As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Site-to-Site VPN dispositivos de gateway do cliente
<a name="your-cgw"></a>

Um *dispositivo de gateway do cliente* é um dispositivo físico ou de software que você possui ou gerencia em sua rede local (do seu lado de uma conexão Site-to-Site VPN). Você ou seu administrador de rede devem configurar o dispositivo para funcionar com a conexão Site-to-Site VPN.

O diagrama a seguir mostra a rede, o dispositivo de gateway do cliente e a conexão VPN que vai para o gateway privado virtual anexado à VPC. As duas linhas entre o gateway do cliente e o gateway privado virtual representam os túneis para a conexão VPN. Se houver uma falha no dispositivo AWS, sua conexão VPN automaticamente passará para o segundo túnel para que seu acesso não seja interrompido. De tempos em tempos, AWS também realiza manutenção de rotina na conexão VPN, o que pode desativar brevemente um dos dois túneis da sua conexão VPN. Para obter mais informações, consulte [AWS Site-to-Site VPN substituições de terminais de túneis](endpoint-replacements.md). É importante configurar o dispositivo de gateway do cliente para usar os dois túneis.

![\[Visão geral do gateway do cliente de alto nível\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/cgw-high-level.png)


Para obter as etapas para configurar uma conexão VPN, consulte [Comece com AWS Site-to-Site VPN](SetUpVPNConnections.md). Durante esse processo, você cria um recurso de gateway do cliente no AWS, que fornece informações AWS sobre seu dispositivo, por exemplo, seu endereço IP público. Para obter mais informações, consulte [Opções de gateway do cliente para sua conexão AWS Site-to-Site VPN](cgw-options.md). O recurso de gateway do cliente em AWS não configura nem cria o dispositivo de gateway do cliente. Você precisará configurar o dispositivo por conta própria.

Também é possível encontrar dispositivos de programa de VPN no [AWS Marketplace](https://aws.amazon.com/marketplace/search/results/ref=brs_navgno_search_box?searchTerms=vpn).

# Requisitos para um dispositivo de gateway do AWS Site-to-Site VPN cliente
<a name="CGRequirements"></a>

 AWS suporta vários dispositivos Site-to-Site VPN de gateway de clientes, para os quais fornecemos arquivos de configuração para download. Para ver uma lista dos dispositivos compatíveis e as etapas para baixar os arquivos de configuração, consulte [Arquivos de configuração de roteamento estático e dinâmico](example-configuration-files.md). 

Se você tiver um dispositivo que não esteja na lista de dispositivos compatíveis, a seção a seguir descreve os requisitos que o dispositivo deve atender para estabelecer uma conexão Site-to-Site VPN.

Há quatro etapas principais para a configuração do seu dispositivo de gateway do cliente. Os símbolos a seguir representam cada parte da configuração.


|  |  | 
| --- |--- |
|  ![\[Símbolo de Internet key exchange\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IKE.png)  |  Associação de segurança do Internet Key Exchange (IKE). Isso é necessário para trocar as chaves usadas para estabelecer a associação IPsec de segurança.  | 
|  ![\[Segurança do protocolo de Internet\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IPsec.png)  |  IPsec associação de segurança. Isso lida com a criptografia do túnel, com a autenticação e assim por diante.  | 
|  ![\[Símbolo de interface do túnel\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/Tunnel.png)  |  Interface do túnel. Isso recebe tráfego de e para o túnel.  | 
|  ![\[Protocolo de Gateway da Borda\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/BGP.png)  |  (Opcional) Emparelhamento de Protocolo de Gateway da Borda (BGP) Para dispositivos que usam BGP, isso troca as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual.  | 

A tabela a seguir lista os requisitos para o dispositivo de gateway do cliente, o RFC relacionado (para referência) e comentários sobre os requisitos.

Cada conexão VPN consiste em dois túneis separados. Cada túnel contém uma associação de segurança IKE, uma associação IPsec de segurança e um peering BGP. Você está limitado a um par exclusivo de associação de segurança (SA) por túnel (um de entrada e um de saída) e, portanto, a dois pares de SA exclusivos no total para dois túneis (quatro). SAs Alguns dispositivos usam uma VPN baseada em políticas e criam tantas entradas de SAs ACL. Assim, talvez seja necessário consolidar as regras e, depois, filtrar para não permitir o tráfego indesejado.

Por padrão, o túnel da VPN é ativado quando o tráfego é gerado e a negociação do protocolo IKE é iniciada do seu lado da conexão VPN. Em vez disso, você pode configurar a conexão VPN para iniciar a negociação IKE do AWS lado da conexão. Para obter mais informações, consulte [AWS Site-to-Site VPN opções de iniciação de túnel](initiate-vpn-tunnels.md). 

Os endpoints de VPN são compatíveis com o rechaveamento e poderão iniciar renegociações quando a fase 1 estiver prestes a expirar, se o dispositivo de gateway do cliente não tiver enviado nenhum tráfego de renegociação.


|  Requisito  |  RFC |  Comentários | 
| --- | --- | --- | 
|  Estabelecer associação de segurança IKE   ![\[IKE\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IKE.png)   |  [RFC 2409](https://datatracker.ietf.org/doc/html/rfc2409)  [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296)  |  A associação de segurança IKE é estabelecida primeiro entre o gateway privado virtual e o dispositivo de gateway do cliente usando uma chave pré-compartilhada ou um certificado privado usado Autoridade de Certificação Privada da AWS como autenticador. Quando estabelecido, o IKE negocia uma chave efêmera para proteger futuras mensagens de IKE. Deve haver um acordo completo entre os parâmetros, incluindo parâmetros de criptografia e de autenticação. Ao criar uma conexão VPN no AWS, você pode especificar sua própria chave pré-compartilhada para cada túnel ou deixar AWS gerar uma para você. Como alternativa, você pode especificar o certificado privado usado Autoridade de Certificação Privada da AWS para usar em seu dispositivo de gateway do cliente. Para obter mais informações, sobre como configurar túneis da VPN, consulte [Opções de túnel para sua AWS Site-to-Site VPN conexão](VPNTunnels.md). As seguintes versões são suportadas: IKEv1 IKEv2 e. Suportamos o modo principal somente com IKEv1. O serviço Site-to-Site VPN é uma solução baseada em rotas. Se você estiver usando uma configuração com base em políticas, limite a configuração a uma única associação de segurança (SA).  | 
|  Estabeleça associações de IPsec segurança no modo Túnel  ![\[IPsec\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/IPsec.png)   |   [RFC 4301](https://datatracker.ietf.org/doc/html/rfc4301)   |  Usando a chave efêmera IKE, as chaves são estabelecidas entre o gateway privado virtual e o dispositivo de gateway do cliente para formar uma associação de IPsec segurança (SA). O tráfego entre os gateways é criptografado e descriptografado. usando essa SA. As chaves efêmeras usadas para criptografar o tráfego dentro do IPsec SA são alternadas automaticamente pelo IKE regularmente para garantir a confidencialidade das comunicações.  | 
|  Usar a função de criptografia AES de 128 bits ou AES de 256 bits  |   [RFC 3602](https://datatracker.ietf.org/doc/html/rfc3602)   |  A função de criptografia é usada para garantir a privacidade do IKE e das associações IPsec de segurança.  | 
|  Usar a função de hashing SHA-1 ou SHA-2 (256)  |   [RFC 2404](https://datatracker.ietf.org/doc/html/rfc2404)   |  Essa função de hashing é usada para autenticar tanto o IKE quanto as associações de segurança. IPsec  | 
|  Use o Diffie-Hellman Perfect Forward Secrecy.  |   [RFC 2409](https://datatracker.ietf.org/doc/html/rfc2409)   |  O IKE usa Diffie-Hellman para estabelecer chaves efêmeras para proteger toda a comunicação entre os dispositivos de gateway do cliente e os gateways privados virtuais.  Os seguintes grupos são compatíveis: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/CGRequirements.html)  | 
|  (Conexões VPN roteadas dinamicamente) Use o Dead Peer Detection IPsec   |   [RFC 3706](https://datatracker.ietf.org/doc/html/rfc3706)   |  O Dead Peer Detection permite que os dispositivos de VPN identifiquem rapidamente quando uma condição de rede impede a entrega de pacotes pela Internet. Quando isso ocorre, os gateways excluem as associações de segurança e tentam criar outras associações. Durante esse processo, o IPsec túnel alternativo é usado, se possível.  | 
|  (Conexões VPN roteadas dinamicamente) Vincular o túnel à interface lógica (VPN baseada em rota)  ![\[Tunnel\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/Tunnel.png)   |   Nenhum   |  Seu dispositivo deve ser capaz de vincular o IPsec túnel a uma interface lógica. A interface lógica contém um endereço IP que é usado para estabelecer o emparelhamento de BGP com o gateway privado virtual. Essa interface lógica não deve executar encapsulamento adicional (por exemplo, GRE ou IP em IP). A interface deve ser configurada para uma Maximum Transmission Unit (MTU) de 1.399 bytes.   | 
|  (Conexões VPN roteadas dinamicamente) Estabelecer emparelhamentos de BGP  ![\[BGP\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/BGP.png)   |   [RFC 4271](https://datatracker.ietf.org/doc/html/rfc4271)   |  O BGP é usado para trocar as rotas entre o dispositivo de gateway do cliente e o gateway privado virtual para dispositivos que usam o BGP. Todo o tráfego BGP é criptografado e transmitido pela IPsec Security Association. O BGP é necessário para que ambos os gateways troquem os prefixos IP que podem ser acessados por meio do SA. IPsec   | 

Uma conexão AWS VPN não oferece suporte ao Path MTU Discovery ([RFC 1191](https://datatracker.ietf.org/doc/html/rfc1191)).

Se houver um firewall entre o dispositivo de gateway do cliente e a Internet, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).

# Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-best-practice"></a>

**Use IKEv2**  
É altamente recomendável usar IKEv2 para sua conexão Site-to-Site VPN. IKEv2 é um protocolo mais simples, robusto e seguro do que o. IKEv1 Você só deve usar IKEv1 se o dispositivo de gateway do cliente não for compatível IKEv2. Para obter mais detalhes sobre as diferenças entre IKEv1 e IKEv2, consulte o [Apêndice](https://www.rfc-editor.org/rfc/rfc7296#appendix-A) A do. RFC7296

**Redefinir o sinalizador “Não fragmentar (DF)” nos pacotes**  
Alguns pacotes carregam um sinalizador chamado de Não fragmentar (DF), que indica que o pacote não deve ser fragmentado. Quando os pacotes usam o sinalizador, os gateways geram uma mensagem de MTU de caminho ICMP excedido. Em alguns casos, as aplicações não possuem mecanismos adequados para processar essas mensagens ICMP e para reduzir a quantidade de dados transmitidos em cada pacote. Alguns dispositivos VPN podem substituir o sinalizador DF e fragmentar os pacotes incondicionalmente, se necessário. Se o dispositivo de gateway do cliente tiver essa capacidade, recomendamos o uso, conforme apropriado. Consulte [RFC 791](https://datatracker.ietf.org/doc/html/rfc791) para obter mais detalhes.

