

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Fichiers de configuration de routage dynamique téléchargeables pour AWS Site-to-Site VPN le dispositif de passerelle client
<a name="cgw-dynamic-routing-examples"></a>

Pour télécharger un exemple de fichier de configuration avec des valeurs spécifiques à la configuration de votre connexion Site-to-Site VPN, utilisez la console Amazon VPC, la ligne de AWS commande ou l'API Amazon EC2. Pour de plus amples informations, veuillez consulter [Étape 6 : Téléchargement du fichier de configuration](SetUpVPNConnections.md#vpn-download-config).

Vous pouvez également télécharger des exemples de fichiers de configuration génériques pour le routage dynamique qui n'incluent pas de valeurs spécifiques à la configuration de votre connexion Site-to-Site VPN : [dynamic-routing-examples.zip](samples/dynamic-routing-examples.zip)

Les fichiers utilisent des valeurs d'espace réservé pour certains composants. Par exemple, ils utilisent :
+ Des exemples de valeurs pour l'ID de connexion VPN, l'ID de passerelle client et l'ID de passerelle réseau privé virtuel
+ Espaces réservés aux AWS points de terminaison d'adresses IP distants (*AWS\$1ENDPOINT\$11*et) *AWS\$1ENDPOINT\$12*
+ Un espace réservé pour l'adresse IP de l'interface externe routable par Internet sur le dispositif de passerelle client () *your-cgw-ip-address*
+ Un espace réservé pour la valeur de clé pré-partagée () pre-shared-key
+ Des exemples de valeurs pour le tunnel à l'intérieur des adresses IP.
+ Exemples de valeurs pour le paramètre MTU.

**Note**  
Les paramètres MTU fournis dans les exemples de fichiers de configuration ne sont que des exemples. Veuillez vous référer à [Bonnes pratiques pour un dispositif de passerelle AWS Site-to-Site VPN client](cgw-best-practice.md) pour obtenir des informations sur la définition de la valeur MTU optimale pour votre situation.

En plus de fournir des valeurs d'espace réservé, les fichiers spécifient les exigences minimales pour une connexion Site-to-Site VPN de AES128, SHA1, et du groupe Diffie-Hellman 2 dans la plupart des AWS régions, et AES128 SHA2, et du groupe Diffie-Hellman 14 dans les régions. AWS GovCloud Ils spécifient également des clés prépartagées pour l'[authentification](vpn-tunnel-authentication-options.md). Vous devez modifier l'exemple de fichier de configuration pour tirer parti des algorithmes de sécurité supplémentaires, des groupes Diffie-Hellman, des certificats privés et du trafic. IPv6 

Le diagramme suivant fournit une vue d'ensemble des différents composants configurés sur le périphérique de passerelle client. Il inclut des exemples de valeurs pour les adresses IP de l'interface tunnel.

![\[Périphérique de passerelle client avec routage dynamique\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/cgw-bgp.png)


# Configuration du routage dynamique pour un dispositif de passerelle AWS Virtual Private Network client
<a name="cgw-dynamic-routing-example-interface"></a>

Voici quelques exemples de procédures pour configurer un périphérique de passerelle client à l'aide de son interface utilisateur (si disponible).

------
#### [ Check Point ]

Voici les étapes à suivre pour configurer un appareil Check Point Security Gateway exécutant le R77.10 ou une version ultérieure, à l'aide du portail Web Gaia et de Check Point. SmartDashboard Pour de plus amples informations, veuillez consulter [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) sur le Centre de support Check Point.

**Pour configurer l'interface du tunnel**

La première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de la passerelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel, utilisez les informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration. Pour créer le second tunnel, utilisez les valeurs fournies dans la section `IPSec Tunnel #2` du fichier de configuration. 

1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui par défaut, choisissez clish en exécutant la commande suivante : `clish`

1. Définissez l'ASN de la passerelle client (l'ASN fourni lors de la création de la passerelle client AWS) en exécutant la commande suivante.

   ```
   set as 65000
   ```

1. Créez l'interface de tunnel pour le premier tunnel, en utilisant les informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel que `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Répétez ces commandes pour créer le second tunnel, à l'aide des informations fournies dans la section `IPSec Tunnel #2` du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel que `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Définissez l'ASN de la passerelle réseau privé virtuel.

   ```
   set bgp external remote-as 7224 on 
   ```

1. Configurez le protocole BGP pour le premier tunnel, à l'aide des informations fournies dans la section `IPSec Tunnel #1` du fichier de configuration :

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Configurez le protocole BGP pour le second tunnel, à l'aide des informations fournies dans la section `IPSec Tunnel #2` du fichier de configuration :

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Enregistrez la configuration.

