Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Travaillez avec AWS Site-to-Site VPN
Vous pouvez utiliser les ressources Site-to-Site VPN à l'aide de la console Amazon VPC ou du.AWS CLI
**Topics**
+ [Création et gestion de concentrateurs VPN](create-manage-vpn-concentrators.md)
+ [Création d'une connexion VPN](create-vpn-connection.md)
+ [Test d'une connexion VPN](HowToTestEndToEnd_Linux.md)
+ [Supprimer une connexion VPN et une passerelle](delete-vpn.md)
+ [Modification de la passerelle cible d'une connexion VPN](modify-vpn-target.md)
+ [Modifier les options de connexion VPN](modify-vpn-connection-options.md)
+ [Modification des options du tunnel VPN](modify-vpn-tunnel-options.md)
+ [Modification de routes statiques pour une connexion VPN](vpn-edit-static-routes.md)
+ [Modification de la passerelle client pour une connexion VPN](change-vpn-cgw.md)
+ [Remplacement d'informations d'identification compromises](CompromisedCredentials.md)
+ [Rotation des certificats des points de terminaison du tunnel VPN](rotate-vpn-certificate.md)
+ [VPN IP privé avec Direct Connect](private-ip-dx.md)
# Création et gestion de AWS Site-to-Site VPN concentrateurs
Site-to-SiteLes concentrateurs VPN vous permettent d'agréger et de gérer plusieurs connexions VPN à partir de sites distants, offrant ainsi une gestion centralisée.
Après avoir créé vos concentrateurs Site-to-Site VPN, vous pouvez les consulter et les gérer depuis la page principale des concentrateurs Site-to-Site VPN de la console Amazon VPC. Ce tableau de bord affiche tous les concentrateurs VPN actifs qui gèrent les connexions sécurisées entre AWS et vos sites distants.
**Topics**
+ [Création d'un concentrateur VPN](create-vpn-concentrator.md)
+ [Gérer les tags du concentrateur VPN](manage-vpn-concentrator-tags.md)
+ [Supprimer un concentrateur VPN](delete-vpn-concentrator.md)
# Création d'un AWS Site-to-Site VPN concentrateur
Créez un concentrateur à l'aide de la console Amazon VPC, APIs du, ou du. AWS CLI Avant de créer un concentrateur, vous devez d'abord avoir créé une passerelle de transit à associer au concentrateur. Pour plus d'informations sur la création de passerelles de transit, consultez [Create a transit gateway](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html) dans le guide *Amazon AWS VPC Transit Gateway*.
## Créez un concentrateur Site-to-Site VPN à l'aide de la console
Pour créer un concentrateur Site-to-Site VPN à l'aide de la console AWS de gestion, procédez comme suit :
**Pour créer un concentrateur Site-to-Site VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Site-to-Site VPN Concentrators.**
1. Choisissez **Create Site-to-Site VPN Concentrator.**
1. (Facultatif) Dans **le champ Name tag**, saisissez le nom de votre concentrateur Site-to-Site VPN.
1. Pour **Transit gateway**, sélectionnez une passerelle de transit existante.
1. (Facultatif) Ajoutez des balises pour identifier et organiser votre concentrateur Site-to-Site VPN.
1. Sélectionnez **Ajouter une nouvelle balise**.
1. Pour **Clé**, entrez une clé de balise (par exemple,**Name**).
1. Pour **Valeur**, entrez une valeur de balise (par exemple,**Production-VPN-Concentrator**).
1. Répétez les étapes précédentes pour ajouter des balises supplémentaires si nécessaire.
1. Choisissez **Create Site-to-Site VPN Concentrator.**
Après sa création, le concentrateur Site-to-Site VPN sera dans un `pending` état pendant son provisionnement. Une fois prêt, l'état passe à `available` et vous pouvez commencer à créer des connexions VPN utilisant le concentrateur Site-to-Site VPN.
## Créez un concentrateur Site-to-Site VPN à l'aide de la CLI
Avant de créer un concentrateur Site-to-Site VPN à l'aide de la CLI, assurez-vous de disposer des éléments suivants :
+ Un Transit Gateway existant dans votre AWS compte
+ Autorisations IAM appropriées pour créer des concentrateurs Site-to-Site VPN
+ L'ID du Transit Gateway auquel vous souhaitez associer le Concentrator
L'exemple suivant crée un concentrateur Site-to-Site VPN pour la passerelle de transit spécifiée :
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
Ce qui suit montre une réponse réussie :
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## Créez un concentrateur Site-to-Site VPN à l'aide de l'API
Vous pouvez créer un concentrateur Site-to-Site VPN à l'aide de l' CreateVpnConcentrators API.
L'API accepte les paramètres clés suivants :
`TransitGatewayId`
L'ID du Transit Gateway auquel connecter le concentrateur Site-to-Site VPN.
`TagSpecification`
Tags à attribuer au concentrateur Site-to-Site VPN pour l'organisation des ressources et la facturation.
L'exemple suivant montre comment créer un concentrateur Site-to-Site VPN connecté à un Transit Gateway :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
Une fois la création réussie, l'API renvoie des informations sur le concentrateur Site-to-Site VPN nouvellement créé :
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# Gérer les tags du AWS Site-to-Site VPN Concentrator
Les tags sont des paires clé-valeur qui vous aident à organiser et à gérer vos concentrateurs Site-to-Site VPN. Vous pouvez utiliser des balises pour classer les concentrateurs Site-to-Site VPN par objectif, environnement, centre de coûts ou tout autre critère pertinent pour votre organisation.
## Gérer les tags à l'aide de la console
Vous pouvez ajouter ou supprimer des balises pour un concentrateur Site-to-Site VPN à l'aide de la console AWS de gestion.
**Pour ajouter des balises à un concentrateur Site-to-Site VPN**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Site-to-Site VPN Concentrators.**
1. Sélectionnez le concentrateur Site-to-Site VPN que vous souhaitez baliser.
1. Sélectionnez l’onglet **Tags** (Identifications).
1. Choisissez **Gérer les balises**.
1. Choisissez **Add new tag** (Ajouter une nouvelle balise).
1. Pour **Clé**, entrez une clé de balise (par exemple,**Environment**).
1. Pour **Valeur**, entrez une valeur de balise (par exemple,**Production**).
1. Sélectionnez **Enregistrer les modifications**.
**Pour supprimer des tags d'un concentrateur Site-to-Site VPN**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Site-to-Site VPN Concentrators.**
1. Sélectionnez le concentrateur Site-to-Site VPN dont vous souhaitez supprimer les tags.
1. Sélectionnez l’onglet **Tags** (Identifications).
1. Choisissez **Gérer les balises**.
1. Pour chaque étiquette que vous souhaitez supprimer, choisissez **Supprimer**.
1. Sélectionnez **Enregistrer les modifications**.
## Gérer les balises à l'aide de la CLI
Vous pouvez ajouter, modifier ou supprimer des balises à l'aide du AWS CLI.
**Ajout de balises**
L'exemple suivant ajoute des balises à un concentrateur Site-to-Site VPN :
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
Cette commande ne renvoie aucun résultat en cas de réussite.
**Affichage des balises**
L'exemple suivant décrit les balises d'un concentrateur Site-to-Site VPN :
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
La réponse suivante est renvoyée :
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**Suppression de balises**
L'exemple suivant supprime les balises d'un concentrateur Site-to-Site VPN :
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
Cette commande ne renvoie aucun résultat en cas de réussite.
## Gérez les tags à l'aide de l'API
Vous pouvez gérer par programmation les balises Site-to-Site VPN Concentrator à l'aide des opérations d'API Amazon EC2 .
**CreateTags**
Utilisez l'`CreateTags`opération pour ajouter ou mettre à jour des balises :
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
La réponse suivante est renvoyée :
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**DescribeTags**
Utilisez l'`DescribeTags`opération pour récupérer les tags :
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
La réponse suivante est renvoyée :
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
Utilisez l'`DeleteTags`opération pour supprimer les tags :
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
La réponse suivante est renvoyée :
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# Supprimer un AWS Site-to-Site VPN concentrateur
Lorsque vous n'avez plus besoin d'un concentrateur Site-to-Site VPN, vous pouvez le supprimer pour ne plus encourir de frais. La suppression d'un concentrateur Site-to-Site VPN le supprime définitivement ainsi que toutes les configurations associées.
