

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# File konfigurasi perutean dinamis yang dapat diunduh untuk perangkat gateway AWS Site-to-Site VPN pelanggan
<a name="cgw-dynamic-routing-examples"></a>

Untuk mengunduh file konfigurasi sampel dengan nilai khusus untuk konfigurasi koneksi Site-to-Site VPN Anda, gunakan konsol VPC Amazon, baris AWS perintah, atau Amazon EC2 API. Untuk informasi selengkapnya, lihat [Langkah 6: Unduh file konfigurasi](SetUpVPNConnections.md#vpn-download-config).

[Anda juga dapat mengunduh file konfigurasi contoh umum untuk perutean dinamis yang tidak menyertakan nilai khusus untuk konfigurasi koneksi Site-to-Site VPN Anda: .zip dynamic-routing-examples](samples/dynamic-routing-examples.zip)

File menggunakan nilai placeholder untuk beberapa komponen. Misalnya, menggunakan:
+ Contoh nilai untuk ID koneksi VPN, ID gateway pelanggan, dan ID gateway pribadi virtual
+ Placeholder untuk AWS titik akhir alamat IP jarak jauh (luar) (dan) *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
+ Placeholder untuk alamat IP untuk antarmuka eksternal yang dapat dirutekan internet pada perangkat gateway pelanggan () *your-cgw-ip-address*
+ Placeholder untuk nilai kunci yang telah dibagikan sebelumnya () pre-shared-key
+ Contoh nilai terowongan di dalam alamat IP.
+ Contoh nilai untuk pengaturan MTU.

**catatan**  
Pengaturan MTU yang disediakan dalam file konfigurasi sampel adalah contoh saja. Silakan merujuk ke [Praktik terbaik untuk perangkat gateway AWS Site-to-Site VPN pelanggan](cgw-best-practice.md) untuk informasi tentang pengaturan nilai MTU optimal untuk situasi Anda.

Selain memberikan nilai placeholder, file menentukan persyaratan minimum untuk koneksi Site-to-Site VPN,, dan Diffie-Hellman grup 2 di sebagian besar AWS Wilayah AES128 SHA1, dan,, dan Diffie-Hellman grup AES128 14 SHA2 di Wilayah. AWS GovCloud File juga menentukan kunci pra-berbagi untuk [autentikasi](vpn-tunnel-authentication-options.md). Anda harus memodifikasi contoh file konfigurasi untuk memanfaatkan algoritma keamanan tambahan, grup Diffie-Hellman, sertifikat pribadi, dan lalu lintas. IPv6 

Diagram berikut memberikan gambaran umum mengenai komponen berbeda yang dikonfigurasi di perangkat gateway pelanggan. Ini termasuk contoh nilai untuk antarmuka terowongan alamat IP.

![\[Perangkat gateway pelanggan dengan perutean dinamis\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/images/cgw-bgp.png)


# Konfigurasikan perutean dinamis untuk AWS Virtual Private Network perangkat gateway pelanggan
<a name="cgw-dynamic-routing-example-interface"></a>

Berikut ini adalah beberapa contoh prosedur untuk mengonfigurasi perangkat gateway pelanggan menggunakan antarmuka pengguna (jika ada).

------
#### [ Check Point ]

Berikut ini adalah langkah-langkah untuk mengonfigurasi perangkat Check Point Security Gateway yang menjalankan R77.10 atau lebih tinggi, menggunakan portal web Gaia dan Check Point. SmartDashboard Anda juga dapat merujuk ke artikel [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958) di Pusat Dukungan Check Point.

**Untuk mengonfigurasi antarmuka terowongan**

Langkah pertama adalah membuat terowongan VPN dan memberikan alamat IP privat (dalam) dari gateway pelanggan dan virtual private gateway untuk setiap terowongan. Untuk membuat terowongan pertama, gunakan informasi yang disediakan di bagian `IPSec Tunnel #1` dari file konfigurasi. Untuk membuat terowongan kedua, gunakan nilai yang disediakan di bagian `IPSec Tunnel #2` dari file konfigurasi. 

1. Koneksikan ke gateway keamanan Anda melalui SSH. Jika Anda menggunakan shell non-default, ubah ke clish dengan menjalankan perintah berikut: `clish`

1. Atur ASN gateway pelanggan (ASN yang disediakan saat gateway pelanggan dibuat AWS) dengan menjalankan perintah berikut.

