As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Arquivos de configuração de roteamento estático que podem ser baixados para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-static-routing-examples"></a>

Para baixar um arquivo de configuração de amostra com valores específicos para sua configuração de conexão Site-to-Site VPN, use o console da Amazon VPC, a linha de AWS comando ou a API do Amazon EC2. Para obter mais informações, consulte [Etapa 6: baixar o arquivo de configuração](SetUpVPNConnections.md#vpn-download-config).

[Você também pode baixar arquivos de configuração de exemplo genéricos para roteamento estático que não incluem valores específicos para sua configuração de conexão Site-to-Site VPN: .zip static-routing-examples](samples/static-routing-examples.zip) 

Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
+ Valores de exemplo para o ID da conexão VPN, ID do gateway do cliente e ID do gateway privado virtual
+ Espaços reservados para os AWS endpoints de endereço IP remoto (externo) (*AWS\$1ENDPOINT\$11*e) *AWS\$1ENDPOINT\$12*
+ Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente () *your-cgw-ip-address*
+ Um espaço reservado para o valor da chave pré-compartilhada () pre-shared-key
+ Valores de exemplo para o túnel dentro de endereços IP.
+ Valores de exemplo para a configuração de MTU.

**nota**  
As configurações de MTU fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte [Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente](cgw-best-practice.md) para obter informações sobre como definir o valor MTU ideal para a sua situação.

Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma conexão Site-to-Site VPN de AES128, SHA1, e Diffie-Hellman grupo 2 na maioria das AWS regiões e, AES128 SHA2, e Diffie-Hellman grupo 14 nas regiões. AWS GovCloud Eles também especificam chaves pré-compartilhadas para [autenticação](vpn-tunnel-authentication-options.md). Você deve modificar o arquivo de configuração de exemplo para aproveitar algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6 

O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.

![\[Dispositivo de gateway do cliente com roteamento estático\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/cgw-static-routing.png)


# Configurar o roteamento estático para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-static-routing-example-interface"></a>

Veja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do cliente usando sua interface de usuário (se disponível).

------
#### [ Check Point ]

A seguir estão as etapas para configurar seu dispositivo de gateway de cliente se seu dispositivo for um dispositivo Check Point Security Gateway executando R77.10 ou superior, usando o sistema operacional Gaia e o Check Point. SmartDashboard Você também pode consultar o artigo [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) no Check Point Support Center.

**Para configurar a interface do túnel**

O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway do cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração. Para criar o segundo túnel, use os valores fornecidos na seção `IPSec Tunnel #2` do arquivo de configuração. 

1. Abra o portal Gaia do dispositivo Check Point Security Gateway.

1. Escolha **Network Interfaces**, **Add**, **VPN tunnel**.

1. Na caixa de diálogo, defina as configurações como a seguir e escolha **OK** ao concluir:
   + Em **VPN Tunnel ID**, insira qualquer valor único exclusivo, como 1.
   + Em **Peer**, insira um nome exclusivo para seu túnel, como `AWS_VPC_Tunnel_1` or `AWS_VPC_Tunnel_2`.
   + Confirme se **Numbered (Numerado)** está selecionado e, em **Local Address (Endereço local)**, insira o endereço IP especificado para `CGW Tunnel IP` no arquivo de configuração; por exemplo, `169.254.44.234`. 
   + Em **Remote Address**, insira o endereço IP especificado para `VGW Tunnel IP` no arquivo de configuração; por exemplo, `169.254.44.233`.  
![\[Caixa de diálogo Add VPN Tunnel do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clish executando o comando a seguir: `clish`

1. Para o túnel 1, execute o comando a seguir:

   ```
   set interface vpnt1 mtu 1436
   ```

   Para o túnel 2, execute o comando a seguir:

   ```
   set interface vpnt2 mtu 1436
   ```

1. Repita essas etapas para criar um segundo túnel, usando as informações na seção `IPSec Tunnel #2` do arquivo de configuração.

**Para configurar rotas estáticas**

Nesta etapa, especifique a rota estática para a sub-rede na VPC de cada túnel para poder enviar tráfego pelas interfaces de túnel. O segundo túnel permite failover, caso haja um problema com o primeiro túnel. Se um problema é detectado, a rota estática baseada na política é removida da tabela de roteamento e a segunda rota é ativada. Você deve também ativar o gateway do Check Point para executar ping na outra extremidade do túnel e verificar se o túnel está ativo.