## Conditions préalables
Avant de supprimer un concentrateur Site-to-Site VPN, assurez-vous de ce qui suit :
+ Toutes les connexions VPN associées au concentrateur Site-to-Site VPN sont supprimées.
+ Vous disposez des autorisations nécessaires pour supprimer les concentrateurs Site-to-Site VPN (`ec2:DeleteVpnConcentrator`).
## Supprimer un concentrateur Site-to-Site VPN à l'aide de la console
**Pour supprimer un concentrateur Site-to-Site VPN**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez Concentrators de **site à site**.
1. Sélectionnez le concentrateur Site-to-Site VPN que vous souhaitez supprimer.
1. Choisissez **Actions**, puis choisissez **Supprimer le concentrateur Site-to-Site VPN**.
1. Dans la boîte de dialogue de confirmation, tapez **delete** pour confirmer la suppression.
1. Sélectionnez **Delete (Supprimer)**.
## Supprimer un concentrateur Site-to-Site VPN à l'aide de la CLI
Utilisez la `delete-vpn-concentrator` commande pour supprimer un concentrateur Site-to-Site VPN. Vous `vpn-concentrator-id` en aurez besoin pour le supprimer.
L'exemple suivant supprime un concentrateur Site-to-Site VPN :
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
La réponse suivante est renvoyée :
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## Supprimer un concentrateur Site-to-Site VPN à l'aide de l'API
Utilisez cette `DeleteVpnConcentrator` opération pour supprimer un concentrateur Site-to-Site VPN. Vous `VpnConcentratorId` en aurez besoin pour le supprimer.
L'exemple suivant supprime un concentrateur Site-to-Site VPN :
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
La réponse suivante est renvoyée :
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# Création d'une AWS Site-to-Site VPN connexion
Vous pouvez créer des connexions Site-to-Site VPN qui se connectent à des passerelles de transit ou à des réseaux mondiaux Cloud WAN. Les deux types de pièces jointes prennent en charge les IPv6 protocoles IPv4 et peuvent éventuellement utiliser des concentrateurs Site-to-Site VPN pour connecter plusieurs sites distants de manière rentable.
## Création d'une connexion VPN à l'aide de la console
**Pour créer une connexion VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
1. (Facultatif) Pour **Identification de nom**, saisissez un nom pour la connexion. Une identification est alors créée avec la clé `Name` et la valeur que vous spécifiez.
1. Pour le **type de passerelle cible**, choisissez l'une des options suivantes :
+ **Passerelle privée virtuelle** : créez une nouvelle connexion VPN de passerelle privée virtuelle en choisissant une **passerelle privée virtuelle** existante.
+ **Passerelle de transit** : créez une nouvelle connexion VPN de passerelle de transit en choisissant une **passerelle de transit** existante. Pour plus d'informations sur la création d'une passerelle de transit, consultez [Passerelles de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) dans *Passerelles de transit Amazon VPC*.
+ **Site-to-Site Concentrateur VPN** - Créez une nouvelle connexion au concentrateur Site-to-Site VPN en utilisant un concentrateur Site-to-Site VPN existant ou en créant un nouveau. Sélectionnez l’une des méthodes suivantes :
+ **Existant** : créez une nouvelle connexion Site-to-Site VPN au concentrateur VPN à l'aide d'un concentrateur existant.
+ **Nouveau** - Entrez un nom facultatif pour le concentrateur Site-to-Site VPN, puis choisissez la passerelle de transit à associer à celui-ci.
+ **Non associée** : créez une connexion VPN indépendante qui pourra ensuite être associée à Cloud WAN via la console ou l'API Network Manager. Pour plus d'informations sur les pièces jointes VPN et le Cloud WAN, consultez la section [Pièces jointes Site-to-site VPN dans le AWS Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) dans le *Guide de l'utilisateur du AWS Cloud WAN*.
1. Pour **Passerelle client**, effectuez l'une des actions suivantes :
+ Pour utiliser une passerelle client existante, choisissez **Existing**, puis choisissez l'**ID de passerelle client**.
+ Pour créer une nouvelle passerelle client, choisissez **Nouveau**, puis procédez comme suit :
+ Pour l'**adresse IP**, entrez une adresse statique **IPv4**ou une **IPv6**adresse.
+ (Facultatif) Pour l'**ARN du certificat**, choisissez l'ARN de votre certificat privé (si vous utilisez l'authentification basée sur les certificats).
+ Dans **Version du moteur de cache**, saisissez le numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de votre passerelle client. Pour de plus amples informations, veuillez consulter [Options de passerelle client](cgw-options.md).
1. Pour les **options de routage**, choisissez **Dynamic (nécessite BGP)** ou **Static**.
**Note**
Les connexions VPN Cloud WAN et les connexions VPN utilisant des concentrateurs ne prennent en charge que le routage BGP. Le routage statique n'est pas pris en charge pour ces types de connexion.
1. Pour le **stockage de clés pré-partagé**, choisissez **Standard** ou **Secrets Manager**. La sélection par défaut est **Standard**. Pour plus d'informations sur l'utilisation de AWS Secrets Manager, consultez [Sécurité](security.md).
1. Pour la **version Tunnel inside IP**, choisissez **IPv4**ou **IPv6**.
1. (Facultatif) Pour **Activer l'accélération**, cochez la case pour activer l'accélération. Pour de plus amples informations, veuillez consulter [Connexions VPN accélérées](accelerated-vpn.md).
Si vous activez l'accélération, nous créons deux accélérateurs qui sont utilisés par votre connexion VPN. Des frais supplémentaires s’appliquent.
1. (Facultatif) En fonction de la version de tunnel IP que vous avez choisie, effectuez l'une des opérations suivantes :
+ IPv4 — Pour le **CIDR IPv4 du réseau local**, spécifiez la plage d'adresses IPv4 CIDR du côté de la passerelle client (sur site) autorisée à communiquer via les tunnels VPN. Pour le ** IPv4 réseau distant CIDR**, choisissez la plage d'adresses CIDR du AWS côté autorisé à communiquer via des tunnels VPN. La valeur par défaut pour les deux champs est`0.0.0.0/0`.
+ IPv6 — Pour le **CIDR IPv6 du réseau local**, spécifiez la plage d'adresses IPv6 CIDR du côté de la passerelle client (sur site) autorisée à communiquer via les tunnels VPN. Pour le ** IPv6 réseau distant CIDR**, choisissez la plage d'adresses CIDR du AWS côté autorisé à communiquer via des tunnels VPN. La valeur par défaut pour les deux champs est `::/0`
1. Pour le **type d'adresse IP externe**, choisissez l'une des options suivantes :
+ **Public IPv4** - (par défaut) Utilise les IPv4 adresses du tunnel extérieur IPs.
+ **Privé IPv4** - Utilisez une IPv4 adresse privée pour une utilisation sur des réseaux privés.
+ **IPv6**- Utilisez IPv6 les adresses du tunnel extérieur IPs. Cette option nécessite que votre dispositif de passerelle client prenne en charge l' IPv6adressage.
**Note**
Si vous sélectionnez **IPv6**le type d'adresse IP externe, vous devez créer une passerelle client avec une IPv6 adresse
1. (Facultatif) Pour les **options du tunnel 1**, vous pouvez spécifier les informations suivantes pour chaque tunnel :
+ Un bloc IPv4 CIDR de taille /30 issu de la `169.254.0.0/16` plage des adresses du tunnel IPv4 intérieur.
+ Si vous avez spécifié **IPv6**pour la **version IP du tunnel intérieur**, un bloc d'adresse IPv6 CIDR /126 dans la `fd00::/8` plage des adresses du tunnel IPv6 intérieur.
+ La clé pré-partagée (PSK) IKE. Les versions suivantes sont prises en charge : IKEv1 ou IKEv2.
+ Pour modifier les options avancées de votre tunnel, choisissez **Modifier les options du tunnel**. Pour de plus amples informations, veuillez consulter [Options de tunnel VPN](VPNTunnels.md).