   ```
   set as 65000
   ```

1. Buat antarmuka terowongan untuk terowongan pertama, menggunakan informasi yang disediakan di bagian `IPSec Tunnel #1` dari file konfigurasi. Berikan nama yang unik untuk terowongan Anda, seperti `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Ulangi perintah ini untuk membuat terowongan kedua, menggunakan informasi yang disediakan di bagian `IPSec Tunnel #2` dari file konfigurasi. Berikan nama unik untuk terowongan Anda, seperti `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Mengatur ASN virtual private gateway.

   ```
   set bgp external remote-as 7224 on 
   ```

1. Konfigurasikan BGP untuk terowongan pertama, menggunakan informasi yang diberikan di bagian `IPSec Tunnel #1` dari file konfigurasi.

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Konfigurasikan BGP untuk terowongan kedua, dengan menggunakan informasi yang diberikan di bagian `IPSec Tunnel #2` dari file konfigurasi.

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Simpan konfigurasi.

   ```
   save config
   ```

**Untuk membuat kebijakan BGP**

Selanjutnya, buat kebijakan BGP yang memungkinkan impor rute yang di-notice oleh AWS. Kemudian, konfigurasikan gateway pelanggan Anda untuk me-notice rute lokal ke AWS.

1. Dalam Gaia WebUI, pilih **Perutean Lanjutan**, **Filter Rute Inbound**. Pilih **Menambahkan**, dan pilih **Menambahkan Kebijakan BGP (Berdasarkan AS)**.

1. Untuk **Menambahkan Kebijakan BGP**, pilih nilai antara 512 dan 1024 di kolom pertama, dan masukkan virtual private gateway ASN di kolom kedua (misalnya, `7224`).

1. Pilih **Simpan**.

**Untuk me-notice rute lokal**

Langkah-langkah berikut adalah cara untuk mendistribusikan rute antarmuka lokal. Anda juga dapat mendistribusikan rute dari sumber yang berbeda (misalnya, rute statis, atau rute yang diperoleh melalui protokol perutean dinamis). Untuk informasi lebih lanjut, lihat [Perutean Lanjutan Gaia R77 Versi Panduan Administrasi](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. Dalam Gaia WebUI, pilih **Perutean Lanjutan**,** Redistribusi Perutean**. Pilih **Menambahkan Redistribusi Dari** dan kemudian pilih **Antarmuka**.

1. Untuk **Ke Protokol**, pilih ASN virtual private gateway (misalnya, `7224`).

1. Untuk **Antarmuka**, pilih antarmuka internal. Pilih **Simpan**.

**Untuk menentukan objek jaringan baru**

Selanjutnya, buat objek jaringan untuk setiap terowongan VPN, tentukan alamat IP publik (luar) untuk virtual private gateway. Kemudian Anda akan menambahkan objek jaringan ini sebagai gateway satelit untuk komunitas VPN Anda. Anda juga perlu membuat grup yang kosong untuk bertindak sebagai placeholder untuk domain VPN. 

1. Buka Check Point SmartDashboard.

1. Untuk **Grup**, buka menu konteks dan pilih **Grup**, **Grup Sederhana**. Anda dapat menggunakan grup yang sama untuk setiap objek jaringan.

1. Untuk **Objek Jaringan**, buka menu konteks (klik kanan) dan pilih **Baru**, **Perangkat yang dapat dioperasikan**.

1. Untuk **Nama**, masukkan nama yang Anda berikan untuk terowongan pada langkah 1, misalnya, `AWS_VPC_Tunnel_1` atau `AWS_VPC_Tunnel_2`.

1. Untuk **IPv4 Alamat**, masukkan alamat IP luar dari gateway pribadi virtual yang disediakan dalam file konfigurasi, misalnya,`54.84.169.196`. Simpan pengaturan Anda dan tutup kotak dialog.  
![\[Kotak dialog Check Point Interoperable Device\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Di panel kategori sebelah kiri, pilih **Topologi**. 

1. Di bagian **Domain VPN**, pilih **Tetapkan secara manual**, dan kemudian telusuri dan pilih grup sederhana kosong yang Anda buat di langkah 2. Pilih **OKE**.

1. Ulangi langkah-langkah ini untuk membuat objek jaringan kedua, menggunakan informasi di bagian `IPSec Tunnel #2` dari file konfigurasi.