**Fragmentar pacotes IP antes da criptografia**  
Se os pacotes enviados pela sua conexão Site-to-Site VPN excederem o tamanho da MTU, eles deverão ser fragmentados. Para evitar a diminuição do desempenho, recomendamos que você configure seu dispositivo de gateway do cliente para fragmentar os pacotes *antes* de serem criptografados. Site-to-Site A VPN então remontará todos os pacotes fragmentados antes de encaminhá-los para o próximo destino, a fim de obter packet-per-second fluxos mais altos pela rede. AWS Consulte [RFC 4459](https://datatracker.ietf.org/doc/html/rfc4459) para obter mais detalhes.

**Certifique-se de que o tamanho do pacote não exceda a MTU para redes de destino**  
Como a Site-to-Site VPN reagrupará todos os pacotes fragmentados recebidos do dispositivo de gateway do cliente antes de encaminhá-los para o próximo destino, lembre-se de que pode haver size/MTU considerações sobre pacotes para redes de destino para as quais esses pacotes serão encaminhados em seguida, como over Direct Connect ou com determinados protocolos, como o Radius.

**Ajuste os tamanhos MTU e MSS de acordo com os algoritmos em uso**  
Os pacotes TCP geralmente são o tipo mais comum de pacote em túneis. IPsec Site-to-Site A VPN suporta uma unidade de transmissão máxima (MTU) de 1446 bytes e um tamanho máximo de segmento (MSS) correspondente de 1406 bytes. No entanto, os algoritmos de criptografia têm tamanhos de cabeçalho variados e podem impedir a capacidade de atingir esses valores máximos. Para obter a performance ideal evitando a fragmentação, recomendamos que você defina o MTU e o MSS com base especificamente nos algoritmos que estão sendo usados.

Use a tabela a seguir para definir o seu MTU/MSS para evitar a fragmentação e obter o desempenho ideal:


| Algoritmo de criptografia | Algoritmo de hash | NAT Traversal | MTU | MANUSCRITO (1) IPv4 | SMS (IPv6-em-) IPv4 | 
| --- | --- | --- | --- | --- | --- | 
|  AES-GCM-16  |  N/D  |  desabilitado  |  1446  |  1406  |  1386  | 
|  AES-GCM-16  |  N/D  |  habilitado  |  1438  |  1398  |  1378  | 
|  AES-CBC  |  SHA1/SHA2-256  |  desabilitado  |  1438  |  1398  |  1378  | 
|  AES-CBC  |  SHA1/SHA2-256  |  habilitado  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-384  |  desabilitado  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-384  |  habilitado  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-512  |  desabilitado  |  1422  |  1382  |  1362  | 
|  AES-CBC  |  SHA2-512  |  habilitado  |  1406  |  1366  |  1346  | 

**nota**  
Os algoritmos AES-GCM cobrem criptografia e autenticação, portanto, não há escolha de algoritmo de autenticação distinta que afetaria a MTU.

**Desativar IKE exclusivo IDs**  
Alguns dispositivos de gateway do cliente são compatíveis com configuração que garante que, no máximo, exista uma associação de segurança de fase 1 por configuração de túnel. Essa configuração pode resultar em estados inconsistentes da Fase 2 entre os pares de VPN. Se o dispositivo de gateway do cliente for compatível com configuração, recomendamos desabilitá-la.

# Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="FirewallRules"></a>

Você deve ter um endereço IP estático para usar como ponto final dos IPsec túneis que conectam seu dispositivo de gateway do cliente aos endpoints. AWS Site-to-Site VPN Se houver um firewall entre AWS e seu dispositivo de gateway do cliente, as regras nas tabelas a seguir devem estar em vigor para estabelecer os IPsec túneis. Os endereços IP do AWS lado -estarão no arquivo de configuração.


**Entrada (pela Internet)**  

| 
| 
|  Regra de entrada I1  | 
| --- |
|  IP de origem  |  IP externo do túnel 1  | 
|  Dest IP  |  Gateway do cliente  | 
|  Protocolo  |  UDP  | 
|  Porta de origem  |  500  | 
|  Destino  |  500  | 
|  Regra de entrada I2  | 
| --- |
|  IP de origem  |  IP externo do túnel 2  | 
|  Dest IP  |  Gateway do cliente  | 
|  Protocolo  |  UDP  | 
|  Porta de origem  |  500  | 
|  Porta de destino  |  500  | 
|  Regra de entrada I3  | 
| --- |
|  IP de origem  |  IP externo do túnel 1  | 
|  Dest IP  |  Gateway do cliente  | 
|  Protocolo  |  IP 50 (ESP)  | 
|  Regra de entrada I4  | 
| --- |
|  IP de origem  |  IP externo do túnel 2  | 
|  Dest IP  |  Gateway do cliente  | 
|  Protocolo  |  IP 50 (ESP)  | 


**Saída (para a Internet)**  

| 
| 
|  Regra de saída O1  | 
| --- |
|  IP de origem  |  Gateway do cliente  | 
|  Dest IP  |  IP externo do túnel 1  | 
|  Protocolo  |  UDP  | 
|  Porta de origem  |  500  | 
|  Porta de destino  |  500  | 
|  Regra de saída O2  | 
| --- |
|  IP de origem  |  Gateway do cliente  | 
|  Dest IP  |  IP externo do túnel 2  | 
|  Protocolo  |  UDP  | 
|  Porta de origem  |  500  | 
|  Porta de destino  |  500  | 
|  Regra de saída O3  | 
| --- |
|  IP de origem  |  Gateway do cliente  | 
|  Dest IP  |  IP externo do túnel 1  | 
|  Protocolo  |  IP 50 (ESP)   | 
|  Regra de saída O4  | 
| --- |
|  IP de origem  |  Gateway do cliente  | 
|  Dest IP  |  IP externo do túnel 2  | 
|  Protocolo  |  IP 50 (ESP)  | 

As regras I1, I2, O1 e O2 permitem a transmissão de pacotes IKE. As regras I3, I4, O3 e O4 permitem a transmissão de IPsec pacotes que contêm o tráfego de rede criptografado.

**nota**  
Se você estiver usando a passagem NAT (NAT-T) em seu dispositivo, certifique-se de que o tráfego UDP na porta 4500 também possa passar entre sua rede e os endpoints. AWS Site-to-Site VPN Verifique se o seu dispositivo está anunciando NAT-T.

# Arquivos de configuração estáticos e dinâmicos para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="example-configuration-files"></a>

Depois de criar a conexão VPN, você também tem a opção de baixar um arquivo de configuração de exemplo fornecido pela AWS do console da Amazon VPC ou usando a API do EC2. Consulte [Etapa 6: baixar o arquivo de configuração](SetUpVPNConnections.md#vpn-download-config) para obter mais informações. Você também pode baixar arquivos .zip de configurações de exemplo especificamente para roteamento estático vs. dinâmico nessas respectivas páginas.

O arquivo AWS de configuração de amostra fornecido contém informações específicas da sua conexão VPN que você pode usar para configurar seu dispositivo de gateway do cliente. Esses arquivos de configuração específicos do dispositivo estão disponíveis para dispositivos testados pela AWS. Se o dispositivo de gateway do cliente específico não estiver listado, você poderá baixar um arquivo de configuração genérica para começar.

**Importante**  
O arquivo de configuração é apenas um exemplo e pode não corresponder totalmente às configurações de conexão Site-to-Site VPN pretendidas. Ele especifica os requisitos mínimos para uma conexão Site-to-Site VPN do grupo 2 do AES128 Diffie-Hellman na maioria das AWS regiões e do grupo 14 do Diffie-Hellman nas regiões. SHA1 AES128 SHA2 AWS GovCloud Ele também especifica chaves pré-compartilhadas para autenticação. Você deve modificar o arquivo de configuração de exemplo para aproveitar os algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6 

**nota**  
Esses arquivos de configuração específicos do dispositivo são fornecidos com AWS base no melhor esforço. Embora tenham sido testados por AWS, esse teste é limitado. Em caso de problemas com os arquivos de configuração, talvez seja necessário entrar em contato com o fornecedor específico para obter suporte adicional.

A tabela a seguir contém uma lista de dispositivos que têm um exemplo de arquivo de configuração disponível para download que foi atualizado para oferecer suporte IKEv2. Introduzimos IKEv2 suporte nos arquivos de configuração para muitos dispositivos populares de gateway de clientes e continuaremos adicionando arquivos adicionais ao longo do tempo. Esta lista será atualizada à medida que mais arquivos de configuração de exemplo forem adicionados.


| Fornecedor | Plataforma | Software | 
| --- | --- | --- | 
|  AXGATE  |  NF  |  AOS 3.2\$1  | 
|  AXGATE  |  UTM  |  AOS 2.1\$1  | 
|  Ponto de verificação  |  Gaia  |  R80.10\$1  | 
|  Cisco Meraki  |  MX Series  |  15.12\$1 (WebUI)  | 
|  Cisco Systems, Inc.  |  ASA 5500 Series  |  ASA 9.7\$1 VTI  | 
|  Cisco Systems, Inc.  |  CSRv AMI  |  IOS 12.4\$1  | 
|  Fortinet  |  Fortigate 40\$1 Series  |  FortiOS 6.4.4\$1 (GUI)  | 
|  Juniper Networks, Inc.  |  J-Series Routers  |  JunOS 9.5\$1  | 
|  Juniper Networks, Inc.  |  SRX Routers  |  JunOS 11.0\$1  | 
|  Mikrotik  |  RouterOS  |  6.44.3  | 
|  Palo Alto Networks  |  PA Series  |  PANOS 7.0\$1  | 
|  SonicWall  |  NSA, TZ  |  OS 6.5  | 
|  Sophos  |  Sophos Firewall  |  v19\$1  | 
|  Strongswan  |  Ubuntu 16.04  |  Strongswan 5.5.1\$1  | 
|  Yamaha  |  RTX Routers  |  Rev.10.01.16\$1  | 

# Arquivos de configuração de roteamento estático que podem ser baixados para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-static-routing-examples"></a>

Para baixar um arquivo de configuração de amostra com valores específicos para sua configuração de conexão Site-to-Site VPN, use o console da Amazon VPC, a linha de AWS comando ou a API do Amazon EC2. Para obter mais informações, consulte [Etapa 6: baixar o arquivo de configuração](SetUpVPNConnections.md#vpn-download-config).

[Você também pode baixar arquivos de configuração de exemplo genéricos para roteamento estático que não incluem valores específicos para sua configuração de conexão Site-to-Site VPN: .zip static-routing-examples](samples/static-routing-examples.zip) 

Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
+ Valores de exemplo para o ID da conexão VPN, ID do gateway do cliente e ID do gateway privado virtual
+ Espaços reservados para os AWS endpoints de endereço IP remoto (externo) (*AWS\$1ENDPOINT\$11*e) *AWS\$1ENDPOINT\$12*
+ Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente () *your-cgw-ip-address*
+ Um espaço reservado para o valor da chave pré-compartilhada () pre-shared-key
+ Valores de exemplo para o túnel dentro de endereços IP.
+ Valores de exemplo para a configuração de MTU.

**nota**  
As configurações de MTU fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte [Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente](cgw-best-practice.md) para obter informações sobre como definir o valor MTU ideal para a sua situação.

Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma conexão Site-to-Site VPN de AES128, SHA1, e Diffie-Hellman grupo 2 na maioria das AWS regiões e, AES128 SHA2, e Diffie-Hellman grupo 14 nas regiões. AWS GovCloud Eles também especificam chaves pré-compartilhadas para [autenticação](vpn-tunnel-authentication-options.md). Você deve modificar o arquivo de configuração de exemplo para aproveitar algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6 

O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.

![\[Dispositivo de gateway do cliente com roteamento estático\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/cgw-static-routing.png)


# Configurar o roteamento estático para um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-static-routing-example-interface"></a>

Veja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do cliente usando sua interface de usuário (se disponível).

------
#### [ Check Point ]

A seguir estão as etapas para configurar seu dispositivo de gateway de cliente se seu dispositivo for um dispositivo Check Point Security Gateway executando R77.10 ou superior, usando o sistema operacional Gaia e o Check Point. SmartDashboard Você também pode consultar o artigo [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) no Check Point Support Center.

**Para configurar a interface do túnel**

O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway do cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração. Para criar o segundo túnel, use os valores fornecidos na seção `IPSec Tunnel #2` do arquivo de configuração. 

1. Abra o portal Gaia do dispositivo Check Point Security Gateway.

1. Escolha **Network Interfaces**, **Add**, **VPN tunnel**.

1. Na caixa de diálogo, defina as configurações como a seguir e escolha **OK** ao concluir:
   + Em **VPN Tunnel ID**, insira qualquer valor único exclusivo, como 1.
   + Em **Peer**, insira um nome exclusivo para seu túnel, como `AWS_VPC_Tunnel_1` or `AWS_VPC_Tunnel_2`.
   + Confirme se **Numbered (Numerado)** está selecionado e, em **Local Address (Endereço local)**, insira o endereço IP especificado para `CGW Tunnel IP` no arquivo de configuração; por exemplo, `169.254.44.234`. 
   + Em **Remote Address**, insira o endereço IP especificado para `VGW Tunnel IP` no arquivo de configuração; por exemplo, `169.254.44.233`.  
![\[Caixa de diálogo Add VPN Tunnel do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clish executando o comando a seguir: `clish`

1. Para o túnel 1, execute o comando a seguir:

   ```
   set interface vpnt1 mtu 1436
   ```

   Para o túnel 2, execute o comando a seguir:

   ```
   set interface vpnt2 mtu 1436
   ```

1. Repita essas etapas para criar um segundo túnel, usando as informações na seção `IPSec Tunnel #2` do arquivo de configuração.

**Para configurar rotas estáticas**

Nesta etapa, especifique a rota estática para a sub-rede na VPC de cada túnel para poder enviar tráfego pelas interfaces de túnel. O segundo túnel permite failover, caso haja um problema com o primeiro túnel. Se um problema é detectado, a rota estática baseada na política é removida da tabela de roteamento e a segunda rota é ativada. Você deve também ativar o gateway do Check Point para executar ping na outra extremidade do túnel e verificar se o túnel está ativo.

1. No portal Gaia, escolha **Rotas IPv4 estáticas**, **Adicionar**.

1. Especifique o CIDR de sua sub-rede; por exemplo, `10.28.13.0/24`.

1. Escolha **Add Gateway** (Adicionar Gateway), **IP Address** (Endereço de IP).

1. Insira o endereço IP especificado para `VGW Tunnel IP` no arquivo de configuração (por exemplo, `169.254.44.233`) e especifique 1 como prioridade.

1. Selecione **Ping**.

1. Repita as etapas 3 e 4 para o segundo túnel, usando o valor `VGW Tunnel IP` na seção `IPSec Tunnel #2` do arquivo de configuração. Especifique 2 como prioridade.  
![\[Caixa de diálogo Edit Destination Route do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. Escolha **Salvar**.

Se estiver usando um cluster, repita as etapas anteriores para os outros membros do cluster. 

**Para definir um novo objeto de rede**

Nesta etapa, você criará um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio para funcionar como espaço reservado para o domínio de VPN. 

1. Abra o Check Point SmartDashboard.

1. Em **Groups** (Grupos), abra o menu de contexto e escolha **Groups** (Grupos), **Simple Group** (Grupo Simples). É possível usar o mesmo grupo para cada objeto de rede.

1. Em **Network Objects** (Objetos de rede), abra o menu de contexto (clique com o botão direito) e escolha **New** (Novo), **Interoperable Device** (Dispositivo interoperável).

1. Em **Name (Nome)**, insira o nome que você forneceu para o túnel; por exemplo, `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`.

1. Em **IPv4 Endereço**, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de configuração, por exemplo,`54.84.169.196`. Salve as configurações e feche a caixa de diálogo.  
![\[Caixa de diálogo Interoperable Device do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Em SmartDashboard, abra as propriedades do gateway e, no painel de categorias, escolha **Topologia**. 

1. Para recuperar a configuração da interface, escolha **Get Topology**.

1. Na seção **VPN Domain (Domínio da VPN)**, escolha **Manually defined (Definido manualmente)** e procure e selecione o grupo vazio simples criado na etapa 2. Escolha **OK**.
**nota**  
É possível manter qualquer domínio de VPN existente que configurou. Entretanto, verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN for originado automaticamente.

1. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção `IPSec Tunnel #2` do arquivo de configuração.

**nota**  
Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Use os endereços IP especificados no arquivo de configuração. 

**Para criar e configurar a comunidade VPN, o IKE e IPsec as configurações**

Nesta etapa, você criará uma comunidade VPN no gateway do Check Point à qual adicionará objetos de rede (dispositivos interoperáveis) para cada túnel. Você também define o Internet Key Exchange (IKE) e IPsec as configurações.

1. Nas propriedades do gateway, escolha **IPSecVPN** no painel de categorias.

1. Escolha **Communities**, **New**, **Star Community**.

1. Forneça um nome para a comunidade (por exemplo, `AWS_VPN_Star`) e escolha **Center Gateways** no painel de categoria.

1. Escolha **Adicionar** e adicione o gateway ou cluster à lista de gateways participantes.

1. No painel de categoria, escolha **Satellite Gateways** (Gateways secundários), **Add** (Adicionar) e adicione os dispositivos interoperáveis que você criou anteriormente (`AWS_VPC_Tunnel_1` e `AWS_VPC_Tunnel_2`) à lista de gateways participantes.

1. No painel de categoria, escolha **Encryption**. Na seção **Método de criptografia**, escolha **IKEv1 somente**. Na seção **Encryption Suite**, escolha **Custom**, **Custom Encryption**.

1. Na caixa de diálogo, configure as propriedades de criptografia como a seguir e escolha **OK** ao concluir:
   + Propriedades da associação de segurança IKE (fase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Propriedades da Associação de Segurança (Fase 2):
     + **Execute a criptografia IPsec de dados com**: AES-128
     + **Perform data integrity with**: SHA-1

1. No painel de categoria, escolha **Tunnel Management**. Escolha **Set Permanent Tunnels**, **On all tunnels in the community**. Na seção **VPN Tunnel Sharing** (Compartilhamento de túnel VPN), escolha **One VPN tunnel per Gateway pair** (Um túnel VPN por par de gateway).

1. No painel de categoria, expanda **Advanced Settings** (Configurações Avançadas) e escolha **Shared Secret**.

1. Selecione o nome do par do primeiro túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #1`.

1. Selecione o nome do par do segundo túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #2`.  
![\[Caixa de diálogo Interoperable Shared Secret do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Ainda na categoria **Advanced Settings (Configurações avançadas)**, selecione **Advanced VPN Properties (Propriedades avançadas da VPN)**, configure as propriedades da forma a seguir e escolha **OK** ao concluir:
   + IKE (fase 1):
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Fase 2):
     + Escolha **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2`
     + ****Renegocie associações de IPsec segurança a cada segundo `3600`****

**Para criar regras de firewall**

Nesta etapa, você configurará uma politica com regras de firewall e regras de correspondência direcional que permitem a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seu gateway.

1. No SmartDashboard, escolha **Propriedades globais** para seu gateway. No painel de categoria, expanda **VPN** e escolha **Advanced**.

1. Escolha **Enable VPN Directional Match in VPN Column** e salve suas alterações.

1. No SmartDashboard, escolha **Firewall** e crie uma política com as seguintes regras: 
   + Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos. 
   + Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

1. Abra o menu de contexto da célula na coluna VPN e escolha **Editar Célula**. 

1. Na caixa de diálogo **Condições de correspondência VPN**, escolha **Corresponder o tráfego apenas nesta direção**. Crie as regras de correspondência direcional a seguir escolhendo **Add** para cada uma e escolha **OK** ao concluir:
   + `internal_clear` > comunidade VPN (a comunidade estrela da VPN que você criou anteriormente, por exemplo, `AWS_VPN_Star`)
   + Comunidade VPN > Comunidade VPN
   + Comunidade VPN > `internal_clear`

1. Em SmartDashboard, escolha **Política**, **Instalar**. 

1. Na caixa de diálogo, escolha seu gateway e clique em **OK** para instalar a política.

**Para modificar a propriedade tunnel\$1keepalive\$1method**

O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando uma associação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanente deve ser configurado na comunidade AWS VPN (consulte a Etapa 8).

Por padrão, a propriedade `tunnel_keepalive_method` para um gateway VPN é configurada como `tunnel_test`. Você precisa alterar o valor para `dpd`. Cada gateway de VPN na comunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedade `tunnel_keepalive_method`, incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos de monitoramento para o mesmo gateway.

Você pode atualizar a `tunnel_keepalive_method` propriedade usando a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Escolha **File** (Arquivo), **Database Revision Control...**(Controle de revisão de banco de dados…) e crie um snapshot de revisão.

1. Feche todas as SmartConsole janelas, como a SmartDashboard, SmartView Rastreador e SmartView Monitor.

1. Inicie a BDedit ferramenta Gui. Para obter mais informações, consulte o artigo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) (Ferramenta de banco de dados de pontos de verificação) no Check Point Support Center. 

1. Escolha **Security Management Server**(Servidor de gerenciamento de segurança), **Domain Management Server** (Servidor de gerenciamento de domínio).

1. No painel superior esquerdo, escolha **Table** (tabela), **Network Objects** (Objetos de rede), **network\$1objects**. 

1. No painel superior direito, selecione o objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente. 

1. Pressione CTRL\$1F ou use o menu **Search** (Buscar) para procurar o seguinte: `tunnel_keepalive_method`.

1. No painel inferior, abra o menu de contexto para `tunnel_keepalive_method` e escolha **Edit... (Editar)**. Escolha **dpd** e **OK**.

1. Repita as etapas de 7 a 9 para cada gateway que fizer parte da comunidade da AWS VPN.

1. Escolha **File** (Arquivo), **Save All** (Salvar Tudo).

1. Feche a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Instale a política no objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente.

Para obter mais informações, consulte o artigo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) (Novos recursos de VPN no R77.10) no Check Point Support Center.

**Para ativar o ajuste de MSS TCP**

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentação de pacotes.