+ (Facultatif) Choisissez **Activer** pour que le **journal d'activité du tunnel** capture les messages du journal d' IPsec activité et les messages du protocole DDP.
+ (Facultatif) Choisissez **Activer pour le** **cycle de vie des terminaux du tunnel** afin de contrôler le calendrier des remplacements des terminaux. Pour plus d'informations sur le cycle de vie des points de terminaison du tunnel, consultez[Cycle de vie des points de terminaison de tunnel](tunnel-endpoint-lifecycle.md).
1. (Facultatif) Choisissez **les options du tunnel 2** et suivez les étapes précédentes pour configurer un deuxième tunnel.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
# Création d'une connexion à une passerelle de AWS Site-to-Site VPN transit à l'aide de la CLI ou de l'API
## Créez une connexion VPN à Transit Gateway à l'aide de la CLI
Utilisez la [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)commande et spécifiez l'ID de passerelle de transit pour l'`--transit-gateway-id`option.
L'exemple suivant illustre la création d'une connexion VPN avec un tunnel IPv6 externe IPs et un tunnel IPv6 interne IPs :
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Exemple de réponse :
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## Créez une connexion VPN à Transit Gateway à l'aide de l'API
Vous pouvez créer une connexion VPN à l'aide de l'API Amazon EC2. Cette section fournit des exemples de messages de demande et de réponse pour créer une connexion VPN de passerelle de transit à l'aide de l'API.
### Conditions préalables
Avant de créer une connexion VPN à l'aide de l'API, assurez-vous d'avoir :
+ Une passerelle de transport en commun créée et disponible
+ Une passerelle client configurée avec les détails de votre appareil sur site
L'exemple suivant montre comment créer une connexion VPN à l'aide de l'action `CreateVpnConnection` API :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
Cet exemple crée une connexion VPN avec routage dynamique (BGP) entre la passerelle de transit spécifiée et la passerelle client.
Une réponse API réussie renvoie les détails de la connexion VPN :
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
La réponse inclut l'ID de connexion VPN, l'état actuel et les détails de configuration. La connexion sera initialement dans un état « en attente » pendant qu'AWS approvisionne les tunnels VPN.
# Créez une connexion AWS Site-to-Site VPN Cloud WAN à l'aide de la CLI ou de l'API
Vous pouvez créer des connexions Site-to-Site VPN entre votre réseau local et votre réseau WAN dans AWS le cloud en suivant la procédure ci-dessous. Pour plus d'informations, consultez la section [Pièces jointes Site-to-site VPN dans AWS le Cloud WAN](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html) dans le *Guide de l'utilisateur du AWS Cloud WAN*.
## Créez une connexion VPN au Cloud WAN à l'aide de la CLI
Utilisez la [create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html)commande pour créer une connexion VPN qui sera ultérieurement connectée à un réseau mondial Cloud WAN. Cela crée une connexion VPN indépendante qui peut ensuite être associée au Cloud WAN via la console ou l'API Network Manager.
**Conditions préalables**
Avant de créer une connexion VPN Cloud WAN, assurez-vous de disposer des éléments suivants :
+ `customer-gateway-id`- Une ressource de passerelle client existante (`cgw-xxxxxxxxx`) qui représente votre appareil VPN sur site.
+ **Réseau mondial Cloud WAN - Un réseau** mondial Cloud WAN doit être créé et configuré avec des segments de réseau appropriés.
+ **Configuration BGP** - Les connexions VPN Cloud WAN nécessitent un routage BGP ; le routage statique n'est pas pris en charge. Vous devez définir `StaticRoutesOnly=false` dans le paramètre options
Cette commande crée une connexion VPN sans spécifier de passerelle cible. La connexion sera isolée et pourra ensuite être associée à votre réseau mondial Cloud WAN via la console ou l'API Network Manager. L'`StaticRoutesOnly=false`option active le routage BGP, qui est obligatoire pour les pièces jointes au VPN Cloud WAN, car le routage statique n'est pas pris en charge.
L'exemple suivant crée une connexion VPN indépendante pour Cloud WAN :
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
La réponse renvoie ce qui suit :
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
Après avoir créé la connexion VPN, vous pouvez l'associer à votre réseau mondial Cloud WAN à l'aide de la console Network Manager ou de l'appel `create-site-to-site-vpn-attachment` d'API.
## Créez une connexion VPN Cloud WAN à l'aide de l'API
Vous pouvez utiliser l'API EC2 pour créer une connexion VPN pour l'intégration du Cloud WAN. Cela implique de passer un appel d'`CreateVpnConnection`API qui crée une connexion VPN indépendante, qui peut ensuite être associée à votre réseau mondial Cloud WAN.
La demande d'API crée une connexion VPN sans spécifier de passerelle cible, la laissant dans un état non connecté prêt à être intégré au Cloud WAN. La connexion utilise le routage BGP, qui est requis pour les pièces jointes au VPN Cloud WAN.
L'exemple suivant montre la requête HTTP pour créer une connexion VPN Cloud WAN :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
L'API renvoie une réponse réussie contenant les détails de la connexion VPN. La connexion sera dans un `pending` état initial lors de AWS l'approvisionnement des tunnels VPN, moment auquel le statut passe à`available`.
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**Détails de la réponse**
La réponse de l'API fournit les informations clés suivantes :
+ **vpnConnectionId**- L'identifiant unique de votre connexion VPN (par exemple,`vpn-0abcdef1234567890`) que vous utiliserez pour l'associer au Cloud WAN
+ **état** - Initialement « en attente » pendant qu'AWS approvisionne les tunnels VPN, puis passe à « disponible » lorsqu'il est prêt à être rattaché
+ **catégorie** - Affiche « VPN » indiquant qu'il s'agit d'une connexion VPN non connectée adaptée à l'intégration Cloud WAN
+ **staticRoutesOnly**- Réglez sur « false » pour activer le routage BGP, qui est requis pour les pièces jointes au VPN Cloud WAN
Une fois que la connexion VPN atteint l'état « disponible », vous pouvez l'associer à votre réseau mondial Cloud WAN à l'aide de l'`CreateSiteToSiteVpnAttachment`API Network Manager ou de la console AWS.
# Création d'une connexion au AWS Site-to-Site VPN concentrateur à l'aide de la CLI ou de l'API
## Créez une connexion Site-to-Site VPN Concentrator à l'aide de la CLI
Après avoir créé un concentrateur Site-to-Site VPN, vous devez établir des connexions VPN individuelles entre vos sites distants et le concentrateur Site-to-Site VPN. Chaque site distant nécessite sa propre connexion VPN qui fait référence à l'ID du concentrateur Site-to-Site VPN. Cela permet à plusieurs sites distants de partager la même infrastructure de concentrateur Site-to-Site VPN tout en maintenant des tunnels sécurisés séparés pour chaque site.
Pour établir une connexion VPN à l'aide d'un concentrateur Site-to-Site VPN, spécifiez le concentrateur Site-to-Site VPN au lieu de la passerelle de transit lors de la création de la connexion VPN. L'exemple suivant crée une connexion VPN à l'aide d'un concentrateur Site-to-Site VPN :
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
Une réponse réussie renvoie ce qui suit :
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## Créez une connexion Site-to-Site VPN Concentrator à l'aide de l'API
Vous pouvez créer une connexion VPN qui utilise un concentrateur Site-to-Site VPN à l'aide de l'API Amazon EC2. Cette section fournit des exemples de messages de demande et de réponse pour créer une connexion VPN avec un concentrateur Site-to-Site VPN.
Avant de créer une connexion VPN avec un concentrateur Site-to-Site VPN à l'aide de l'API, assurez-vous d'avoir :
+ Un concentrateur Site-to-Site VPN créé et disponible
+ Une passerelle client configurée pour votre site distant
+ Configuration réseau autorisant IPsec le trafic entre votre site et AWS
L'exemple suivant montre comment créer une connexion VPN à l'aide d'un concentrateur Site-to-Site VPN avec l'action `CreateVpnConnection` API :
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
Cet exemple crée une connexion VPN entre le concentrateur Site-to-Site VPN spécifié et la passerelle client. Le concentrateur Site-to-Site VPN agit en tant que point de terminaison AWS secondaire, permettant à plusieurs sites distants de se connecter via un hub centralisé.