1. Pergi ke objek jaringan gateway Anda, buka gateway atau objek klaster, dan pilih **Topologi**.

1. Di bagian **Domain VPN**, pilih **Tetapkan manual**, dan kemudian telusuri dan pilih grup sederhana kosong yang Anda buat di langkah 2. Pilih **OKE**.
**catatan**  
Anda dapat menyimpan domain VPN yang sudah ada yang telah dikonfigurasikan. Namun, pastikan bahwa host dan jaringan yang digunakan atau dilayani oleh koneksi VPN baru tidak dinyatakan dalam domain VPN tersebut, terutama jika domain VPN secara otomatis diturunkan.

**catatan**  
Jika Anda menggunakan klaster, edit topologi dan tentukan antarmuka sebagai antarmuka klaster. Gunakan alamat IP yang ditentukan dalam file konfigurasi. 

**Untuk membuat dan mengkonfigurasi komunitas VPN, IKE, dan IPsec pengaturan**

Selanjutnya, buat komunitas VPN di gateway Check Point Anda, yang Anda tambahkan objek jaringan (perangkat yang dapat dioperasikan) untuk setiap terowongan. Anda juga mengkonfigurasi Internet Key Exchange (IKE) dan IPsec pengaturan.

1. Dari properti gateway Anda, pilih **IPSecVPN** di panel kategori.

1. Pilih **Komunitas**, **Baru**, **Komunitas Bintang**.

1. Berikan nama untuk komunitas Anda (misalnya, `AWS_VPN_Star`), lalu pilih **Gateway Pusat** di panel kategori.

1. Pilih **Tambahkan**, dan tambahkan gateway atau klaster Anda ke daftar gateway peserta.

1. Di panel kategori, pilih **Gateway satelit**, **Tambahkan**, dan tambahkan perangkat interoperable yang Anda buat sebelumnya (`AWS_VPC_Tunnel_1` dan `AWS_VPC_Tunnel_2`) ke daftar gateway peserta.

1. Di panel kategori, pilih **Enkripsi**. Di bagian **Metode Enkripsi**, pilih **IKEv1 untuk IPv4 dan IKEv2 untuk IPv6**. Di bagian **Suite Enkripsi**, pilih **Kustom**, **Enkripsi Kustom**.
**catatan**  
Anda harus memilih IPv6 opsi **IKEv1 untuk IPv4 dan IKEv2 untuk** IKEv1 fungsionalitas.

1. Di kotak dialog, konfigurasikan properti enkripsi sebagai berikut, kemudian pilih **OKE** ketika Anda selesai:
   + Properti Asosiasi Keamanan IKE (fase 1):
     + **Lakukan enkripsi pertukaran kunci dengan**: AES-128
     + **Lakukan integritas data dengan**: SHA-1
   + IPsec Properti Asosiasi Keamanan (Fase 2):
     + **Lakukan enkripsi IPsec data dengan**: AES-128
     + **Lakukan integritas data dengan**: SHA-1

1. Di panel kategori, pilih **Manajemen Terowongan**. Pilih **Atur Terowongan Permanen**, **Di semua terowongan komunitas**. Di bagian **Berbagi Terowongan VPN**, pilih **Satu terowongan VPN per pasangan Gateway**.

1. Dalam panel kategori, perluas **Pengaturan lanjutan**, dan pilih **Rahasia Bersama**.

1. Pilih nama peer untuk terowongan pertama, pilih **Edit**, dan kemudian masukkan kunci pra-berbagi seperti yang ditentukan dalam file konfigurasi di bagian `IPSec Tunnel #1`.

1. Pilih nama peer untuk terowongan kedua, pilih **Edit**, dan kemudian masukkan kunci pra-berbagi seperti yang ditentukan dalam file konfigurasi di bagian `IPSec Tunnel #2`.  
![\[Kotak dialog Check Point Rahasia Bersama Interoperasi\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Masih dalam kategori **Pengaturan Lanjutan**, pilih **Properti VPN Lanjutan**, konfigurasikan properti berikut, lalu pilih **OKE** ketika Anda selesai:
   + IKE (Tahap 1):
     + **Gunakan grup Diffie-Hellman**: `Group 2 (1024 bit)`
     + **Negosiasikan ulang asosiasi keamanan IKE setiap** `480` **menit**
   + IPsec (Fase 2):
     + Pilih **Gunakan Perfect Forward Secrecy**
     + **Gunakan grup Diffie-Hellman**: `Group 2 (1024 bit)`
     + ****Negosiasi ulang asosiasi IPsec keamanan setiap detik `3600`****

**Untuk membuat aturan firewall**

Selanjutnya, konfigurasikan kebijakan dengan aturan firewall dan aturan kecocokan terarah yang mengizinkan komunikasi antara VPC dan jaringan lokal. Kemudian Anda menginstal kebijakan di gateway Anda.