1. Navegue até o seguinte diretório `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Abra o Check Point Database Tool executando o arquivo `GuiDBEdit.exe`.

1. Escolha **Table** (Tabela), **Global Properties** (Propriedades Globais), **properties** (propriedades).

1. Em `fw_clamp_tcp_mss`, escolha **Edit** (Editar). Altere o valor para `true` e escolha **OK**.

**Como verificar o status do túnel**  
É possível verificar o status do túnel executando o comando a seguir na ferramenta da linha de comando, no modo especialista.

```
vpn tunnelutil
```

Nas opções exibidas, escolha **1** para verificar as associações IKE e **2** para verificar as IPsec associações.

É possível usar também Check Point Smart Tracker Log para verificar se os pacotes na conexão estão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foi criptografada.

![\[Arquivo de log do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

O procedimento a seguir demonstra como configurar os túneis VPN no dispositivo SonicWALL usando a interface de gerenciamento SonicOS.

**Para configurar os túneis**

1. Abra a interface de gerenciamento SonicWALL SonicOS. 

1. No painel esquerdo, escolha **VPN**, **Configurações**. Em **VPN Policies**, escolha **Adicionar...**.

1. Na janela de política VPN na guia **Geral **, conclua com as seguintes informações:
   + **Policy Type (Tipo de política)**: escolha **Tunnel Interface (Interface do túnel)**.
   + Em **Método de autenticação**: Escolha **IKE using Preshared Secret**.
   + **Nome**: Insira um nome para a política VPN. Recomendamos que você use o nome do ID VPN, conforme fornecido no arquivo de configuração.
   + **IPsec Nome ou endereço do gateway primário**: insira o endereço IP do gateway privado virtual conforme fornecido no arquivo de configuração (por exemplo,`72.21.209.193`).
   + **IPsec Nome ou endereço do gateway secundário**: deixe o valor padrão.
   + **Shared Secret**: Insira a chave pré-compartilhada conforme fornecida no arquivo de configuração, e insira-a novamente em **Confirm Shared Secret**.
   + **ID IKE local**: insira o IPv4 endereço do gateway do cliente (o dispositivo SonicWall). 
   + **ID IKE de mesmo nível**: insira o IPv4 endereço do gateway privado virtual.

1. Na guia **Network**, conclua com as seguintes informações:
   + Em **Local Networks**, escolha **Any address** (Qualquer endereço). Recomendamos esta opção para evitar problemas de conectividade na rede local. 
   + Em **Remote Networks** (Redes remotas), escolha **Choose a destination network from list** (Escolha uma rede de destino na lista). Crie um objeto de endereço com o CIDR da VPC na AWS.

1. Na guia **Proposals (Propostas)** conclua com as seguintes informações. 
   + Em **IKE (Phase 1) Proposal**, faça o seguinte:
     + **Exchange**: Escolha **Main Mode** (Modo Principal).
     + **DH Group (Grupo DH)**: insira um valor para o grupo Diffie-Hellman (por exemplo, `2`). 
     + **Encriptação**: Escolha **AES-128** ou **AES-256**.
     + **Autenticação**: escolha **SHA1**ou **SHA256**.
     + **Life Time**: Insira `28800`.
   + Em **IKE (Phase 2) Proposal**, faça o seguinte:
     + **Protocolo**: Escolha **ESP**.
     + **Encriptação**: Escolha **AES-128** ou **AES-256**.
     + **Autenticação**: escolha **SHA1**ou **SHA256**.
     + Selecione a caixa de seleção **Enable Perfect Forward Secrecy** (Habilite o sigilo de encaminhamento perfeito) e escolha o grupo Diffie-Hellman.
     + **Life Time**: Insira `3600`.
**Importante**  
Se você criou seu gateway privado virtual antes de outubro de 2015, deverá especificar o grupo 2 do Diffie-Hellman, AES-128 e para ambas as fases. SHA1

1. Na guia **Advanced** (Avançado) conclua com as seguintes informações:
   + Selecione **Enable Keep Alive**.
   + Selecione **Enable Phase2 Dead Peer Detection** e insira o seguinte:
     + Em **Dead Peer Detection Interval**, insira `60` (este é o mínimo que o dispositivo SonicWALL aceita).
     + Em **Failure Trigger Level**, insira `3`.
   + Em **VPN Policy bound to**, selecione **Interface X1**. Essa é a interface designada normalmente para endereços IP públicos.

1. Escolha **OK**. Na página **Configurações** a caixa de seleção **Habilitar** para o túnel deve ser selecionada por padrão. Um ponto verde indica que o túnel está ativo.

------

## Dispositivos Cisco: informações adicionais
<a name="cgw-static-routing-examples-cisco"></a>

Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis. 

Cisco ASAs a partir da versão 9.7.1 e posterior do modo de suporte Active/Active . Ao usar esses Cisco ASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Para dispositivos Cisco, é necessário fazer o seguinte:
+ Configurar a interface externa.
+ Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.
+ Garanta que o número Crypto List Policy Sequence seja exclusivo.
+ Certifique-se de que o conjunto de IPsec transformações criptográficas e a sequência de políticas do Crypto ISAKMP estejam em harmonia com quaisquer outros IPsec túneis configurados no dispositivo.
+ Garantir que o número de monitoramento de SLA seja exclusivo.
+ Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.

# Arquivos de configuração de roteamento dinâmico que podem ser baixados para o dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="cgw-dynamic-routing-examples"></a>

Para baixar um arquivo de configuração de amostra com valores específicos para sua configuração de conexão Site-to-Site VPN, use o console da Amazon VPC, a linha de AWS comando ou a API do Amazon EC2. Para obter mais informações, consulte [Etapa 6: baixar o arquivo de configuração](SetUpVPNConnections.md#vpn-download-config).

[Você também pode baixar arquivos de configuração de exemplo genéricos para roteamento dinâmico que não incluem valores específicos para sua configuração de conexão Site-to-Site VPN: .zip dynamic-routing-examples](samples/dynamic-routing-examples.zip)

Os arquivos usam valores de espaço reservado para alguns componentes. Por exemplo, eles usam:
+ Valores de exemplo para o ID da conexão VPN, ID do gateway do cliente e ID do gateway privado virtual
+ Espaços reservados para os AWS endpoints de endereço IP remoto (externo) (*AWS\$1ENDPOINT\$11*e) *AWS\$1ENDPOINT\$12*
+ Um espaço reservado para o endereço IP da interface externa roteável pela Internet no dispositivo de gateway do cliente () *your-cgw-ip-address*
+ Um espaço reservado para o valor da chave pré-compartilhada () pre-shared-key
+ Valores de exemplo para o túnel dentro de endereços IP.
+ Valores de exemplo para a configuração de MTU.

**nota**  
As configurações de MTU fornecidas nos arquivos de configuração de amostra são apenas exemplos. Consulte [Melhores práticas para um dispositivo de gateway AWS Site-to-Site VPN do cliente](cgw-best-practice.md) para obter informações sobre como definir o valor MTU ideal para a sua situação.

Além de fornecer valores de espaço reservado, os arquivos especificam os requisitos mínimos para uma conexão Site-to-Site VPN de AES128, SHA1, e Diffie-Hellman grupo 2 na maioria das AWS regiões e, AES128 SHA2, e Diffie-Hellman grupo 14 nas regiões. AWS GovCloud Eles também especificam chaves pré-compartilhadas para [autenticação](vpn-tunnel-authentication-options.md). Você deve modificar o arquivo de configuração de exemplo para aproveitar os algoritmos de segurança adicionais, grupos Diffie-Hellman, certificados privados e tráfego. IPv6 

O diagrama a seguir fornece uma visão geral dos diferentes componentes configurados no dispositivo de gateway do cliente. Ele inclui valores de exemplo para os endereços IP da interface do túnel.

![\[Dispositivo de gateway do cliente com roteamento dinâmico\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/cgw-bgp.png)


# Configurar o roteamento dinâmico para um dispositivo de gateway AWS Virtual Private Network do cliente
<a name="cgw-dynamic-routing-example-interface"></a>

Veja a seguir alguns procedimentos de exemplo para configurar um dispositivo de gateway do cliente usando sua interface de usuário (se disponível).

------
#### [ Check Point ]

A seguir estão as etapas para configurar um dispositivo Check Point Security Gateway executando o R77.10 ou superior, usando o portal web Gaia e o Check Point. SmartDashboard Você também pode consultar o artigo [Amazon Web Services (AWS) VPN BGP ](https://support.checkpoint.com/results/sk/sk108958) no Check Point Support Center.

**Para configurar a interface do túnel**

O primeiro passo é criar túneis de VPN e fornecer os endereços IP privados (internos) do gateway do cliente e do gateway privado virtual de cada túnel. Para criar o primeiro túnel, use as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração. Para criar o segundo túnel, use os valores fornecidos na seção `IPSec Tunnel #2` do arquivo de configuração. 

1. Conecte seu gateway de segurança por SSH. Se estiver usando um shell não padrão, mude para clish executando o comando a seguir: `clish`

1. Defina o ASN do gateway do cliente (o ASN fornecido quando o gateway do cliente foi criado em AWS) executando o comando a seguir.

   ```
   set as 65000
   ```

1. Crie a interface para o primeiro túnel, usando as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Repita esses comandos para criar o segundo túnel, usando as informações fornecidas na seção `IPSec Tunnel #2` do arquivo de configuração. Forneça um nome exclusivo para seu túnel, como `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Defina o ASN do gateway privado virtual:

   ```
   set bgp external remote-as 7224 on 
   ```

1. Configure o BGP para o primeiro túnel, usando as informações fornecidas na seção `IPSec Tunnel #1` do arquivo de configuração:

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Configure o BGP para o segundo túnel, usando as informações fornecidas na seção `IPSec Tunnel #2` do arquivo de configuração:

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Salve a configuração.

   ```
   save config
   ```

**Para criar uma política de BGP**

Depois, crie uma política de BGP que permita a importação das rotas anunciadas pela AWS. Em seguida, configure seu gateway do cliente para anunciar suas rotas locais para a AWS.

1. Na Gaia WebUI, escolha **Advanced Routing** (Roteamento avançado), **Inbound Route Filters** (Filtros de rota de entrada). Escolha **Add** (Adicionar) e selecione **Add BGP Policy (Based on AS)** (Adicionar política de BGP (com base em AS)).

1. Em **Add BGP Policy (Adicionar política de BGP)**, selecione um valor entre 512 e 1024 no primeiro campo e insira o ASN do gateway privado virtual no segundo campo (por exemplo, `7224`).

1. Escolha **Salvar**.

**Para anunciar rotas locais**

As etapas a seguir destinam-se à distribuição de rotas de interface locais. Além disso, você pode redistribuir as rotas de diferentes origens (por exemplo, rotas estáticas ou rotas obtidas por meio de protocolos de roteamento dinâmico). Para obter mais informações, consulte [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. Na Gaia WebUI, escolha **Advanced Routing** (Roteamento Avançado),** Routing Redistribution** (Redistribuição de Roteamento). Selecione **Add Redistribution From (Adicionar redistribuição de)** e escolha **Interface**.