   ```
   save config
   ```

**Pour créer une stratégie BGP**

Ensuite, créez une stratégie BGP qui autorise l'importation des acheminements publiés par AWS. Ensuite, configurez votre passerelle client pour publier ses acheminements locaux vers AWS.

1. Dans l'interface utilisateur Web de Gaia, sélectionnez **Advanced Routing**, **Inbound Route Filters**. Choisissez **Add**, puis sélectionnez **Add BGP Policy (Based on AS)**.

1. Pour **Add BGP Policy (Ajouter une stratégie BGP)**, sélectionnez une valeur comprise entre 512 et 1 024 dans le premier champ, puis saisissez l'ASN de la passerelle réseau privé virtuel dans le second champ (par exemple, `7224`).

1. Choisissez **Enregistrer**.

**Pour publier les itinéraires locaux**

Les étapes suivantes concernent la répartition des itinéraires locaux d'interface. Vous pouvez également redistribuer les routes à partir de différentes sources (par exemple, les routes statiques ou celles obtenues via les protocoles de routage dynamique). Pour de plus amples informations, veuillez consulter le manuel [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. Dans l'interface utilisateur Web de Gaia, sélectionnez **Advanced Routing**, **Routing Redistribution**. Choisissez **Add Redistribution From (Ajouter une redistribution à partir de)** et sélectionnez **Interface**.

1. Pour **To Protocol (Vers le protocole)**, sélectionnez l'ASN de la passerelle réseau privé virtuel (par exemple, `7224`).

1. Pour **Interface**, sélectionnez une interface interne. Choisissez **Enregistrer**.

**Pour définir un nouvel objet réseau**

Ensuite, créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IP publiques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau en tant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe vide comme espace réservé du domaine VPN. 

1. Ouvrez le point de contrôle SmartDashboard.

1. Pour **Groups**, ouvrez le menu contextuel et choisissez **Groups**, **Simple Group**. Vous pouvez utiliser le même groupe pour chaque objet réseau.

1. Pour **Network Objects**, ouvrez le menu contextuel (clic droit) et choisissez **New**, **Interoperable Device**.

1. Pour **Name (Nom)**, entrez le nom attribué à votre tunnel à l'étape 1 : `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`, par exemple.

1. Pour **IPv4 Adresse**, entrez l'adresse IP externe de la passerelle privée virtuelle fournie dans le fichier de configuration, par exemple,`54.84.169.196`. Enregistrez vos paramètres et fermez la boîte de dialogue.  
![\[Boîte de dialogue Check Point Interoperable Device\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Dans le volet de gauche des catégories, sélectionnez **Topology**. 

1. Dans la section **VPN Domain (Domaine VPN)**, choisissez **Manually defined (Défini manuellement)**, puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez **OK**.

1. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section `IPSec Tunnel #2` du fichier de configuration.

1. Accédez à votre objet réseau passerelle, ouvrez votre objet passerelle ou cluster, puis sélectionnez **Topology**.

1. Dans la section **VPN Domain (Domaine VPN)**, choisissez **Manually defined (Défini manuellement)**, puis accédez au groupe simple vide que vous avez créé à l'étape 2 et sélectionnez-le. Choisissez **OK**.
**Note**  
Vous pouvez conserver n'importe quel domaine VPN existant que vous avez configuré. Cependant, assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexion VPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN est automatiquement dérivé.

**Note**  
Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces de cluster. Utilisez les adresses IP spécifiées dans le fichier de configuration. 

**Pour créer et configurer la communauté VPN, l'IKE et IPsec les paramètres**

Ensuite, créez une communauté VPN sur votre passerelle Check Point et ajoutez-y les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également l'échange de clés Internet (IKE) et IPsec les paramètres.

1. Dans les propriétés de votre passerelle, choisissez **IPSecVPN** dans le volet des catégories.

1. Choisissez **Communities**, **New**, **Star Community**.

1. Entrez un nom pour votre communauté (par exemple, `AWS_VPN_Star`), puis choisissez **Center Gateways** dans le volet des catégories.

1. Choisissez **Add**, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.

1. Dans le volet des catégories, sélectionnez **Satellite Gateways (Passerelles satellites)**, **Add (Ajouter)**, puis ajoutez les périphériques interopérables que vous avez créés précédemment (`AWS_VPC_Tunnel_1` et `AWS_VPC_Tunnel_2`) à la liste des passerelles participantes.