1. Dalam SmartDashboard, pilih **Global Properties** untuk gateway Anda. Di panel kategori, perluas **VPN**, dan pilih **Lanjutan**.

1. Pilih **Aktifkan Kecocokan Terarah VPN di Kolom VPN**, dan pilih **OKE**.

1. Di dalam SmartDashboard, pilih **Firewall**, dan buat kebijakan dengan aturan berikut: 
   + Memungkinkan subnet VPC untuk berkomunikasi dengan jaringan lokal melalui protokol yang diperlukan. 
   + Mengizinkan jaringan lokal untuk berkomunikasi dengan subnet VPC melalui protokol yang diperlukan.

1. Buka menu konteks untuk sel dalam kolom VPN, dan pilih **Edit Sel**. 

1. Di kotak dialog **Kondisi Kecocokan VPN**, pilih **Cocokan lalu lintas hanya di arah ini**. Buat aturan kecocokan terarah berikut dengan memilih **Tambahkan** untuk masing-masing, dan kemudian pilih **OKE** ketika Anda selesai:
   + `internal_clear` > Komunitas VPN (Komunitas bintang VPN yang Anda buat sebelumnya, misalnya, `AWS_VPN_Star`)
   + Komunitas VPN > komunitas VPN
   + Komunitas VPN > `internal_clear`

1. Dalam SmartDashboard, pilih **Kebijakan**, **Instal**. 

1. Di kotak dialog, pilih gateway Anda dan pilih **OKE** untuk menginstal kebijakan.

**Untuk mengubah properti tunnel\$1keepalive\$1method**

Gateway Check Point Anda dapat menggunakan Deteksi Peer Mati (DPD) untuk mengidentifikasi ketika asosiasi IKE mengalami gangguan. Untuk mengkonfigurasi DPD untuk terowongan permanen, terowongan permanen harus dikonfigurasi dalam komunitas AWS VPN.

Secara default, properti `tunnel_keepalive_method` untuk gateway VPN diatur ke `tunnel_test`. Anda harus mengubah nilai ke `dpd`. Setiap gateway VPN di komunitas VPN yang memerlukan pemantauan DPD harus dikonfigurasi dengan properti `tunnel_keepalive_method`, termasuk gateway VPN pihak ke-3. Anda tidak dapat mengonfigurasi mekanisme pemantauan yang berbeda untuk gateway yang sama.

Anda dapat memperbarui `tunnel_keepalive_method` properti menggunakan DBedit alat Gui.

1. Buka Check Point SmartDashboard, dan pilih **Security Management Server**, **Domain Management Server**.

1. Pilih **File**, **Kontrol Revisi Basis Data...** dan buat snapshot revisi.

1. Tutup semua SmartConsole jendela, seperti, SmartView Tracker SmartDashboard, dan SmartView Monitor.

1. Mulai BDedit alat Gui. Untuk informasi selengkapnya, lihat artikel [Alat Basis Data Check Point](https://support.checkpoint.com/results/sk/sk13009) di Pusat Dukungan Check Point. 

1. Pilih **Server Manajemen Keamanan**, **Server Manajemen Domain**.

1. Di panel kiri atas, pilih **Tabel**, **Objek Jaringan**, **network\$1objects**. 

1. Pada panel kanan atas, pilih **Gateway Keamanan** yang relevan, objek **Klaster**. 

1. Tekan CTRL\$1F, atau gunakan menu **Pencarian** untuk mencari hal berikut: `tunnel_keepalive_method`.

1. Pada panel bawah, buka menu konteks untuk `tunnel_keepalive_method`, dan pilih **Sunting...**. Pilih **dpd**, **OKE**.

1. Ulangi langkah 7 hingga 9 untuk setiap gateway yang merupakan bagian dari Komunitas VPN AWS .

1. Pilih **File**, **Simpan Semua**.

1. Tutup DBedit alat Gui.

1. Buka Check Point SmartDashboard, dan pilih **Security Management Server**, **Domain Management Server**.

1. Instal kebijakan pada **Gateway Keamanan** yang relevan, objek **Klaster**.

Untuk informasi selengkapnya, lihat artikel [Fitur VPN baru di R77.10](https://support.checkpoint.com/results/sk/sk97746) di Pusat Dukungan Check Point.