1. Em **To Protocol (Para o protocolo)**, selecione o ASN do gateway privado virtual (por exemplo, `7224`).

1. Em **Interface**, selecione uma interface interna. Escolha **Salvar**.

**Para definir um novo objeto de rede**

Depois, crie um objeto de rede para cada túnel de VPN, especificando os endereços IP públicos (externos) para o gateway privado virtual. Posteriormente, você adicionará esses objetos de rede como gateways secundários para sua comunidade VPN. Você precisa também criar um grupo vazio para funcionar como espaço reservado para o domínio de VPN. 

1. Abra o Check Point SmartDashboard.

1. Em **Groups** (Grupos), abra o menu de contexto e escolha **Groups** (Grupos), **Simple Group** (Grupo Simples). É possível usar o mesmo grupo para cada objeto de rede.

1. Em **Network Objects**, abra o menu de contexto (clique com o botão direito) e escolha **New**, **Interoperable Device**.

1. Em **Name (Nome)**, insira o nome que você forneceu para o túnel na etapa 1, por exemplo, `AWS_VPC_Tunnel_1` ou `AWS_VPC_Tunnel_2`.

1. Em **IPv4 Endereço**, insira o endereço IP externo do gateway privado virtual fornecido no arquivo de configuração, por exemplo,`54.84.169.196`. Salve as configurações e feche a caixa de diálogo.  
![\[Caixa de diálogo Interoperable Device do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-network-device.png)

1. No painel de categoria, escolha **Topology** (Topologia). 

1. Na seção **VPN Domain (Domínio da VPN)**, escolha **Manually defined (Definido manualmente)** e procure e selecione o grupo vazio simples criado na etapa 2. Escolha **OK**.

1. Repita essas etapas para criar um segundo objeto de rede, usando as informações na seção `IPSec Tunnel #2` do arquivo de configuração.

1. Acesse o objeto de rede do gateway, abra o gateway ou objeto do cluster e escolha **Topology** (Topologia).

1. Na seção **VPN Domain (Domínio da VPN)**, escolha **Manually defined (Definido manualmente)** e procure e selecione o grupo vazio simples criado na etapa 2. Escolha **OK**.
**nota**  
É possível manter qualquer domínio de VPN existente que configurou. Entretanto, verifique se os hosts e as redes que são usadas ou fornecidas pela nova conexão VPN não estão declarados nesse domínio de VPN, especialmente se esse domínio de VPN for originado automaticamente.

**nota**  
Se estiver usando clusters, edite a topologia e defina as interfaces como interfaces de cluster. Use os endereços IP especificados no arquivo de configuração. 

**Para criar e configurar a comunidade VPN, o IKE e IPsec as configurações**

Depois, crie uma comunidade VPN no gateway do Check Point, à qual você adicionará objetos de rede (dispositivos interoperáveis) para cada túnel. Você também define o Internet Key Exchange (IKE) e IPsec as configurações.

1. Nas propriedades do gateway, escolha **IPSecVPN** no painel de categorias.

1. Escolha **Communities**, **New**, **Star Community**.

1. Forneça um nome para a comunidade (por exemplo, `AWS_VPN_Star`) e escolha **Center Gateways** no painel de categoria.

1. Escolha **Adicionar** e adicione o gateway ou cluster à lista de gateways participantes.

1. No painel de categoria, selecione **Satellite Gateways (Gateways secundários)**, **Add (Adicionar)** e adicione os dispositivos interoperáveis criados anteriormente (`AWS_VPC_Tunnel_1` e `AWS_VPC_Tunnel_2`) à lista de gateways participantes.

1. No painel de categoria, escolha **Encryption**. Na seção **Método de criptografia**, escolha **IKEv1 para IPv4 e IKEv2 para IPv6**. Na seção **Encryption Suite**, escolha **Custom**, **Custom Encryption**.
**nota**  
Você deve selecionar a IPv6 opção **IKEv1 para IPv4 e IKEv2 para** para a IKEv1 funcionalidade.

1. Na caixa de diálogo, configure as propriedades de criptografia como indicado a seguir e selecione **OK** ao concluir:
   + Propriedades da associação de segurança IKE (fase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Propriedades da Associação de Segurança (Fase 2):
     + **Execute a criptografia IPsec de dados com**: AES-128
     + **Perform data integrity with**: SHA-1

1. No painel de categoria, escolha **Tunnel Management**. Escolha **Set Permanent Tunnels**, **On all tunnels in the community**. Na seção **VPN Tunnel Sharing** (Compartilhamento de túnel VPN), escolha **One VPN tunnel per Gateway pair** (Um túnel VPN por par de gateway).

1. No painel de categoria, expanda **Advanced Settings** (Configurações Avançadas) e escolha **Shared Secret**.

1. Selecione o nome do par do primeiro túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #1`.

1. Selecione o nome do par do segundo túnel, escolha **Edit (Editar)** e insira a chave pré-compartilhada conforme especificado no arquivo de configuração na seção `IPSec Tunnel #2`.  
![\[Caixa de diálogo Interoperable Shared Secret do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Ainda na categoria **Advanced Settings (Configurações avançadas)**, selecione **Advanced VPN Properties (Propriedades avançadas da VPN)**, configure as propriedades da forma a seguir e escolha **OK** ao concluir:
   + IKE (fase 1):
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Fase 2):
     + Escolha **Use Perfect Forward Secrecy**
     + **Use Diffie-Hellman group (Usar grupo Diffie-Hellman)**: `Group 2 (1024 bit)`
     + ****Renegocie associações de IPsec segurança a cada segundo `3600`****

**Para criar regras de firewall**

Depois, configure uma politica com regras de firewall e regras de correspondência direcional que permitam a comunicação entre a VPC e a rede local. Em seguida, você instalará a política em seu gateway.

1. No SmartDashboard, escolha **Propriedades globais** para seu gateway. No painel de categoria, expanda **VPN** e escolha **Advanced** (Avançado).

1. Escolha **Enable VPN Directional Match in VPN Column** (Habilitar correspondência direcional VPN na coluna VPN) e clique em **OK**.

1. No SmartDashboard, escolha **Firewall** e crie uma política com as seguintes regras: 
   + Permitir que a sub-rede da VPC comunique-se com a rede local nos protocolos exigidos. 
   + Permitir que a rede local comunique-se com a sub-rede da VPC nos protocolos exigidos.

1. Abra o menu de contexto da célula na coluna VPN e escolha **Editar Célula**. 

1. Na caixa de diálogo **VPN Match Conditions** (Condições de correspondência VPN), escolha **Match traffic in this direction only** (Corresponder tráfego apenas nesta direção). Crie as regras de correspondência direcional a seguir selecionando **Add (Adicionar)** para cada uma e selecione **OK** ao concluir:
   + `internal_clear` > comunidade VPN (a comunidade estrela da VPN que você criou anteriormente, por exemplo, `AWS_VPN_Star`)
   + Comunidade VPN > Comunidade VPN
   + Comunidade VPN > `internal_clear`

1. Em SmartDashboard, escolha **Política**, **Instalar**. 

1. Na caixa de diálogo, escolha seu gateway e clique em **OK** para instalar a política.

**Para modificar a propriedade tunnel\$1keepalive\$1method**

O gateway do Check Point pode usar o Dead Peer Detection (DPD) para identificar quando uma associação IKE está inativa. Para configurar o DPD para um túnel permanente, o túnel permanente deve ser configurado na comunidade AWS VPN.

Por padrão, a propriedade `tunnel_keepalive_method` para um gateway VPN é configurada como `tunnel_test`. Você precisa alterar o valor para `dpd`. Cada gateway de VPN na comunidade VPN que requer monitoramento de DPD deve ser configurado com a propriedade `tunnel_keepalive_method`, incluindo qualquer gateway de VPN de terceiros. Você não pode configurar diferentes mecanismos de monitoramento para o mesmo gateway.

Você pode atualizar a `tunnel_keepalive_method` propriedade usando a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Escolha **File** (Arquivo), **Database Revision Control...**(Controle de revisão de banco de dados…) e crie um snapshot de revisão.

1. Feche todas as SmartConsole janelas, como, por exemplo SmartDashboard, o SmartView Rastreador e o SmartView Monitor.

1. Inicie a BDedit ferramenta Gui. Para obter mais informações, consulte o artigo [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) (Ferramenta de banco de dados de pontos de verificação) no Check Point Support Center. 

1. Escolha **Security Management Server**(Servidor de gerenciamento de segurança), **Domain Management Server** (Servidor de gerenciamento de domínio).

1. No painel superior esquerdo, escolha **Table** (tabela), **Network Objects** (Objetos de rede), **network\$1objects**. 

1. No painel superior direito, selecione o objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente. 

1. Pressione CTRL\$1F ou use o menu **Search** (Buscar) para procurar o seguinte: `tunnel_keepalive_method`.

1. No painel inferior, abra o menu de contexto para `tunnel_keepalive_method` e selecione **Edit...** (Editar…). Escolha **dpd**, **OK**.

1. Repita as etapas de 7 a 9 para cada gateway que fizer parte da comunidade da AWS VPN.

1. Escolha **File** (Arquivo), **Save All** (Salvar Tudo).

1. Feche a DBedit ferramenta Gui.

1. Abra o Check Point SmartDashboard e escolha **Security Management Server**, **Domain Management Server**.

1. Instale a política no objeto **Security Gateway** (Gateway de Segurança), **Cluster** pertinente.

Para obter mais informações, consulte o artigo [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) (Novos recursos de VPN no R77.10) no Check Point Support Center.

**Para ativar o ajuste de MSS TCP**

O ajuste MSS TCP reduz o tamanho máximo de segmento dos pacotes TCP para impedir a fragmentação de pacotes.

1. Navegue até o seguinte diretório `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Abra o Check Point Database Tool executando o arquivo `GuiDBEdit.exe`.

1. Escolha **Table** (Tabela), **Global Properties** (Propriedades Globais), **properties** (propriedades).

1. Em `fw_clamp_tcp_mss`, escolha **Edit** (Editar). Altere o valor para `true` e selecione **OK**.

**Como verificar o status do túnel**  
É possível verificar o status do túnel executando o comando a seguir na ferramenta da linha de comando, no modo especialista. 

```
vpn tunnelutil
```

Nas opções exibidas, escolha **1** para verificar as associações IKE e **2** para verificar as IPsec associações.

É possível usar também Check Point Smart Tracker Log para verificar se os pacotes na conexão estão sendo criptografados. Por exemplo, o log a seguir indica que a VPC foi enviada pelo túnel 1 e foi criptografada.

![\[Arquivo de log do Check Point\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

É possível configurar um dispositivo SonicWALL usando a interface de gerenciamento SonicOS. Para obter mais informações sobre a configuração de túneis, consulte [Configurar o roteamento estático para um dispositivo de gateway AWS Site-to-Site VPN do cliente](cgw-static-routing-example-interface.md).

Não é possível configurar o BGP para o dispositivo, usando a interface de gerenciamento. Em vez disso, use as instruções da linha de comando fornecidas no arquivo de configuração de exemplo, na seção chamada **BGP**.

------

## Dispositivos Cisco: informações adicionais
<a name="cgw-dynamic-routing-examples-cisco"></a>

Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo se o primeiro túnel ficar indisponível. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis. 