1. Dans le volet des catégories, sélectionnez **Encryption**. Dans la section **Méthode de chiffrement**, choisissez **IKEv1 pour IPv4 et IKEv2 pour IPv6**. Dans la section **Encryption Suite**, choisissez **Custom**, **Custom Encryption**.
**Note**  
Vous devez sélectionner les options **IKEv1 pour IPv4 et IKEv2 pour IPv6** pour les IKEv1 fonctionnalités.

1. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez **OK** lorsque vous avez terminé :
   + Propriétés IKE Security Association (Phase 1) :
     + **Perform key exchange encryption with** : AES-128
     + **Perform data integrity with** : SHA-1
   + IPsec Propriétés de l'association de sécurité (phase 2) :
     + **Effectuez le chiffrement IPsec des données avec** : AES-128
     + **Perform data integrity with** : SHA-1

1. Dans le volet des catégories, sélectionnez **Tunnel Management**. Choisissez **Set Permanent Tunnels**, **On all tunnels in the community**. Dans la section **VPN Tunnel Sharing**, choisissez **One VPN tunnel per Gateway pair**.

1. Dans le volet des catégories, développez **Advanced Settings**, puis choisissez **Shared Secret**.

1. Sélectionnez le nom d'homologue du premier tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #1` du fichier de configuration.

1. Sélectionnez le nom d'homologue du second tunnel, choisissez **Edit (Modifier)** et entrez la clé prépartagée comme indiqué dans la section `IPSec Tunnel #2` du fichier de configuration.  
![\[Boîte de dialogue Check Point Interoperable Shared Secret\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Toujours dans la catégorie **Advanced Settings (Paramètres avancés)**, choisissez **Advanced VPN Properties (Propriétés de VPN avancées)**, configurez les propriétés comme suit et sélectionnez **OK** lorsque vous avez terminé :
   + IKE (Phase 1) :
     + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Phase 2) :
     + Choisissez **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Utiliser le groupe Diffie-Hellman)** : `Group 2 (1024 bit)`
     + ****Renégociez les associations de IPsec sécurité toutes les secondes `3600`****

**Pour créer les règles de pare-feu**

Ensuite, configurez une stratégie avec les règles de pare-feu et les règles de correspondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vous installez la stratégie sur votre passerelle.

1. Dans le SmartDashboard, choisissez **Propriétés globales** pour votre passerelle. Dans le volet des catégories, développez **VPN**, puis choisissez **Advanced**.

1. Choisissez **Enable VPN Directional Match in VPN Column**, puis **OK**.

1. Dans le SmartDashboard, choisissez **Firewall**, puis créez une politique avec les règles suivantes : 
   + Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis. 
   + Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

1. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez **Edit Cell**. 

1. Dans la boîte de dialogue **VPN Match Conditions**, choisissez **Match traffic in this direction only**. Créez les règles de correspondance directionnelle suivantes en choisissant **Add (Ajouter)** pour chaque règle, puis **OK** lorsque vous avez terminé :
   + `internal_clear` > Communauté VPN (la communauté VPN que vous avez créée plus tôt : par exemple, `AWS_VPN_Star`)
   + Communauté VPN > Communauté VPN
   + Communauté VPN > `internal_clear`

1. Dans le SmartDashboard, choisissez **Policy**, **Install**. 

1. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez **OK** pour installer la stratégie.

**Pour modifier la propriété tunnel\$1keepalive\$1method**

Votre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) pour savoir à quel moment une association IKE est arrêtée. Pour configurer DDP pour un tunnel permanent, le tunnel permanent doit être configuré dans la communauté AWS VPN.

Par défaut, la propriété `tunnel_keepalive_method` pour une passerelle VPN est définie sur `tunnel_test`. Vous devez modifier la valeur sur `dpd`. Chaque passerelle VPN de la communauté VPN qui nécessite une surveillance DPD doit être configurée avec la propriété `tunnel_keepalive_method`, notamment toute passerelle VPN tierce. Vous ne pouvez pas configurer différents mécanismes de surveillance pour la même passerelle.

Vous pouvez mettre à jour la `tunnel_keepalive_method` propriété à l'aide de l'DBedit outil Gui.

1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**.

1. Choisissez **File**, **Database Revision Control...** et créez un instantané de révision.

1. Fermez toutes les SmartConsole fenêtres, telles que le SmartDashboard SmartView Tracker et le SmartView Monitor.

1. Démarrez l'BDedit outil Gui. Pour plus d'informations, consultez l'article [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) sur le Centre de support Check Point. 

