lo desea, puede especificar los rangos de IPv6 CIDR para la puerta de enlace del cliente y AWS los lados que pueden comunicarse a través de los túneles VPN. El valor predeterminado para ambos rangos es `::/0`.
1. Para el **tipo de dirección IP externa**, elija **PrivateIpv4**.
1. En el **campo ID del adjunto de transporte**, elija el adjunto de la pasarela de tránsito correspondiente a la Direct Connect pasarela correspondiente.
1. Elija **Create VPN Connection** (Crear conexión VPN).
**nota**
La opción **Enable acceleration (Habilitar aceleración)** no es aplicable a las conexiones de VPN sobre Direct Connect.
**Para crear una gateway de cliente mediante la línea de comando o API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API de consultas de Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)