Cisco ASAs a partir da versão 9.7.1 e posterior do modo de suporte Active/Active . Ao usar esses Cisco ASAs, você pode ter os dois túneis ativos ao mesmo tempo. Com essa redundância, você sempre deverá ter conectividade com sua VPC por meio de um dos túneis.

Para dispositivos Cisco, é necessário fazer o seguinte:
+ Configurar a interface externa.
+ Garantir que o número Crypto ISAKMP Policy Sequence seja exclusivo.
+ Garanta que o número Crypto List Policy Sequence seja exclusivo.
+ Certifique-se de que o conjunto de IPsec transformações criptográficas e a sequência de políticas do Crypto ISAKMP estejam em harmonia com quaisquer outros IPsec túneis configurados no dispositivo.
+ Garantir que o número de monitoramento de SLA seja exclusivo.
+ Configurar todo o roteamento interno que move o tráfego entre o gateway do cliente e a rede local.

## Dispositivos Juniper: informações adicionais
<a name="cgw-dynamic-routing-examples-juniper"></a>

As informações a seguir se aplicam aos arquivos de configuração de exemplo para dispositivos de gateway do cliente Juniper J-Series e SRX. 
+ A interface externa é chamada de*ge-0/0/0.0*.
+ A interface do IDs túnel é chamada de *st0.1* *st0.2* e.
+ Certifique-se de identificar a zona de segurança da interface de uplink (as informações de configuração usam a zona padrão "untrust").
+ Certifique-se de identificar a zona de segurança da interface interna (as informações de configuração usam a zona padrão "trust").

# Configurar o Windows Server como um dispositivo de gateway AWS Site-to-Site VPN do cliente
<a name="customer-gateway-device-windows"></a>

É possível configurar o servidor que executa o Windows Server como um dispositivo de gateway do cliente para sua VPC. Use o processo a seguir se estiver executando o Windows Server em uma instância do EC2, em uma VPC ou em seu próprio servidor. Os procedimentos a seguir se aplicam ao Windows Server 2012 R2 e versões posteriores.

**Topics**
+ [Configurar a instância do Windows](#cgw-device-windows-server-configure-instance)
+ [Etapa 1: Criar uma conexão VPN e configurar a VPC](#cgw-device-windows-server-vpn)
+ [Etapa 2: Baixar o arquivo de configuração para a conexão VPN](#cgw-device-windows-server-config)
+ [Etapa 3: configurar o Windows Server](#cgw-device-windows-server-configure)
+ [Etapa 4: Configurar o túnel VPN](#cgw-device-windows-server-setup-tunnel)
+ [Etapa 5: Habilitar a detecção de gateway inativo](#cgw-device-windows-server-gateway-detection)
+ [Etapa 6: Testar a conexão VPN](#cgw-device-windows-server-test-connection)

## Configurar a instância do Windows
<a name="cgw-device-windows-server-configure-instance"></a>

Se você estiver configurando o Windows Server em uma instância do EC2 executada em uma AMI do Windows, faça o seguinte:
+ Desative a source/destination verificação da instância:

  1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

  1. Selecione a sua instância do Windows e escolha **Actions** (Ações), **Networking** (Rede), **Change source/destination check** (Alterar verificação de origem/destino). Escolha **Stop** (Interromper) e, em seguida, escolha **Save** (Salvar).
+ Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:

  1. Conecte-se à sua instância do Windows. Para obter mais informações, consulte [Conectar-se à sua instância do Windows](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html).

  1. Abra o Painel de controle e inicie o Gerenciador de dispositivos.

  1. Expanda o nó **Adaptadores de rede**. 

  1. Selecione o adaptador de rede (dependendo do tipo de instância, pode ser Amazon Elastic Network Adapter ou Intel 82599 Virtual Function) e escolha **Action** (Ação), **Properties** (Propriedades).

  1. **Na guia **Avançado**, desative as propriedades **IPv4Checksum Offload**, **TCP Checksum Offload (IPv4)** e **UDP Checksum Offload** () e escolha OK. IPv4**
+ Aloque um endereço IP elástico à sua conta e associe-o à instância. Para obter mais informações, consulte [Endereços IP elásticos](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) no *Guia do usuário do Amazon EC2*. Anote esse endereço, pois ele será necessário quando você criar o gateway do cliente.
+ Certifique-se de que as regras do grupo de segurança da instância permitam IPsec tráfego de saída. Por padrão, um grupo de segurança permite todo o tráfego de saída. No entanto, se as regras de saída do grupo de segurança tiverem sido modificadas de seu estado original, você deverá criar as seguintes regras de protocolo de saída personalizadas para IPsec tráfego: protocolo IP 50, protocolo IP 51 e UDP 500. 

Tome nota do intervalo CIDR da rede na qual sua instância do Windows está localizada, por exemplo, `172.31.0.0/16`.

## Etapa 1: Criar uma conexão VPN e configurar a VPC
<a name="cgw-device-windows-server-vpn"></a>

Para criar uma conexão VPN partindo de sua VPC, faça o seguinte:

1.  Crie um gateway privado virtual e anexe-o à sua VPC. Para obter mais informações, consulte [Criar um gateway privado virtual](SetUpVPNConnections.md#vpn-create-vpg).

1. Crie uma conexão VPN e um novo gateway do cliente. Para o gateway do cliente, especifique o endereço IP público do Windows Server. Para a conexão VPN, escolha roteamento estático e insira o intervalo CIDR para a rede na qual o Windows Server está localizado, por exemplo, `172.31.0.0/16`. Para obter mais informações, consulte [Etapa 5: criar uma conexão VPN](SetUpVPNConnections.md#vpn-create-vpn-connection). 

Depois de criar a conexão VPN, configure a VPC para habilitar a comunicação pela conexão VPN.

**Para configurar a VPC**
+ Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para executar instâncias que se comunicarão com o Windows Server. Para obter mais informações, consulte [Criar uma sub-rede na sua VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#AddaSubnet). 
**nota**  
Uma sub-rede privada é uma sub-rede que não tem uma rota para um gateway da Internet. O roteamento para esta sub-rede é descrito no próximo item.
+ Atualize as tabelas de rotas para a conexão VPN:
  + Adicione uma rota à tabela de rotas de sua sub-rede privada com o gateway privado virtual como destino e a rede (intervalo CIDR) do Windows Server como destino. Para obter mais informações, consulte [Adicionar e remover rotas de uma tabelas](https://docs.aws.amazon.com/vpc/latest/userguide/WorkWithRouteTables.html#AddRemoveRoutes) no *Amazon Virtual Private Cloud - Guia do usuário*.
  + Ative a propagação de rotas para o gateway privado virtual. Para obter mais informações, consulte [(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas](SetUpVPNConnections.md#vpn-configure-routing).
+ Crie um grupo de segurança para suas instâncias que permita a comunicação entre a rede e sua VPC:
  + Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores em sua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSH e o conjunto de fontes para o intervalo CIDR de sua rede (por exemplo, `172.31.0.0/16`). Para mais informações, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) no *Guia do usuário da Amazon VPC*.
  + Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você teste sua conexão VPN executando ping em uma instância em sua VPC em seu Windows Server. 

## Etapa 2: Baixar o arquivo de configuração para a conexão VPN
<a name="cgw-device-windows-server-config"></a>

É possível usar o console da Amazon VPC para baixar um arquivo de configuração do Windows Server para sua conexão VPN.

**Para baixar o arquivo de configuração**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Site-to-Site VPN Connections** (Conexões VPN).

1. Selecione sua conexão VPN e escolha **Download Configuration** (Baixar configuração).

1. Selecione **Microsoft** como fornecedor, **Windows Server** como plataforma e **2012 R2** como software. Escolha **Baixar**. É possível abrir ou salvar o arquivo.

O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essas informações serão apresentadas duas vezes, uma vez para cada túnel.

```
vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
```

`Local Tunnel Endpoint`  
O endereço IP especificado para o gateway do cliente quando criou a conexão VPN.

`Remote Tunnel Endpoint`  
Um dos dois endereços IP do gateway privado virtual que encerra a conexão VPN no AWS lado da conexão.

`Endpoint 1`  
O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IP em sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.

`Endpoint 2`  
O intervalo de endereços IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo, 10.0.0.0/16).

`Preshared key`  
A chave pré-compartilhada usada para estabelecer a conexão IPsec VPN entre `Local Tunnel Endpoint` e. `Remote Tunnel Endpoint`

Sugerimos que você configure os dois túneis como parte da conexão VPN. Cada túnel se conecta a um concentrador Site-to-Site VPN separado no lado Amazon da conexão VPN. Embora somente um túnel por vez fique ativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garante disponibilidade contínua no caso de falha de um dispositivo. Pelo fato de somente um túnel por vez estar disponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento é esperado, nenhuma ação é necessária de sua parte. 

Com dois túneis configurados, se ocorrer uma falha no dispositivo AWS, sua conexão VPN automaticamente passará para o segundo túnel do gateway privado virtual em questão de minutos. Ao configurar o dispositivo de gateway do cliente, é importante configurar ambos os túneis.

**nota**  
De tempos em tempos, AWS realiza manutenção de rotina no gateway privado virtual. Essa manutenção pode desabilitar um dos dois túneis da conexão VPN durante um breve espaço de tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquanto realizamos essa manutenção.

Informações adicionais sobre o Internet Key Exchange (IKE) e as IPsec Security Associations (SA) são apresentadas no arquivo de configuração baixado.

```
MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2
```

`MainModeSecMethods`  
Os algoritmos de criptografia e autenticação da SA IKE. Essas são as configurações sugeridas para a conexão VPN e as configurações padrão para conexões IPsec VPN do Windows Server.

`MainModeKeyLifetime`  
Vida útil da chave SA IKE.  Essa é a configuração sugerida para a conexão VPN e é a configuração padrão para conexões IPsec VPN do Windows Server.

`QuickModeSecMethods`  
Os algoritmos de criptografia e autenticação para o IPsec SA. Essas são as configurações sugeridas para a conexão VPN e as configurações padrão para conexões IPsec VPN do Windows Server.

`QuickModePFS`  
 Sugerimos que você use a chave mestra perfect forward secrecy (PFS) para suas sessões. IPsec 

## Etapa 3: configurar o Windows Server
<a name="cgw-device-windows-server-configure"></a>

Antes de configurar o túnel VPN, você precisa instalar e configurar os Serviços de Roteamento e Acesso Remoto no Windows Server. Isso permite que os usuários remotos acessem os recursos na rede.

**Para instalar os Serviços de Roteamento e Acesso Remoto**

1. Faça logon no seu Windows Server.

1. Vá para o menu **Start** e escolha **Server Manager**.

1. Instale Serviços de Roteamento e Acesso Remoto:

   1. No menu **Manage** (Gerenciar), escolha **Add Roles and Features** (Adicionar funções e recursos).

   1. Na página **Before You Begin** (Antes de iniciar), verifique se seu servidor atende aos pré-requisitos e escolha **Next** (Próximo).

   1. Escolha **Role-based or feature-based installation** (Instalação baseada em funções ou recursos) e **Next** (Próximo).