Une réponse API réussie renvoie les détails de la connexion VPN avec les informations du concentrateur Site-to-Site VPN :
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
La réponse inclut l'identifiant de connexion VPN et fait référence à l'identifiant du concentrateur Site-to-Site VPN au lieu d'un identifiant de passerelle de transit. Cette connexion permet à votre site distant de communiquer avec d'autres sites connectés au même concentrateur Site-to-Site VPN, ce qui permet d'activer les hub-and-spoke topologies réseau.
# Afficher les AWS Site-to-Site VPN connexions
## Afficher les connexions VPN à l'aide de la console
Vous pouvez consulter vos connexions VPN et leurs détails à l'aide de l'AWS Management Console. Cela fournit une interface visuelle pour surveiller l'état de la connexion, l'état du tunnel et les détails de configuration.
**Pour afficher les connexions VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Site-to-Site VPN Connections**.
1. Sélectionnez votre connexion VPN pour afficher des informations détaillées, notamment :
+ État et statut de la connexion
+ Détails du tunnel et état de santé
+ Informations sur l'itinéraire
+ Paramètres de configuration
La console affiche des informations d'état en temps réel et vous permet de surveiller la connectivité des tunnels, de consulter les tables de routage et d'accéder aux détails de configuration pour le dépannage.
## Afficher les connexions VPN à l'aide de la CLI
Utilisez la CLI AWS pour interroger et récupérer des informations détaillées sur vos connexions VPN par programmation. Cette méthode permet l'automatisation, la création de scripts et l'intégration aux outils de surveillance.
Pour interroger toutes les connexions VPN de votre compte AWS et de votre région actuels, exécutez la `describe-vpn-connections` commande sans paramètres. Toutefois, si vous souhaitez consulter les détails d'une connexion VPN en particulier, vous devez connaître l'identifiant de connexion VPN.
Pour obtenir des informations détaillées sur une connexion VPN spécifique, spécifiez l'ID de connexion en tant que paramètre. L'exemple suivant montre une demande visant à afficher les détails d'une connexion VPN spécifique.
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
La réponse inclut des informations complètes sur la connexion VPN, notamment les options de tunnel, les détails du routage et l'état actuel.
+ `State`- L'état actuel de la connexion VPN
+ `TunnelOptions`- Configuration et état de chaque tunnel
+ `OutsideIpAddress`- Les adresses IP publiques des tunnels VPN
+ `Routes`- Informations de routage pour la connexion
Exemple d'extrait de réponse montrant les principaux détails de connexion :
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## Afficher les connexions VPN à l'aide de l'API
Passez des appels d'API directs au EC2 service Amazon pour récupérer les informations de connexion VPN. Cette approche offre une flexibilité maximale pour les applications personnalisées et les intégrations programmatiques.
L'action `DescribeVpnConnections` API interroge et renvoie des informations détaillées sur une ou plusieurs connexions VPN. Vous pouvez appliquer des filtres par ID de connexion, par état ou par d'autres attributs pour affiner vos résultats.
L'exemple suivant montre un exemple de demande visant à fournir des informations sur une connexion VPN unique.
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
La réponse renvoie des informations sur cette connexion VPN.
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# Tester une AWS Site-to-Site VPN connexion
Après avoir créé la AWS Site-to-Site VPN connexion et configuré la passerelle client, vous pouvez lancer une instance et tester la connexion en envoyant un ping à l'instance.
Avant de commencer, veillez à exécuter les actions suivantes :
+ Utilisez une AMI répondant aux requêtes ping. Nous vous recommandons d'utiliser l'un des systèmes Amazon Linux AMIs.
+ Configurez tous les groupes de sécurité ou toutes les listes ACL réseau de votre VPC qui filtrent le trafic vers l'instance pour autoriser le trafic ICMP entrant et sortant. Cela permet à l'instance de recevoir des demandes `ping`.
+ Si vous utilisez des instances exécutant Windows Server, connectez-vous à l'instance et activez le trafic entrant ICMPv4 sur le pare-feu Windows afin d'envoyer un ping à l'instance.
+ (Routage statique) Assurez-vous que le périphérique de passerelle client a une route statique vers votre VPC et que votre connexion VPN a une route statique afin que le trafic puisse revenir à votre périphérique de passerelle client.
+ (Routage dynamique) Assurez-vous que l'état du BGP sur votre périphérique de passerelle client est établi. Environ 30 secondes s'écoulent avant que la session d'appairage BGP soit établie. Assurez-vous que les routes sont publiées correctement avec le BGP et apparaissent dans la table de routage du sous-réseau afin que le trafic puisse revenir à votre passerelle client. Assurez-vous que les deux tunnels sont configurés avec le routage BGP.
+ Assurez-vous que vous avez configuré le routage dans vos tables de routage de sous-réseau pour la connexion VPN.
**Pour tester la connectivité**
1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Sur le tableau de bord, choisissez **Lancer une instance**.
1. (Facultatif) Pour **Nom**, saisissez un nom descriptif pour votre instance.
1. Pour **Images d'applications et de systèmes d'exploitation (Amazon Machine Image)**, choisissez **Démarrage rapide**, puis choisissez le système d'exploitation de votre instance.
1. Pour **Nom de la paire de clés**, choisissez une paire de clés existante ou créez-en une.
1. Pour **Paramètres réseau**, choisissez **Sélectionner un groupe de sécurité existant**, puis sélectionnez le groupe de sécurité que vous avez configuré.
1. Dans le panneau **Summary** (Récapitulatif), sélectionnez **Launch instance** (Lancer l’instance).
1. Après l'exécution de l'instance, obtenez son adresse IP privée (par exemple, 10.0.0.4). La EC2 console Amazon affiche l'adresse dans le cadre des détails de l'instance.
1. Depuis un ordinateur dans votre réseau qui se trouver derrière la périphérique de passerelle client, utilisez la commande **ping** avec l'adresse IP privée de l'instance.
```
ping 10.0.0.4
```
Une réponse positive ressemble à ceci :
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
Pour tester le basculement de tunnel, vous pouvez désactiver temporairement un des tunnels sur votre appareil de passerelle client et répéter cette étape. Vous ne pouvez pas désactiver un tunnel côté AWS de la connexion VPN.
1. Pour tester la connexion depuis AWS votre réseau local, vous pouvez utiliser SSH ou RDP pour vous connecter à votre instance depuis votre réseau. Vous pouvez ensuite exécuter la commande `ping` avec l'adresse IP privée d'un autre ordinateur de votre réseau, pour vérifier que les deux côtés de la connexion peuvent lancer et recevoir des demandes.
Pour plus d'informations sur la connexion à une instance Linux, consultez [Connect to your Linux instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html) dans le *guide de EC2 l'utilisateur Amazon*. Pour plus d'informations sur la façon de se connecter à une instance Windows, consultez [Connect to your Windows](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html) User Guide dans le *guide de EC2 l'utilisateur Amazon*.
# Supprimer une AWS Site-to-Site VPN connexion et une passerelle
Si vous n'avez plus besoin d'une AWS Site-to-Site VPN connexion, vous pouvez la supprimer. Lorsque vous supprimez une connexion Site-to-Site VPN, nous ne supprimons pas la passerelle client ou la passerelle privée virtuelle associée à la connexion Site-to-Site VPN. Si vous n'avez plus besoin de la passerelle client et de la passerelle réseau privé virtuel, vous pouvez les supprimer.
**Avertissement**
Si vous supprimez votre connexion Site-to-Site VPN puis en créez une nouvelle, vous devez télécharger un nouveau fichier de configuration et reconfigurer le dispositif de passerelle client.
**Topics**
+ [Suppression d'une connexion VPN](delete-vpn-connection.md)
+ [Suppression d'une passerelle client](delete-cgw.md)
+ [Détachement et suppression d'une passerelle réseau privé virtuel](delete-vgw.md)
# Supprimer une AWS Site-to-Site VPN connexion
Une fois que vous avez supprimé votre connexion Site-to-Site VPN, elle reste visible pendant un court moment avec l'état de`deleted`, puis l'entrée est automatiquement supprimée.