1. No portal Gaia, escolha **Rotas IPv4 estáticas**, **Adicionar**.

1. Especifique o CIDR de sua sub-rede; por exemplo, `10.28.13.0/24`.

1. Escolha **Add Gateway** (Adicionar Gateway), **IP Address** (Endereço de IP).

1. Insira o endereço IP especificado para `VGW Tunnel IP` no arquivo de configuração (por exemplo, `169.254.44.233`) e especifique 1 como prioridade.

1. Selecione **Ping**.

1. Repita as etapas 3 e 4 para o segundo túnel, usando o valor `VGW Tunnel IP` na seção `IPSec Tunnel #2` do arquivo de configuração. Especifique 2 como prioridade.  
![\[Caixa de diálogo Edit Destination Route do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. Escolha **Salvar**.

Se estiver usando um cluster, repita as etapas anteriores para os outros membros do cluster. 

**Para definir um novo objeto de rede**

Nesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio para funcionar como espaço reservado para o domínio de VPN. 

1. Abra o Check Point SmartDashboard.

1. Em **Groups** (Grupos), abra o menu de contexto e escolha **Groups** (Grupos), **Simple Group** (Grupo Simples). É possível usar o mesmo grupo para cada objeto de rede.

1. Em **Network Objects** (Objetos de rede), abra o menu de contexto (clique com o botão direito) e escolha **New** (Novo), **Interoperable Device** (Dispositivo interoperável).

1. Em **Name (Nome)**, insira o nome que você forneceu para o túnel; por exemplo, `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`.

1. Em **IPv4 Endereço**, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de configuração, por exemplo,`54.84.169.196`. Salve as configurações e feche a caixa de diálogo.  
![\[Caixa de diálogo Interoperable Device do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Em SmartDashboard, abra as propriedades do gateway e, no painel de categorias, escolha **Topologia**. 

1. Para recuperar a configuração da interface, escolha **Get Topology**.

1. Na seção **VPN Domain (Domínio da VPN)**, escolha **Manually defined (Definido manualmente)** e procure e selecione o grupo vazio simples criado na etapa 2. Escolha **OK**.
**nota**  
É possível manter qualquer domínio de VPN existente que configurou. Entretanto, verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN for originado automaticamente.

1. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção `IPSec Tunnel #2` do arquivo de configuração.

**nota**  
Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Use os endereços IP especificados no arquivo de configuração. 

**Para criar e configurar a comunidade VPN, o IKE e IPsec as configurações**

Nesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos de rede (dispositivos interoperáveis) para cada túnel. Você também define o Internet Key Exchange (IKE) e IPsec as configurações.

1. Nas propriedades do gateway, escolha **IPSecVPN** no painel de categorias.

1. Escolha **Communities**, **New**, **Star Community**.

1. Forneça um nome para a comunidade (por exemplo, `AWS_VPN_Star`) e escolha **Center Gateways** no painel de categoria.

1. Escolha **Adicionar** e adicione o gateway ou cluster à lista de gateways participantes.

1. No painel de categoria, escolha **Satellite Gateways** (Gateways secundários), **Add** (Adicionar) e adicione os dispositivos interoperáveis que você criou anteriormente (`AWS_VPC_Tunnel_1` e `AWS_VPC_Tunnel_2`) à lista de gateways participantes.

1. No painel de categoria, escolha **Encryption**. Na seção **Método de criptografia**, escolha **IKEv1 somente**. Na seção **Encryption Suite**, escolha **Custom**, **Custom Encryption**.

1. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha **OK** ao concluir:
   + Propriedades da associação de segurança IKE (fase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Propriedades da Associação de Segurança (Fase 2):
     + **Execute a criptografia IPsec de dados com**: AES-128
     + **Perform data integrity with**: SHA-1

1. No painel de categoria, escolha **Tunnel Management**. Escolha **Set Permanent Tunnels**, **On all tunnels in the community**. Na seção **VPN Tunnel Sharing** (Compartilhamento de túnel VPN), escolha **One VPN tunnel per Gateway pair** (Um túnel VPN por par de gateway).