   1. Escolha **Select a server from the server pool** (Selecionar um servidor no pool de servidor), selecione o Windows Server e escolha **Next** (Avançar).

   1. Selecione **Network Policy and Access Services** (Política de rede e serviços de acesso) na lista. Na caixa de diálogo exibida, escolha **Add Features** (Adicionar recursos) para confirmar os recursos necessários para esta função.

   1. Na mesma lista, escolha **Acesso Remoto**, **Próximo**.

   1. Na página **Select features** (Selecionar recursos), escolha **Next** (Próximo).

   1. Na página **Network Policy and Access Services** (Política de rede e serviços de acesso), escolha **Next** (Próximo).

   1. Na página **Remote Access** (Acesso remoto), escolha **Next** (Próximo). Na próxima página, selecione **DirectAccess VPN (RAS)**. Na caixa de diálogo exibida, escolha **Add Features** (Adicionar Recursos) para confirmar os recursos necessários para este serviço de função. Na mesma lista, selecione **Routing** (Roteamento) e escolha **Next** (Próximo).

   1. Na página **Web Server Role (IIS)**, escolha **Next**. Deixe a seleção padrão e escolha **Next** (Próximo).

   1. Escolha **Instalar**. Quando a instalação terminar, escolha **Fechar**.

**Para configurar e ativar o Servidor de Roteamento e Acesso Remoto**

1. No painel, selecione **Notifications (Notificações)**. Deve haver uma tarefa a ser concluída na configuração depois da implantação. Escolha o link **Open the Getting Started Wizard** (Abra o assistente de primeiros passos).

1. Escolha **Deploy VPN only** (Implantar apenas VPN).

1. Na caixa de diálogo **Routing and Remote Access (Roteamento e acesso remoto)**, escolha o nome do servidor, escolha **Action (Ação)** e **Configure and Enable Routing and Remote Access (Configurar e habilitar o roteamento e o acesso remoto)**.

1. Em **Routing and Remote Access Server Setup Wizard**, na primeira página, escolha **Next**.

1. Na página **Configuração**, escolha **Configuração Personalizada**, **Próximo**.

1. Escolha **Roteamento de LAN**, **Próximo**, **Concluir**.

1. Quando solicitado pela caixa de diálogo **Routing and Remote Access** (Roteamento e acesso remoto), escolha **Start service** (Iniciar serviço).

## Etapa 4: Configurar o túnel VPN
<a name="cgw-device-windows-server-setup-tunnel"></a>

É possível configurar o túnel de VPN executando os scripts netsh incluídos no arquivo de configuração baixado ou usando a interface do usuário do Windows Server.

**Importante**  
Sugerimos que você use a chave mestra perfect forward secrecy (PFS) para suas sessões. IPsec Se você optar por executar o script netsh, ele incluirá um parâmetro para ativar o PFS ()`qmpfs=dhgroup2`. Você não pode habilitar o PFS usando a interface do usuário do Windows — é preciso habilitá-lo usando a linha de comando. 

**Topics**
+ [Opção 1: Executar o script netsh](#cgw-device-windows-server-run-netsh)
+ [Opção 2: Usar a interface de usuário do Windows Server](#cgw-device-windows-server-ui)

### Opção 1: Executar o script netsh
<a name="cgw-device-windows-server-run-netsh"></a>

Copie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se um exemplo de script.

```
netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2
```

**Name**: É possível substituir o nome sugerido (`vgw-1a2b3c4d Tunnel 1)` por um nome de sua escolha. 

**LocalTunnelEndpoint**: insira o endereço IP privado do Windows Server na sua rede.

**Endpoint1**: o bloco CIDR da sua rede em que o Windows Server reside, por exemplo, `172.31.0.0/16`. Cerque esse valor com aspas duplas (“).

**Endpoint2**: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, `10.0.0.0/16`. Cerque esse valor com aspas duplas (“).

Execute o script atualizado em uma janela do prompt de comando no Windows Server. (O sinal ^ permite que você corte e cole o texto contornado na linha de comando.) Para configurar o segundo túnel VPN para essa conexão VPN, repita o processo usando o segundo script netsh no arquivo de configuração.

Quando terminar, vá para [Configurar o firewall do Windows](#cgw-device-windows-server-firewall).

*Para obter mais informações sobre os parâmetros netsh, consulte [Comandos Netsh AdvFirewall Consec](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd736198(v=ws.10)?redirectedfrom=MSDN#BKMK_2_set) na Microsoft Library. TechNet*

### Opção 2: Usar a interface de usuário do Windows Server
<a name="cgw-device-windows-server-ui"></a>

É possível também usar a interface do usuário do Windows Server para configurar o túnel de VPN.

**Importante**  
Você não pode habilitar o Perfect Forward Secrecy (PFS - "sigilo encaminhado") da chave mestra usando a interface do usuário do Windows Server. Você precisa habilitar o PFS usando a linha de comando, conforme descrito em [Habilitar segredo de encaminhamento perfeito da chave mestra](#cgw-device-windows-server-enable-pfs).

**Topics**
+ [Configurar uma regra de segurança para um túnel de VPN](#cgw-device-windows-server-security-rule)
+ [Confirmar a configuração do túnel](#cgw-device-windows-server-confirm-tunnel)
+ [Habilitar segredo de encaminhamento perfeito da chave mestra](#cgw-device-windows-server-enable-pfs)
+ [Configurar o firewall do Windows](#cgw-device-windows-server-firewall)

#### Configurar uma regra de segurança para um túnel de VPN
<a name="cgw-device-windows-server-security-rule"></a>

Nesta seção, você configurará uma regra de segurança no Windows Server para criar um túnel de VPN.

**Para configurar uma regra de segurança para um túnel VPN**

1. Abra o Gerenciador do Servidor, escolha **Tools ** (Ferramentas) e selecione **Windows Firewall with Advanced Security** (Firewall do Windows com Segurança Avançada).

1. Selecione **Connection Security Rules**, escolha **Action** e **New Rule**.

1. No assistente **New Connection Security Rule (Nova Regra de Segurança de Conexão)** da página **Rule Type (Tipo de regra)**, selecione **Tunnel (Túnel)** e **Next (Próximo)**.

1. Na página **Tunnel Type (Tipo de túnel)**, em **What type of tunnel would you like to create (Qual tipo de túnel gostaria de criar)**, selecione **Custom configuration (Configuração personalizada)**. **Em **Você gostaria de isentar conexões IPsec protegidas desse túnel**, deixe o valor padrão marcado (Não. Envie todo o tráfego de rede que corresponda a essa regra de segurança de conexão (através do túnel**) e escolha **Avançar**.

1. Na página **Requisitos**, escolha **Exigir autenticação para conexões de entrada. Não estabeleça túneis para conexões de saída** e escolha **Próximo**.

1. Na página **Tunnel Endpoints (Endpoints de túnel)**, em **Which computers are in Endpoint 1 (Quais computadores estão no endpoint 1)**, escolha **Add (Adicionar)**. Insira o intervalo CIDR da sua rede (atrás do dispositivo de gateway do cliente do Windows Server; por exemplo, `172.31.0.0/16`) e escolha **OK**. O intervalo pode incluir o endereço IP do dispositivo de gateway do cliente.

1. Em **What is the local tunnel endpoint (closest to computer in Endpoint 1)**, escolha **Edit**. No campo de **IPv4 endereço**, insira o endereço IP privado do Windows Server e escolha **OK**.

1. Em **What is the remote tunnel endpoint (closest to computers in Endpoint 2)**, escolha **Edit**. No campo de **IPv4 endereço**, insira o endereço IP do gateway privado virtual para o túnel 1 do arquivo de configuração (consulte`Remote Tunnel Endpoint`) e escolha **OK**.
**Importante**  
Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar o endpoint para o túnel 2.

1. Em **Which computers are in Endpoint 2**(Quais computadores estão no Endpoint 2), escolha **Add** (Adicionar). Em **This IP address or subnet field** (Este endereço IP ou campo de sub-rede), digite o bloco CIDR da VPC e escolha **OK**.
**Importante**  
Você precisa rolar para baixo na caixa de diálogo até localizar **Which computers are in Endpoint 2** (Quais computadores estão no Endpoint 2). Não escolha **Next** (Próximo) até ter concluído esta etapa, caso contrário, não poderá se conectar ao servidor.  
![\[Assistente para nova regra de segurança de conexão: Endpoints de túnel\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/tunnelendpoints_complete_win2012.png)

1. Confirme se todas as configurações especificadas estão corretas e escolha **Next (Próximo)**.

1. Na página **Método de Autenticação**, selecione **Avançado** e escolha **Personalizar**.

1. Em **First authentication methods** (Primeiros métodos de autenticação), escolha **Add** (Adicionar).

1. Selecione **Preshared key (Chave pré-compartilhada)**, insira o valor da chave pré-compartilhada do arquivo de configuração e escolha **OK**.
**Importante**  
Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar a chave pré-compartilhada para o túnel 2.

1. Certifique-se de que **First authentication is optional** não esteja selecionada e escolha **OK**.

1. Escolha **Próximo**.

1. Na página **Perfil**, marque todas as três caixas de seleção: **Domínio**, **Privado** e **Público**. Escolha **Próximo**.

1. Na página **Name** (Nome), digite um nome para a regra de conexão, por exemplo, `VPN to Tunnel 1` e escolha **Finish** (Concluir).

Repita o procedimento anterior especificando os dados para o túnel 2 de seu arquivo de configuração. 

Assim que concluir, terá dois túneis configurados para sua conexão VPN.

#### Confirmar a configuração do túnel
<a name="cgw-device-windows-server-confirm-tunnel"></a>

**Para confirmar a configuração do túnel**

1. Abra o Server Manager, escolha **Tools** (Ferramentas), selecione **Windows Firewall with Advanced Security** (Firewall do Windows com segurança avançada) e **Connection Security Rules** (Regras de segurança de conexão).

1. Verifique o seguinte para os dois túneis:
   + **Enabled (Habilitado)** está como `Yes`
   + **Endpoint 1** é o bloco CIDR para a rede
   + **Endpoint 2** é o bloco CIDR da VPC
   + **Authentication mode (Modo de autenticação)** é `Require inbound and clear outbound`.
   + **Authentication method (Método de autenticação)** é `Custom`
   + **Endpoint 1 port (Porta do endpoint 1)** é `Any`
   + **Endpoint 2 port (Porta do endpoint 2)** é `Any`
   + **Protocol (Protocolo)** é `Any`

1. Selecione a primeira regra e escolha **Properties** (Propriedades).

1. Na guia **Authentication (Autenticação)** em **Method (Método)**, escolha **Customize (Personalizar)**. Verifique se a opção **First authentication methods (Primeiros métodos de autenticação)** contém a chave pré-compartilhada correta do arquivo de configuração para o túnel e escolha **OK**.