**Pour supprimer une connexion VPN avec la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez la connexion VPN, puis choisissez **Actions**, **Supprimer une connexion VPN**.
1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.
**Pour supprimer une connexion VPN à l'aide de la ligne de commande ou de l'API**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html)(API Amazon EC2 Query)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) (AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
# Supprimer une passerelle AWS Site-to-Site VPN client
Si vous n'avez plus besoin d'une passerelle client, vous pouvez la supprimer. Vous ne pouvez pas supprimer une passerelle client utilisée dans une connexion Site-to-Site VPN.
**Pour supprimer une passerelle client avec la console**
1. Dans le volet de navigation, choisissez **Passerelles client**.
1. Sélectionnez la passerelle client, puis choisissez **Actions**, **Supprimer la passerelle client**.
1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.
**Pour supprimer une passerelle client à l'aide de la ligne de commande ou de l'API**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html)(API Amazon EC2 Query)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html) (AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
# Détachez et supprimez une passerelle privée virtuelle dans AWS Site-to-Site VPN
Si vous n'avez plus besoin d'une passerelle privée virtuelle pour votre VPC, vous pouvez la détacher du VPC.
**Pour détacher une passerelle réseau privé virtuel avec la console**
1. Dans le volet de navigation, choisissez **Passerelles réseau privé virtuel**.
1. Sélectionnez la passerelle réseau privé virtuel, puis choisissez **Actions**, **Détacher du VPC**.
1. Choisissez **Détacher une passerelle réseau privé virtuel**.
Si vous n'avez plus besoin d'une passerelle réseau privé virtuel détachée, vous pouvez la supprimer. Vous ne pouvez pas supprimer une passerelle réseau privé virtuel qui est toujours attachée à un VPC. Après avoir supprimé votre passerelle réseau privé virtuel, elle reste visible pendant un court moment avec un état de `deleted`, puis l'entrée est automatiquement supprimée.
**Pour supprimer une passerelle réseau privé virtuel avec la console**
1. Dans le volet de navigation, choisissez **Passerelles réseau privé virtuel**.
1. Sélectionnez la passerelle réseau privé virtuel, puis choisissez **Actions**, **Supprimer une passerelle réseau privé virtuel**.
1. Lorsque vous êtes invité à confirmer, entrez **delete**, puis choisissez **Delete (Supprimer)**.
**Pour détacher une passerelle réseau privé virtuel à l'aide de la ligne de commande ou de l'API**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html)(API Amazon EC2 Query)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html) (AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**Pour supprimer une passerelle réseau privé virtuel à l'aide de la ligne de commande ou de l'API**
+ [DeleteVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html)(API Amazon EC2 Query)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html) (AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# Modifier la passerelle cible d'une AWS Site-to-Site VPN connexion
Vous pouvez modifier la passerelle cible d'une AWS Site-to-Site VPN connexion. Les options de migration suivantes sont disponibles :
+ Une passerelle réseau privé virtuel existante vers une passerelle de transit
+ Une passerelle réseau privé virtuel vers une autre passerelle réseau privé virtuel
+ Une passerelle de transit existante vers une autre passerelle de transit
+ Une passerelle de transit existante vers une passerelle réseau privé virtuel
Après avoir modifié la passerelle cible, votre connexion Site-to-Site VPN sera temporairement indisponible pendant une brève période pendant que nous fournissons les nouveaux points de terminaison.
Les tâches suivantes vous aident à procéder à la migration vers une nouvelle passerelle.
**Topics**
+ [Étape 1 : Créer la nouvelle passerelle cible](#step-create-gateway)
+ [Étape 2 : Suppression de vos routes statiques (conditionnel)](#step-update-staic-route)
+ [Étape 3 : Migration vers une nouvelle passerelle](#step-migrate-gateway)
+ [Étape 4 : Mise à jour des tables de routage de VPC](#step-update-routing)
+ [Étape 5 : Mettre à jour le routage (conditionnel) de la passerelle cible](#step-update-transit-gateway-routing)
+ [Étape 6 : Mise à jour de l'ASN de la passerelle client (conditionnel)](#step-update-customer-gateway-asn)
## Étape 1 : Créer la nouvelle passerelle cible
Avant de procéder à la migration vers la nouvelle passerelle cible, vous devez configurer cette dernière. Pour plus d'informations sur l'ajout d'une passerelle réseau privé virtuel, consultez [Créer une passerelle réseau privé virtuel](SetUpVPNConnections.md#vpn-create-vpg). Pour plus d'informations sur l'ajout d'une passerelle de transit, consultez [Créer une passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw) dans *Passerelles de transit Amazon VPC*.
Si la nouvelle passerelle cible est une passerelle de transit, attachez-la VPCs à la passerelle de transit. Pour plus d'informations sur les attachements de VPC, consultez [Réseaux de transit par passerelle vers un VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html) dans *Passerelles de transit Amazon VPC*.
Lorsque vous modifiez la cible d'une passerelle réseau privé virtuel vers une passerelle de transit, vous pouvez éventuellement définir l'ASN de la passerelle de transit pour qu'il ait la même valeur que l'ASN de la passerelle réseau privé virtuel. Si vous choisissez d'avoir un ASN différent, vous devez définir l'ASN sur votre périphérique de passerelle client sur l'ASN de la passerelle de transit. Pour de plus amples informations, veuillez consulter [Étape 6 : Mise à jour de l'ASN de la passerelle client (conditionnel)](#step-update-customer-gateway-asn).
## Étape 2 : Suppression de vos routes statiques (conditionnel)
Cette étape est obligatoire lorsque vous procédez à une migration depuis une passerelle réseau privé virtuel avec des routes statiques vers une passerelle de transit.
Vous devez supprimer les routes statiques avant de procéder à la migration vers la nouvelle passerelle.
**Astuce**
Gardez une copie de la route statique avant de la supprimer. Vous devrez rajouter ces routes à la passerelle de transit lorsque la migration de la connexion VPN sera terminée.
**Pour supprimer un itinéraire dans une table d'itinéraires**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisissez **Tables de routage**, puis sélectionnez la table de routage.
1. Dans l’onglet **Routes**, choisissez **Edit routes (Modifier les routes)**.
1. Choisissez **Supprimer** pour la route statique menant à la passerelle réseau privé virtuel.
1. Sélectionnez **Enregistrer les modifications**.
## Étape 3 : Migration vers une nouvelle passerelle
**Pour modifier la passerelle cible**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez la connexion VPN, puis choisissez **Actions**, **Modifier la connexion VPN**.
1. Pour **Type de cible**, choisissez le type de passerelle.
1. Si la nouvelle passerelle cible est une passerelle privée virtuelle, choisissez **Passerelle VPN**.
1. Si la nouvelle passerelle cible est une passerelle de transit, choisissez **Passerelle de transit**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour modifier une connexion Site-to-Site VPN à l'aide de la ligne de commande ou de l'API**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(API de requête Amazon EC2)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## Étape 4 : Mise à jour des tables de routage de VPC
Après la migration vers la nouvelle passerelle, il se peut que vous ayez besoin de modifier votre table de routage de VPC. Pour plus d'informations, consultez [Tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) dans le *Guide de l’utilisateur Amazon VPC*.