1. No painel de categoria, expanda **Advanced Settings** (Configurações Avançadas) e escolha **Shared Secret**.

1. Selecione o nome do par do primeiro túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #1`.

1. Selecione o nome do par do segundo túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #2`.  
![\[Caixa de diálogo Interoperable Shared Secret do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Ainda na categoria **Advanced Settings (Configurações avançadas)**, selecione **Advanced VPN Properties (Propriedades avançadas da VPN)**, configure as propriedades da forma a seguir e escolha **OK** ao concluir:
   + IKE (fase 1):
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Fase 2):
     + Escolha **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2`
     + ****Renegocie associações de IPsec segurança a cada segundo `3600`****

**Para criar regras de firewall**

Nesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcional que permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seu gateway.

1. No SmartDashboard, escolha **Propriedades globais** para seu gateway. No painel de categoria, expanda **VPN** e escolha **Advanced**.

1. Escolha **Enable VPN Directional Match in VPN Column** e salve suas alterações.

1. No SmartDashboard, escolha **Firewall** e crie uma política com as seguintes regras: 
   + Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos. 
   + Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

1. Abra o menu de contexto da célula na coluna VPN e escolha **Editar Célula**. 

1. Na caixa de diálogo **Condições de correspondência VPN**, escolha **Corresponder o tráfego apenas nesta direção**. Crie as regras de correspondência direcional a seguir escolhendo **Add** para cada uma e escolha **OK** ao concluir:
   + `internal_clear` > comunidade VPN (a comunidade estrela da VPN que você criou anteriormente, por exemplo, `AWS_VPN_Star`)
   + Comunidade VPN > Comunidade VPN
   + Comunidade VPN > `internal_clear`

1. Em SmartDashboard, escolha **Política**, **Instalar**. 

1. Na caixa de diálogo, escolha seu gateway e clique em **OK** para instalar a política.

**Para modificar a propriedade tunnel\$1keepalive\$1method**

O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando uma associação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanente deve ser configurado na comunidade AWS VPN (consulte a Etapa 8).

Por padrão, a propriedade `tunnel_keepalive_method` para um gateway VPN é configurada como `tunnel_test`. Você precisa alterar o valor para `dpd`. Cada gateway de VPN na comunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedade `tunnel_keepalive_method`, incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos de monitoramento para o mesmo gateway.

Você pode atualizar a `tunnel_keepalive_method` propriedade usando a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Escolha **File** (Arquivo), **Database Revision Control...**(Controle de revisão de banco de dados…) e crie um snapshot de revisão.

1. Feche todas as SmartConsole janelas, como a SmartDashboard, SmartView Rastreador e SmartView Monitor.

1. Inicie a BDedit ferramenta Gui. Para obter mais informações, consulte o artigo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) (Ferramenta de banco de dados de pontos de verificação) no Check Point Support Center. 

1. Escolha **Security Management Server**(Servidor de gerenciamento de segurança), **Domain Management Server** (Servidor de gerenciamento de domínio).

1. No painel superior esquerdo, escolha **Table** (tabela), **Network Objects** (Objetos de rede), **network\$1objects**. 

1. No painel superior direito, selecione o objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente. 

1. Pressione CTRL\$1F ou use o menu **Search** (Buscar) para procurar o seguinte: `tunnel_keepalive_method`.

1. No painel inferior, abra o menu de contexto para `tunnel_keepalive_method` e escolha **Edit... (Editar)**. Escolha **dpd** e **OK**.

1. Repita as etapas de 7 a 9 para cada gateway que fizer parte da comunidade da AWS VPN.

1. Escolha **File** (Arquivo), **Save All** (Salvar Tudo).

1. Feche a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Instale a política no objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente.

Para obter mais informações, consulte o artigo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) (Novos recursos de VPN no R77.10) no Check Point Support Center.

**Para ativar o ajuste de MSS TCP**

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentação de pacotes.

1. Navegue até o seguinte diretório `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Abra o Check Point Database Tool executando o arquivo `GuiDBEdit.exe`.

1. Escolha **Table** (Tabela), **Global Properties** (Propriedades Globais), **properties** (propriedades).

1. Em `fw_clamp_tcp_mss`, escolha **Edit** (Editar). Altere o valor para `true` e escolha **OK**.

**Como verificar o status do túnel**  
É possível verificar o status do túnel executando o comando a seguir na ferramenta da linha de comando, no modo especialista.

```
vpn tunnelutil
```

Nas opções exibidas, escolha **1** para verificar as associações IKE e **2** para verificar as IPsec associações.

É possível usar também Check Point Smart Tracker Log para verificar se os pacotes na conexão estão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foi criptografada.

![\[Arquivo de log do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

O procedimento a seguir demonstra como configurar os túneis VPN no dispositivo SonicWALL usando a interface de gerenciamento SonicOS.