1. Choisissez **Security Management Server**, **Domain Management Server**.

1. Dans le volet supérieur gauche, choisissez **Table**, **Network Objects**, **network\$1objects**. 

1. Dans le volet supérieur droit, sélectionnez l'objet **Security Gateway**, **Cluster** approprié. 

1. Appuyez sur CTRL\$1F, ou utilisez le menu **Search** pour rechercher ce qui suit : `tunnel_keepalive_method`.

1. Dans le volet inférieur, ouvrez le menu contextuel pour `tunnel_keepalive_method` et sélectionnez **Edit...**. Choisissez **dpd**, puis **OK**.

1. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.

1. Sélectionnez **File**, **Save As**.

1. Fermez l'DBedit outil Gui.

1. Ouvrez le point SmartDashboard de contrôle et choisissez **Security Management Server**, **Domain Management Server**.

1. Installez la stratégie sur l'objet **Security Gateway**, **Cluster** approprié.

Pour plus d'informations, consultez l'article [Nouvelles fonction VPN dans R77.10](https://support.checkpoint.com/results/sk/sk97746) sur le Centre de support Check Point.

**Pour activer la restriction TCP MSS**

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentation des paquets.

1. Accédez au répertoire suivant : `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Ouvrez Check Point Database Tool en exécutant le fichier `GuiDBEdit.exe`.

1. Choisissez **Table**, **Global Properties**, **properties**.

1. Pour `fw_clamp_tcp_mss`, choisissez **Edit**. Remplacez la valeur par `true`, puis choisissez **OK**.

**Pour vérifier l'état du tunnel**  
Vous pouvez vérifier l'état du tunnel en exécutant la commande suivante à partir de l'outil de ligne de commande en mode expert. 

```
vpn tunnelutil
```

Dans les options qui s'affichent, choisissez **1** pour vérifier les associations IKE et **2** pour vérifier les IPsec associations.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de la connexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyé via le tunnel 1 et qu'il a été chiffré.

![\[Fichier journal Check Point\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

Vous pouvez configurer un appareil SonicWALL à l'aide de l'interface de gestion SonicOS. Pour plus d’informations sur la configuration des tunnels, consultez [Configuration du routage statique pour un dispositif de passerelle AWS Site-to-Site VPN client](cgw-static-routing-example-interface.md).

Vous ne pouvez pas configurer BGP pour le dispositif à l'aide de l'interface de gestion. À la place, utilisez les instructions de ligne de commande fournies dans l'exemple de fichier de configuration, sous la section nommée **BGP**.

------

## Appareils Cisco : informations supplémentaires
<a name="cgw-dynamic-routing-examples-cisco"></a>

Certains modes Cisco ASAs ne prennent en charge que Active/Standby le mode. Lorsque vous utilisez ces Cisco ASAs, vous ne pouvez avoir qu'un seul tunnel actif à la fois. L'autre tunnel en veille devient actif si le premier tunnel devient inaccessible. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC. 

Cisco ASAs à partir de la version 9.7.1 et du Active/Active mode de support ultérieur. Lorsque vous utilisez ces Cisco ASAs, les deux tunnels peuvent être actifs en même temps. Avec cette redondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Pour les périphériques Cisco, vous devez effectuer les opérations suivantes :
+ Configurer l'interface externe.
+ Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.
+ Vous assurer que le numéro de séquence de la stratégie de la liste Crypto est unique.
+ Assurez-vous que le Crypto IPsec Transform Set et la Crypto ISAKMP Policy Sequence sont en harmonie avec tous IPsec les autres tunnels configurés sur l'appareil.
+ Vous assurer que le numéro de supervision du SLA est unique.
+ Configurer tous les routages internes qui acheminent le trafic entre le périphérique de passerelle client et votre réseau local.

## Appareils Juniper : informations supplémentaires
<a name="cgw-dynamic-routing-examples-juniper"></a>

Les informations suivantes s'appliquent aux exemples de fichiers de configuration pour les périphériques de passerelle client Juniper série J et SRX. 
+ L'interface extérieure est appelée*ge-0/0/0.0*.
+ L'interface IDs du tunnel est appelée *st0.1* et*st0.2*.
+ Vous assurer que vous identifiez la zone de sécurité pour l'interface de liaison montante (les informations de configuration utilisent la zone « untrust » par défaut).
+ Vous assurer que vous identifiez la zone de sécurité pour l'interface interne (les informations de configuration utilisent la zone « trust » par défaut).