Le tableau suivant fournit des informations sur les mises à jour de la table de routage VPC à effectuer après avoir modifié la cible de la passerelle VPN.
| Passerelle existante | Nouvelle passerelle | Modification de table de routage de VPC |
| --- | --- | --- |
| Passerelle réseau privé virtuel avec routes propagées | Passerelle de transit | Ajoutez une route qui contient l'ID de la passerelle de transit. |
| Passerelle réseau privé virtuel avec routes propagées | Passerelle réseau privé virtuel avec routes propagées | Aucune action n'est requise. |
| Passerelle réseau privé virtuel avec routes propagées | Passerelle réseau privé virtuel avec routes statiques | Ajoutez une entrée qui contient l'ID de la passerelle réseau privé virtuel. |
| Passerelle réseau privé virtuel avec routes statiques | Passerelle de transit | Mettez à jour la route qui contient l'ID de la passerelle réseau privé virtuel avec l'ID de la passerelle de transit. |
| Passerelle réseau privé virtuel avec routes statiques | Passerelle réseau privé virtuel avec routes statiques | Mettez à jour la route qui contient l'ID de la passerelle réseau privé virtuel avec l'ID de la nouvelle passerelle réseau privé virtuel. |
| Passerelle réseau privé virtuel avec routes statiques | Passerelle réseau privé virtuel avec routes propagées | Supprimez la route qui contient l'ID de la passerelle réseau privé virtuel. |
| Passerelle de transit | Passerelle réseau privé virtuel avec routes statiques | Mettez à jour la route qui contient l'ID de la passerelle de transit avec l'ID de la passerelle réseau privé virtuel. |
| Passerelle de transit | Passerelle réseau privé virtuel avec routes propagées | Supprimez la route qui contient l'ID de la passerelle de transit. |
| Passerelle de transit | Passerelle de transit | Mettez à jour la route qui contient l'ID de la passerelle de transit avec l'ID de la nouvelle passerelle de transit. |
## Étape 5 : Mettre à jour le routage (conditionnel) de la passerelle cible
Lorsque la nouvelle passerelle est une passerelle de transit, modifiez la table de routage de la passerelle de transit pour autoriser le trafic entre le VPC et le Site-to-Site VPN. Pour plus d'informations, consultez [Tables de routage de passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) dans *Passerelle de transit Amazon VPC*.
Si vous avez supprimé les routes statiques de VPN, vous devez ajouter les routes statiques à la table de routage de passerelle de transit.
Contrairement à une passerelle réseau privé virtuel, une passerelle de transit définit la même valeur pour le discriminateur à sorties multiples (MED, multi-exit discriminator) sur tous les tunnels d'un attachement VPN. Si vous migrez d'une passerelle réseau privé virtuel vers une passerelle de transit et que vous vous êtes appuyé sur la valeur MED pour la sélection des tunnels, nous vous recommandons d'apporter des modifications de routage pour éviter les problèmes de connexion. Par exemple, vous pouvez annoncer des acheminements plus spécifiques sur votre passerelle de transit. Pour de plus amples informations, veuillez consulter [Tables de routage et priorité des AWS Site-to-Site VPN itinéraires](vpn-route-priority.md).
## Étape 6 : Mise à jour de l'ASN de la passerelle client (conditionnel)
Lorsque la nouvelle passerelle a un ASN différent de l'ancienne passerelle, vous devez mettre à jour l'ASN sur votre périphérique de passerelle client pour qu'il pointe vers le nouvel ASN. Pour plus d'informations, consultez [Options de passerelle client pour votre AWS Site-to-Site VPN connexion](cgw-options.md).
# Modifier les options AWS Site-to-Site VPN de connexion
Vous pouvez modifier les options de connexion de votre connexion Site-to-Site VPN. Vous pouvez modifier les options suivantes :
+ Le IPv4 CIDR s'étend du côté local (passerelle client) et du côté distant (AWS) de la connexion VPN qui peut communiquer via les tunnels VPN. La valeur par défaut est `0.0.0.0/0` pour les deux plages.
+ Le IPv6 CIDR s'étend du côté local (passerelle client) et du côté distant (AWS) de la connexion VPN qui peut communiquer via les tunnels VPN. La valeur par défaut est `::/0` pour les deux plages.
Lorsque vous modifiez les options de connexion VPN, les adresses IP des points de terminaison VPN situés sur le AWS côté ne changent pas et les options du tunnel ne changent pas. Votre connexion VPN sera temporairement indisponible pour une courte période lors de la mise à jour de la connexion VPN.
**Pour modifier les options de connexion VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez votre connexion VPN, puis choisissez **Actions**, **Modifier les options de connexion VPN**.
1. Saisissez de nouvelles plages d'adresses CIDR en fonction des besoins.
1. Sélectionnez **Enregistrer les modifications**.
**Pour modifier les options de connexion VPN à l'aide de la ligne de commande ou de l'API**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html) (AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html)(API Amazon EC2 Query)
# Modifier les options AWS Site-to-Site VPN du tunnel
Vous pouvez modifier les options de tunnel pour les tunnels VPN de votre connexion Site-to-Site VPN. Vous pouvez modifier un seul tunnel VPN à la fois.
**Important**
Lorsque vous modifiez un tunnel VPN, la connexion au tunnel est interrompue pendant plusieurs minutes. Pensez à tenir compte des temps d'arrêt prévus.
**Pour modifier les options du tunnel VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez la connexion Site-to-Site VPN, puis choisissez **Actions**, **Modifier les options du tunnel VPN**.
1. Pour **Adresse IP externe du tunnel VPN**, choisissez l'adresse IP du point de terminaison du tunnel VPN.
1. Choisissez les valeurs des options du tunnel ou saisissez-en de nouvelles si nécessaire. Pour plus d'informations sur les options de tunnel, consultez[Options de tunnel VPN](VPNTunnels.md).
**Note**
Certaines options de tunnel comportent plusieurs valeurs par défaut. Cliquez pour supprimer toute valeur par défaut. Cette valeur par défaut est ensuite supprimée de l'option tunnel.
1. Sélectionnez **Enregistrer les modifications**.
**Pour modifier les options du tunnel VPN à l'aide de la ligne de commande ou de l'API**
+ (AWS CLI) [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)À utiliser pour afficher les options de tunnel actuelles et [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)pour modifier les options de tunnel.
+ (Amazon EC2 Query API) [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html)À utiliser pour afficher les options de tunnel actuelles et [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html)pour modifier les options de tunnel.
# Modifier les itinéraires statiques pour une AWS Site-to-Site VPN connexion
Pour une connexion Site-to-Site VPN sur une passerelle privée virtuelle configurée pour le routage statique, vous pouvez ajouter ou supprimer des routes statiques de votre configuration VPN.
**Pour ajouter ou supprimer une route statique à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez la connexion VPN.
1. Choisissez **Modifier des routes statiques**.
1. Ajoutez ou supprimez des routes en fonction des besoins.
1. Sélectionnez **Enregistrer les modifications**.
1. Si vous n'avez pas autorisé la propagation du routage pour votre table de routage, vous devez manuellement mettre à jour les routes dans votre table de routage afin de tenir compte des préfixes IP statiques mis à jour dans votre connexion VPN. Pour de plus amples informations, veuillez consulter [(Passerelle réseau privé virtuel) Activer la propagation de route dans votre table de routage](SetUpVPNConnections.md#vpn-configure-routing).
1. Pour une connexion VPN sur une passerelle de transit, vous devez ajouter, modifier ou supprimer les routes statiques dans la table de routage de la passerelle de transit. Pour plus d'informations, consultez [Tables de routage de passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html) dans *Passerelle de transit Amazon VPC*.
**Pour ajouter une route statique à l'aide de la ligne de commande ou d'une API**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html)(API Amazon EC2 Query)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html) (AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
**Pour supprimer une route statique à l'aide de la ligne de commande ou d'une API**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html)(API Amazon EC2 Query)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html) (AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
# Modifier la passerelle client pour une AWS Site-to-Site VPN connexion
Vous pouvez modifier la passerelle client de votre connexion Site-to-Site VPN à l'aide de la console Amazon VPC ou d'un outil de ligne de commande.
Après avoir modifié la passerelle client, votre connexion VPN est indisponible pendant une courte période, le temps que nous mettions en service les nouveaux points de terminaison.
**Pour modifier la passerelle client à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez la connexion VPN.
1. Choisissez **Actions**, **Modifier la connexion VPN**.
1. Pour **Type de cible**, choisissez **Passerelle client**.
1. Pour **Passerelle client cible**, choisissez la nouvelle passerelle client.
1. Sélectionnez **Enregistrer les modifications**.
**Pour modifier la passerelle client à l'aide de la ligne de commande ou de l'API**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(API Amazon EC2 Query)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
# Remplacer les informations d'identification compromises pour une AWS Site-to-Site VPN connexion
Si vous pensez que les informations d'identification du tunnel pour votre connexion Site-to-Site VPN ont été compromises, vous pouvez modifier la clé pré-partagée IKE ou le certificat ACM. La méthode que vous utilisez dépend de l'option d'authentification utilisée pour vos tunnels VPN. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN options d'authentification du tunnel](vpn-tunnel-authentication-options.md).