**Para configurar os túneis**

1. Abra a interface de gerenciamento SonicWALL SonicOS. 

1. No painel esquerdo, escolha **VPN**, **Configurações**. Em **VPN Policies**, escolha **Adicionar...**.

1. Na janela de política VPN na guia **Geral **, conclua com as seguintes informações:
   + **Policy Type (Tipo de política)**: escolha **Tunnel Interface (Interface do túnel)**.
   + Em **Método de autenticação**: Escolha **IKE using Preshared Secret**.
   + **Nome**: Insira um nome para a política VPN. Recomendamos que você use o nome do ID VPN, conforme fornecido no arquivo de configuração.
   + **IPsec Nome ou endereço do gateway primário**: insira o endereço IP do gateway privado virtual conforme fornecido no arquivo de configuração (por exemplo,`72.21.209.193`).
   + **IPsec Nome ou endereço do gateway secundário**: deixe o valor padrão.
   + **Shared Secret**: Insira a chave pré-compartilhada conforme fornecida no arquivo de configuração, e insira-a novamente em **Confirm Shared Secret**.
   + **ID IKE local**: insira o IPv4 endereço do gateway do cliente (o dispositivo SonicWall). 
   + **ID IKE de mesmo nível**: insira o IPv4 endereço do gateway privado virtual.

1. Na guia **Network**, conclua com as seguintes informações:
   + Em **Local Networks**, escolha **Any address** (Qualquer endereço). Recomendamos esta opção para evitar problemas de conectividade na rede local. 
   + Em **Remote Networks** (Redes remotas), escolha **Choose a destination network from list** (Escolha uma rede de destino na lista). Crie um objeto de endereço com o CIDR da VPC na AWS.

1. Na guia **Proposals (Propostas)** conclua com as seguintes informações. 
   + Em **IKE (Phase 1) Proposal**, faça o seguinte:
     + **Exchange**: Escolha **Main Mode** (Modo Principal).
     + **DH Group (Grupo DH)**: insira um valor para o grupo Diffie-Hellman (por exemplo, `2`). 
     + **Encriptação**: Escolha **AES-128** ou **AES-256**.
     + **Autenticação**: escolha **SHA1**ou **SHA256**.
     + **Life Time**: Insira `28800`.
   + Em **IKE (Phase 2) Proposal**, faça o seguinte:
     + **Protocolo**: Escolha **ESP**.
     + **Encriptação**: Escolha **AES-128** ou **AES-256**.
     + **Autenticação**: escolha **SHA1**ou **SHA256**.
     + Selecione a caixa de seleção **Enable Perfect Forward Secrecy** (Habilite o sigilo de encaminhamento perfeito) e escolha o grupo Diffie-Hellman.
     + **Life Time**: Insira `3600`.
**Importante**  
Se você criou seu gateway privado virtual antes de outubro de 2015, deverá especificar o grupo 2 do Diffie-Hellman, AES-128 e para ambas as fases. SHA1

1. Na guia **Advanced** (Avançado) conclua com as seguintes informações:
   + Selecione **Enable Keep Alive**.
   + Selecione **Enable Phase2 Dead Peer Detection** e insira o seguinte:
     + Em **Dead Peer Detection Interval**, insira `60` (este é o mínimo que o dispositivo SonicWALL aceita).
     + Em **Failure Trigger Level**, insira `3`.
   + Em **VPN Policy bound to**, selecione **Interface X1**. Essa é a interface designada normalmente para endereços IP públicos.

1. Escolha **OK**. Na página **Configurações** a caixa de seleção **Habilitar** para o túnel deve ser selecionada por padrão. Um ponto verde indica que o túnel está ativo.

------

## Dispositivos Cisco: informações adicionais
<a name="cgw-static-routing-examples-cisco"></a>

Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis. 

Cisco ASAs a partir da versão 9.7.1 e posterior do modo de suporte Active/Active . Ao usar esses Cisco ASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Para dispositivos Cisco, é necessário fazer o seguinte:
+ Configurar a interface externa.
+ Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.
+ Garanta que o número Crypto List Policy Sequence seja exclusivo.
+ Certifique-se de que o conjunto de IPsec transformações criptográficas e a sequência de políticas do Crypto ISAKMP estejam em harmonia com quaisquer outros IPsec túneis configurados no dispositivo.
+ Garantir que o número de monitoramento de SLA seja exclusivo.
+ Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.