**Untuk mengaktifkan clamping TCP MSS**

Clamping TCP MSS mengurangi ukuran segmen maksimum paket TCP untuk mencegah fragmentasi paket.

1. Navigasikan ke direktori berikut: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Buka Alat Basis Data Check Point dengan menjalankan file `GuiDBEdit.exe`.

1. Pilih **Tabel**, **Properti Global**, **properti**.

1. Untuk `fw_clamp_tcp_mss`, pilih **Sunting**. Ubah nilai ke `true` lalu pilih **OKE**.

**Untuk memverifikasi status terowongan**  
Anda dapat memverifikasi status terowongan dengan menjalankan perintah berikut dari alat baris perintah dalam mode ahli. 

```
vpn tunnelutil
```

Dalam opsi yang ditampilkan, pilih **1** untuk memverifikasi asosiasi IKE dan **2** untuk memverifikasi IPsec asosiasi.

Anda juga dapat menggunakan Check Point Smart Tracker Log untuk memverifikasi bahwa paket yang melalui koneksi sedang dienkripsi. Misalnya, log berikut menunjukkan bahwa paket untuk VPC dikirim melalui terowongan 1 dan dienkripsi.

![\[Berkas log Check Point\]](http://docs.aws.amazon.com/id_id/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

Anda dapat mengonfigurasi perangkat SonicWALL menggunakan antarmuka manajemen SonicOS. Untuk informasi selengkapnya tentang mengonfigurasi terowongan, lihat [Konfigurasikan perutean statis untuk AWS Site-to-Site VPN perangkat gateway pelanggan](cgw-static-routing-example-interface.md).

Anda tidak dapat mengonfigurasi BGP untuk perangkat menggunakan antarmuka manajemen. Sebaliknya, gunakan instruksi baris perintah yang disediakan di contoh file konfigurasi, di bagian bawah yang bernama **BGP**.

------

## Perangkat Cisco: informasi tambahan
<a name="cgw-dynamic-routing-examples-cisco"></a>

Beberapa Cisco ASAs hanya mendukung Active/Standby mode. Ketika Anda menggunakan Cisco ini ASAs, Anda hanya dapat memiliki satu terowongan aktif pada satu waktu. Terowongan siaga lainnya menjadi aktif jika terowongan pertama menjadi tidak tersedia. Dengan redundansi ini, Anda harus selalu memiliki konektivitas ke VPC Anda melalui salah satu terowongan. 

Cisco ASAs dari versi 9.7.1 dan mode dukungan yang lebih baru. Active/Active Saat Anda menggunakan Cisco ini ASAs, Anda dapat mengaktifkan kedua terowongan secara bersamaan. Dengan redundansi ini, Anda harus selalu memiliki konektivitas ke VPC Anda melalui salah satu terowongan.

Untuk perangkat Cisco, Anda harus melakukan hal berikut:
+ Konfigurasikan antarmuka luar.
+ Pastikan bahwa nomor Urutan Kebijakan Crypto ISAKMP unik.
+ Pastikan bahwa nomor Urutan Kebijakan Daftar Crypto unik.
+ Pastikan bahwa Crypto IPsec Transform Set dan Crypto ISAKMP Policy Sequence selaras dengan IPsec terowongan lain yang dikonfigurasi pada perangkat.
+ Pastikan bahwa nomor pemantauan SLA unik.
+ Konfigurasikan semua perutean internal yang memindahkan lalu lintas antara perangkat gateway pelanggan dan jaringan lokal Anda.

## Perangkat Juniper: informasi tambahan
<a name="cgw-dynamic-routing-examples-juniper"></a>

Informasi berikut berlaku untuk contoh file konfigurasi untuk Juniper J-Series dan SRX perangkat gateway pelanggan. 
+ Antarmuka luar disebut sebagai*ge-0/0/0.0*.
+ Antarmuka terowongan IDs disebut sebagai *st0.1* dan*st0.2*.
+ Pastikan bahwa Anda mengidentifikasi zona keamanan untuk antarmuka uplink (informasi konfigurasi menggunakan default zona ‘tidak andal’).
+ Pastikan bahwa Anda mengidentifikasi zona keamanan untuk antarmuka bagian dalam (informasi konfigurasi menggunakan default zona 'andal').