**Changer la clé pré-partagée IKE**
Vous pouvez modifier les options de tunnel pour la connexion VPN et spécifier une nouvelle clé pré-partagée IKE pour chaque tunnel. Pour de plus amples informations, veuillez consulter [Modifier les options AWS Site-to-Site VPN du tunnel](modify-vpn-tunnel-options.md).
Vous pouvez également supprimer la connexion VPN. Pour de plus amples informations, veuillez consulter [Supprimer une connexion VPN et une passerelle](delete-vpn.md). Vous n'avez pas besoin de supprimer le VPC ni la passerelle réseau privé virtuel. Créez ensuite une connexion VPN en utilisant la même passerelle réseau privé virtuel, puis configurez les nouvelles clés sur votre appareil de passerelle client. Vous pouvez spécifier vos propres clés pré-partagées pour les tunnels ou laisser AWS générer de nouvelles clés pré-partagées pour vous. Pour en savoir plus, consultez [Création d'une connexion VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). Les adresses interne et externe du tunnel peuvent changer lorsque vous recréez la connexion VPN.
**Pour modifier le certificat du AWS côté du point de terminaison du tunnel**
Effectuez une rotation du certificat. Pour de plus amples informations, veuillez consulter [Rotation des certificats des points de terminaison du tunnel VPN](rotate-vpn-certificate.md).
**Pour modifier le certificat sur le périphérique de passerelle client**
1. Créez un nouveau certificat. Pour en savoir plus, consultez [Émission et gestion de certificats](https://docs.aws.amazon.com/acm/latest/userguide/gs.html) dans le *Guide de l'utilisateur AWS Certificate Manager *.
1. Ajoutez le certificat au périphérique de passerelle client.
# Rotation des certificats de terminaison AWS Site-to-Site VPN du tunnel
Vous pouvez faire pivoter les certificats sur les points de terminaison du tunnel situés sur le AWS côté à l'aide de la console Amazon VPC. Lorsque le certificat d'un point de terminaison du tunnel est sur le point d'expirer, il fait AWS automatiquement pivoter le certificat en utilisant le rôle lié au service. Pour de plus amples informations, veuillez consulter [Rôles liés à un service pour le VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
**Pour faire pivoter le certificat de point de terminaison du tunnel Site-to-Site VPN à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Sélectionnez la connexion Site-to-Site VPN, puis choisissez **Actions**, **Modifier le certificat du tunnel VPN**.
1. Sélectionnez le point de terminaison du tunnel.
1. Choisissez **Enregistrer**.
**Pour faire pivoter le certificat de point de terminaison du tunnel Site-to-Site VPN à l'aide du AWS CLI**
Utilisez la commande [modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html).
# IP privée AWS Site-to-Site VPN avec Direct Connect
Avec un VPN IP privé, vous pouvez déployer IPsec un VPN par-dessus Direct Connect, crypter le trafic entre votre réseau local et ce AWS, sans utiliser d'adresses IP publiques ou d'équipements VPN tiers supplémentaires.
L'un des principaux cas d'utilisation du VPN IP privéDirect Connect consiste à aider les clients des secteurs de la finance, de la santé et du secteur fédéral à atteindre leurs objectifs réglementaires et de conformité. Le VPN IP privéDirect Connect garantit que le trafic entre les réseaux locaux AWS et sur site est à la fois sécurisé et privé, ce qui permet aux clients de se conformer à leurs obligations réglementaires et de sécurité.
## Avantages du VPN d'IP privée
+ **Gestion et opérations réseau simplifiées :** sans VPN IP privé, les clients doivent déployer un VPN et des routeurs tiers pour implémenter le privé VPNs sur Direct Connect les réseaux. Avec la capacité VPN d'IP privée, les clients n'ont pas besoin de déployer et de gérer leur propre infrastructure VPN. Cela permet de simplifier les opérations réseau et de réduire les coûts.
+ **Position de sécurité améliorée :** Auparavant, les clients devaient utiliser une interface Direct Connect virtuelle publique (VIF) pour chiffrer le trafic Direct Connect, ce qui nécessitait des adresses IP publiques pour les points de terminaison VPN. Le recours au public IPs augmente la probabilité d'attaques externes (DOS), ce qui oblige les clients à déployer des équipements de sécurité supplémentaires pour protéger le réseau. En outre, un VIF public ouvre l'accès entre tous les services AWS publics et les réseaux locaux des clients, augmentant ainsi la gravité du risque. La fonctionnalité VPN IP privée permet le chiffrement via le Direct Connect transit VIFs (au lieu du chiffrement public VIFs), associé à la possibilité de configurer le mode privé IPs. Cela fournit une connectivité end-to-end privée en plus du chiffrement, améliorant ainsi la posture de sécurité globale.
+ **Échelle d'itinéraire plus élevée :** les connexions VPN IP privées offrent des limites de routes plus élevées (5 000 routes sortantes et 1 000 routes entrantes) par rapport aux connexions Direct Connect seules, qui sont actuellement limitées à 200 routes sortantes et 100 routes entrantes.
## Comment fonctionne le VPN d'IP privée
Site-to-SiteLe VPN IP privé fonctionne via une interface virtuelle de Direct Connect transit (VIF). Il utilise une Direct Connect passerelle et une passerelle de transit pour interconnecter vos réseaux locaux avec.AWS VPCs Une connexion VPN IP privée possède des points de terminaison sur la passerelle de transit sur le AWS côté, et sur le dispositif de passerelle de votre client sur site. Vous devez attribuer des adresses IP privées à la fois à la passerelle de transit et à l'extrémité du dispositif de passerelle client des IPsec tunnels. Vous pouvez utiliser des adresses IP privées issues de l'une RFC1918 ou de plusieurs plages RFC6598 d' IPv4 adresses privées.
Vous attachez une connexion VPN d'IP privée à une passerelle de transit. Vous acheminez ensuite le trafic entre le rattachement VPN et tout réseau VPCs (ou autre) également connecté à la passerelle de transit. Pour ce faire, vous associez une table de routage à l'attachement de VPN. Dans le sens inverse, vous pouvez acheminer le trafic VPCs de votre attachement VPN IP privé à l'aide des tables de routage associées au VPCs.
La table de routage associée à la pièce jointe VPN peut être identique ou différente de celle associée à la Direct Connect pièce jointe sous-jacente. Cela vous permet d'acheminer le trafic chiffré et non chiffré simultanément entre votre réseau VPCs et votre réseau sur site.
Pour plus de détails sur le chemin de trafic quittant le VPN, consultez la section [Politiques de routage de l'interface virtuelle privée et de l'interface virtuelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) dans le *guide de Direct Connect l'utilisateur*.
## Conditions préalables
Le tableau suivant décrit les conditions préalables à la création d'un VPN IP privé via Direct Connect.
| Élément | Étapes | Informations |
| --- | --- | --- |
| Préparez la passerelle de transit pour le Site-to-Site VPN. | Créez la passerelle de transit à l'aide de la console Amazon Virtual Private Cloud(VPC), de la ligne de commande ou de l'API. Consultez la section Passerelles de [transit dans le guide des passerelles](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) de *transit Amazon VPC*. | Une passerelle de transit est un hub de transit réseau que vous pouvez utiliser pour interconnecter vos réseaux VPCs et ceux sur site. Vous pouvez créer une nouvelle passerelle de transit ou utiliser une passerelle existante pour la connexion VPN d'IP privée. Lorsque vous créez la passerelle de transit ou que vous modifiez une passerelle de transit existante, vous spécifiez un bloc CIDR d'IP privée pour la connexion. Lorsque vous spécifiez le bloc CIDR de la passerelle de transit à associer à votre VPN d'IP privée, assurez-vous que le bloc CIDR ne chevauche aucune adresse IP pour les autres attachements réseau de la passerelle de transit. Si des blocs CIDR IP se chevauchent, cela peut entraîner des problèmes de configuration avec votre appareil de passerelle client. |
| Créez la Direct Connect passerelle pour le Site-to-Site VPN. | Créez la passerelle Direct Connect à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. [Reportez-vous à la section Création d'une passerelle AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) dans le *guide de Direct Connect l'utilisateur*. | Une passerelle Direct Connect vous permet de connecter des interfaces virtuelles (VIFs) dans plusieurs AWS régions. Cette passerelle est utilisée pour se connecter à votre VIF. |
| Créez l'association de passerelle de transit pour le Site-to-Site VPN. | Créez l'association entre la passerelle Direct Connect et la passerelle de transit à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. Voir [Associer ou dissocier Direct Connect une passerelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) dans le *guide de l'Direct Connect utilisateur*. | Après avoir créé la Direct Connect passerelle, créez une association de passerelle de transit pour la Direct Connect passerelle. Spécifiez le CIDR d'IP privée pour la passerelle de transit identifiée précédemment dans la liste des préfixes autorisés. |
**Topics**
+ [Avantages du VPN d'IP privée](#private-ip-dx-features)
+ [Comment fonctionne le VPN d'IP privée](#private-ip-dx-how)
+ [Conditions préalables](#private-ip-dx-prereqs)
+ [Créez un VPN IP privé via Direct Connect](private-ip-dx-steps.md)
# Créez une adresse IP privée AWS Site-to-Site VPN sur Direct Connect
Pour créer un VPN IP privé, Direct Connect procédez comme suit. Avant de créer le VPN IP privé via Direct Connect, vous devez d'abord vous assurer qu'une passerelle de transit et une passerelle Direct Connect sont créées. Après avoir créé les deux passerelles, vous devez créer une association entre les deux. Ces prérequis sont décrits dans le tableau suivant. Une fois que vous avez créé et associé les deux passerelles, vous créerez une passerelle client VPN et une connexion à l'aide de cette association.
## Conditions préalables
Le tableau suivant décrit les conditions préalables à la création d'un VPN IP privé via Direct Connect.
| Élément | Étapes | Informations |
| --- | --- | --- |
| Préparez la passerelle de transit pour le Site-to-Site VPN. | Créez la passerelle de transit à l'aide de la console Amazon Virtual Private Cloud (VPC), de la ligne de commande ou de l'API. Consultez la section Passerelles de [transit dans le guide des passerelles](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) de *transit Amazon VPC*. | Une passerelle de transit est un hub de transit réseau que vous pouvez utiliser pour interconnecter vos réseaux VPCs et ceux sur site. Vous pouvez créer une nouvelle passerelle de transit ou utiliser une passerelle existante pour la connexion VPN d'IP privée. Lorsque vous créez la passerelle de transit ou que vous modifiez une passerelle de transit existante, vous spécifiez un bloc CIDR d'IP privée pour la connexion. Lorsque vous spécifiez le bloc CIDR de la passerelle de transit à associer à votre VPN d'IP privée, assurez-vous que le bloc CIDR ne chevauche aucune adresse IP pour les autres attachements réseau de la passerelle de transit. Si des blocs CIDR IP se chevauchent, cela peut entraîner des problèmes de configuration avec votre appareil de passerelle client. |
| Créez la Direct Connect passerelle pour le Site-to-Site VPN. | Créez la passerelle Direct Connect à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. [Reportez-vous à la section Création d'une passerelle AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) dans le *guide de Direct Connect l'utilisateur*. | Une passerelle Direct Connect vous permet de connecter des interfaces virtuelles (VIFs) dans plusieurs AWS régions. Cette passerelle est utilisée pour se connecter à votre VIF. |
| Créez l'association de passerelle de transit pour le Site-to-Site VPN. | Créez l'association entre la passerelle Direct Connect et la passerelle de transit à l'aide de la console Direct Connect, de la ligne de commande ou de l'API. Voir [Associer ou dissocier Direct Connect une passerelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html) dans le *guide de l'Direct Connect utilisateur*. | Après avoir créé la Direct Connect passerelle, créez une association de passerelle de transit pour la Direct Connect passerelle. Spécifiez le CIDR d'IP privée pour la passerelle de transit identifiée précédemment dans la liste des préfixes autorisés. |
## Création de la passerelle client et de la connexion pour le Site-to-Site VPN
Une passerelle client est une ressource que vous créez dans AWS. Elle représente l'appareil de passerelle client dans votre réseau sur site. Lorsque vous créez une passerelle client, vous fournissez des informations sur votre appareil à AWS. Pour en savoir plus, consultez [Passerelle client](how_it_works.md#CustomerGateway).
**Pour créer une passerelle client avec la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Passerelles client**.
1. Choisissez **Créer la passerelle client**.
1. (Facultatif) Pour **Name tag** (Étiquette de nom), entrez un nom pour votre passerelle client. Une identification est alors créée avec la clé `Name` et la valeur que vous spécifiez.
1. Dans **BGP ASN** (Version du moteur de cache), saisissez le numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de votre passerelle client.
1. Pour **Adresse IP**, entrez l'adresse IP privée de votre appareil de passerelle client.
**Important**
Lors de la configuration de l'adresse IP AWS privée AWS Site-to-Site VPN, vous devez spécifier vos propres adresses IP de point de terminaison de tunnel à l'aide des adresses RFC 1918. N'utilisez pas les adresses point-to-point IP pour le peering eBGP entre le routeur de votre passerelle client et le Direct Connect point de terminaison. AWS recommande d'utiliser une interface de boucle ou une interface LAN sur le routeur de votre passerelle client comme adresse source ou de destination plutôt que des point-to-point connexions.
Pour plus d'informations sur la RFC 1918, consultez la section [Allocation d'adresses pour les réseaux Internet privés](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Facultatif) Pour**Device** (Appareil) Entrez un nom pour l'appareil qui héberge cette passerelle client.
1. Choisissez **Créer la passerelle client**.
1. Dans le volet de navigation, sélectionnez **Connexions Site-to-Site VPN**.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
1. (Facultatif) **Dans le champ Name tag**, saisissez le nom de votre connexion Site-to-Site VPN. Une identification est alors créée avec la clé `Name` et la valeur que vous spécifiez.
1. Pour **Target gateway type (Type de passerelle cible)**, choisissez **Transit gateway (Passerelle de transit)**. Ensuite, choisissez la passerelle de transit que vous avez identifiée précédemment.
1. Pour **Customer gateway (Passerelle client)**, sélectionnez **Existing (Existante)**. Sélectionnez ensuite la passerelle client que vous avez créée précédemment.
1. Sélectionnez une des options de routage en fonction de la prise en charge ou non de Border Gateway Protocol (BGP) par votre périphérique de passerelle client :
+ Si votre périphérique de passerelle client prend en charge BGP, choisissez **Dynamique (nécessite BGP)**.
+ Si votre périphérique de passerelle client ne prend pas en charge BGP, choisissez **Statique**.
1. Pour la **version Tunnel inside IP**, spécifiez si les tunnels VPN prennent en charge le IPv6 trafic IPv4 ou le trafic.
1. (Facultatif) Si vous avez spécifié **IPv4**la **version Tunnel inside IP**, vous pouvez éventuellement spécifier les plages IPv4 CIDR pour la passerelle client et AWS les côtés autorisés à communiquer via les tunnels VPN. La valeur par défaut est `0.0.0.0/0`.
Si vous avez spécifié **IPv6**la **version Tunnel inside IP**, vous pouvez éventuellement spécifier les plages IPv6 CIDR pour la passerelle client et AWS les côtés autorisés à communiquer via les tunnels VPN. La valeur par défaut pour les deux plages est `::/0`.
1. Pour le **type d'adresse IP externe**, choisissez **PrivateIpv4**.
1. Pour l'**ID de pièce jointe de transport**, choisissez la pièce jointe de passerelle de transit pour la Direct Connect passerelle appropriée.
1. Choisissez **Create VPN connection** (Créer une connexion VPN).
**Note**
L'option **Enable acceleration (Activer l'accélération)** n'est pas applicable aux connexions VPN sur Direct Connect.
**Pour créer une passerelle client à l'aide de la ligne de commande ou de l'API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(API de requête Amazon EC2)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)