1. Na guia **Avançado**, verifique se **Domínio**, **Privado** e **Público** estão todos selecionados.

1. **Em **IPsec Tunelamento, escolha Personalizar**.** Verifique as configurações de IPsec tunelamento a seguir e escolha OK e ****OK**** novamente para fechar a caixa de diálogo.
   + **Usar IPsec tunelamento está selecionado**.
   + **Local tunnel endpoint (closest to Endpoint 1)** (Ponto de extremidade de túnel local (mais próximo ao Ponto de Extremidade 1)) contém o endereço IP do Windows Server. Se o dispositivo de gateway do cliente for uma instância do EC2, esse será o endereço IP privado da instância. 
   + **Remote tunnel endpoint (closest to Endpoint 2) (Ponto de extremidade de túnel remoto [mais próximo ao Ponto de Extremidade 2])** contém o endereço IP do gateway privado virtual para esse túnel.

1. Abra as propriedades para o segundo túnel. Repita as etapas 4 a 7 para esse túnel.

#### Habilitar segredo de encaminhamento perfeito da chave mestra
<a name="cgw-device-windows-server-enable-pfs"></a>

É possível habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestra usando a linha de comando. Você não pode habilitar esse recurso usando a interface do usuário.

**Para habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestra**

1. No Windows Server, abra uma nova janela do prompt de comando.

1. Insira o comando a seguir, substituindo `rule_name` pelo nome que você deu à primeira regra de conexão.

   ```
   netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb
   ```

1. Repita a etapa 2 para o segundo túnel, desta vez substituindo `rule_name` pelo nome que você deu à segunda regra de conexão.

#### Configurar o firewall do Windows
<a name="cgw-device-windows-server-firewall"></a>

Depois de configurar suas regras de segurança no servidor, defina algumas IPsec configurações básicas para trabalhar com o gateway privado virtual.

**Para configurar o Firewall do Windows**

1. Abra o Gerenciador do Servidor, escolha **Tools** (Ferramentas), selecione **Windows Defender Firewall with Advanced Security** (Firewall do Windows Defender com Segurança Avançada) e escolha **Properties** (Propriedades).

1. Na guia **IPsec Configurações**, em **IPsecisenções**, verifique se **Isentar ICMP de IPsec** é **Não** (padrão). Verifique se a **autorização IPsec do túnel** é **Nenhuma**.

1. **Em **IPsec padrões, escolha Personalizar**.**

1. Em **Key exchange (Main Mode)**, selecione **Advanced** e **Customize**.

1. Em **Customize Advanced Key Exchange Settings (Personalizar configurações de troca de chaves avançada)**, sob **Security methods (Métodos de segurança)**, verifique se os seguintes valores padrão são usados para a primeira entrada:
   + Integridade: SHA-1
   + Criptografia: AES-CBC 128
   + Algoritmo de troca de chaves: Grupo Diffie-Hellman 2
   + Em **Key lifetimes**, verifique se **Minutes** está `480` e se **Sessions** está `0`.

   Essas configurações correspondem às seguintes entradas no arquivo de configuração:

   ```
   MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
   MainModeKeyLifetime: 480min,0sec
   ```

1. Em **Key exchange options**, selecione **Use Diffie-Hellman for enhanced security** e escolha **OK**.

1. Em **Data protection (Quick Mode)**, selecione **Advanced** e **Customize**.

1. Selecione **Require encryption for all connection security rules that use these settings** (Exigir criptografia para todas as regras de segurança de conexão que usam essas configurações).

1. Em **Data integrity and encryption** (Integridade e criptografia de dados), deixe os valores padrão:
   + Protocolo: ESP
   + Integridade: SHA-1
   + Criptografia: AES-CBC 128
   + Tempo de vida: 60 minutos

   Esses valores correspondem à seguinte entrada no arquivo de configuração.

   ```
   QuickModeSecMethods: 
   ESP:SHA1-AES128+60min+100000kb
   ```

1. Escolha **OK** para retornar à caixa de diálogo **Personalizar IPsec configurações** e escolha **OK** novamente para salvar a configuração.

## Etapa 5: Habilitar a detecção de gateway inativo
<a name="cgw-device-windows-server-gateway-detection"></a>

Em seguida, configure o TCP para detectar quando um gateway fica indisponível. É possível fazer isso, modificando esta chave de registro: `HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters`. Não execute esta etapa enquanto não concluir as seções precedentes. Assim que alterar a chave de registro, deverá reinicializar o servidor.

**Para habilitar a detecção de gateway inativo**

1. No Windows Server, inicie o prompt de comando ou uma PowerShell sessão e digite **regedit** para iniciar o Editor do Registro.

1. **Expanda **HKEY\$1LOCAL\$1MACHINE**, expanda **SYSTEM**, expanda, expanda **Serviços, expanda Tcpip e CurrentControlSet****, em seguida****, expanda Parâmetros**.**

1. No menu **Editar**, selecione **Novo** e **DWORD (32-bit) Value**.

1. Insira o nome **EnableDeadGWDetect**.

1. Selecione **EnableDeadGWDetect**e escolha **Editar**, **Modificar**.

1. Em **Value data** (Dados de valor), digite **1** e escolha **OK**.

1. Feche o Registry Editor e reinicie o servidor.

Para obter mais informações, consulte [EnableDeadGWDetect](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc960464(v=technet.10)?redirectedfrom=MSDN)na *Microsoft TechNet Library*.

## Etapa 6: Testar a conexão VPN
<a name="cgw-device-windows-server-test-connection"></a>

Para testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC e garanta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping no respectivo endereço IP privado no Windows Server. O túnel VPN é ativado quando tráfego é gerado no dispositivo de gateway do cliente. Portanto, o comando ping também inicia a conexão VPN.

Para obter as etapas para testar a conexão VPN, consulte [Testar uma conexão com o AWS Site-to-Site VPN](HowToTestEndToEnd_Linux.md).

Se o comando `ping` falhar, verifique as seguintes informações:
+ Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC. Se o seu Windows Server for uma instância do EC2, certifique-se de que as regras de saída do grupo de segurança permitam IPsec tráfego. Para obter mais informações, consulte [Configurar a instância do Windows](#cgw-device-windows-server-configure-instance).
+ Confirme se o sistema operacional da instância em que você está executando ping está configurada para responder a ICMP. Recomendamos que você use um dos Amazon Linux AMIs.
+ Se a instância que você está fazendo ping for uma instância do Windows, conecte-se à instância e ative a entrada ICMPv4 no firewall do Windows.
+ Verifique se configurou as tabelas de rota corretamente para a sua VPC ou sub-rede. Para obter mais informações, consulte [Etapa 1: Criar uma conexão VPN e configurar a VPC](#cgw-device-windows-server-vpn).
+ Se o dispositivo de gateway do cliente for uma instância do EC2, certifique-se de ter desativado a source/destination verificação da instância. Para obter mais informações, consulte [Configurar a instância do Windows](#cgw-device-windows-server-configure-instance).

No console da Amazon VPC, na página **VPN Connections**, selecione sua conexão VPN. O primeiro túnel encontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas ele somente será usado se o primeiro ficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.

# Solução de problemas AWS Site-to-Site VPN do dispositivo de gateway do cliente
<a name="Troubleshooting"></a>

Ao solucionar problemas com o dispositivo de gateway do cliente, é importante ter uma abordagem estruturada. Os dois primeiros tópicos desta seção fornecem fluxogramas generalizados para solucionar problemas ao usar um dispositivo configurado para roteamento dinâmico (habilitado para BGP) e um dispositivo configurado para roteamento estático (sem BGP ativado), respectivamente. A seguir esses tópicos, estão os guias de solução de problemas específicos do dispositivo para dispositivos de gateway do cliente Cisco, Juniper e Yamaha.

Além dos tópicos desta seção, habilitar o [AWS Site-to-Site VPN troncos](monitoring-logs.md) pode ser muito útil para solucionar problemas de conectividade VPN. Para obter instruções gerais de teste, consulte também [Testar uma conexão com o AWS Site-to-Site VPN](HowToTestEndToEnd_Linux.md).



**Topics**
+ [Dispositivo com BGP](Generic_Troubleshooting.md)
+ [Dispositivo sem BGP](Generic_Troubleshooting_noBGP.md)
+ [Cisco ASA](Cisco_ASA_Troubleshooting.md)
+ [Cisco IOS](Cisco_Troubleshooting.md)
+ [Cisco IOS sem BGP](Cisco_Troubleshooting_NoBGP.md)
+ [Juniper JunOS](Juniper_Troubleshooting.md)
+ [Juniper ScreenOS](Juniper_ScreenOs_Troubleshooting.md)
+ [Yamaha](Yamaha_Troubleshooting.md)

**Recursos adicionais do**
+ [Fórum da Amazon VPC](https://repost.aws/tags/TATGuEiYydTVCPMhSnXFN6gA/amazon-vpc)

# Solucione problemas de AWS Site-to-Site VPN conectividade ao usar o Border Gateway Protocol
<a name="Generic_Troubleshooting"></a>

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas de um dispositivo de gateway do cliente que usa o Protocolo de Gateway da Borda (BGP). Também recomendamos que você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway para obter informações detalhadas.

![\[Fluxograma para solucionar problemas de um gateway do cliente genérico\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-diagram.png)



|  |  | 
| --- |--- |
| IKE |  Determine se existe uma associação de segurança IKE. É necessária uma associação de segurança IKE para trocar as chaves usadas para estabelecer a associação IPsec de segurança.  Se não houver nenhuma associação de segurança IKE, revise as definições de configuração de IKE. É necessário configurar os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se existir uma associação de segurança IKE, vá para 'IPsec'.  | 
| IPsec |  Determine se existe uma associação de IPsec segurança (SA). Um IPsec SA é o próprio túnel. Consulte seu dispositivo de gateway do cliente para determinar se um IPsec SA está ativo. Configure os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se nenhum IPsec SA existir, revise sua IPsec configuração. Se existir um IPsec SA, vá para “Túnel”.   | 
| Túnel |  Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md)). Se não, prossiga. Determine se existe conectividade IP por meio do túnel. Cada lado do túnel tem um endereço IP conforme especificado no arquivo de configuração. O endereço do gateway privado virtual é endereço usado como endereço de vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereço para determinar se o tráfego de IP está sendo criptografado e descriptografado adequadamente. Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se o endereço IP apropriado está configurado. Se o ping for bem-sucedido, prossiga para "BGP".  | 
| BGP |  Determine se a sessão de emparelhamento de BGP está ativa. Para cada túnel, faça o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/Generic_Troubleshooting.html) Se os túneis não estiverem nesse estado, revise a configuração do BGP. Se a sessão de BGP entre pares for estabelecida e você estiver recebendo um prefixo e anunciando um prefixo, isso quer dizer que o túnel está configurado corretamente. Certifique-se de que os dois túneis estão nesse estado.  | 

# Solucione problemas de AWS Site-to-Site VPN conectividade sem o Border Gateway Protocol
<a name="Generic_Troubleshooting_noBGP"></a>

O diagrama e a tabela a seguir fornecem instruções gerais para a solução de problemas para um dispositivo de gateway do cliente que não usa o Protocolo de Gateway da Borda (BGP). Também recomendamos que você habilite os recursos de depuração do dispositivo. Consulte o fornecedor do dispositivo do gateway para obter informações detalhadas.

![\[Fluxograma para solução de problemas de dispositivo genérico de gateway do cliente\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/troubleshooting-cgw-flow-nobgp-diagram.png)



|  |  | 
| --- |--- |
| IKE |  Determine se existe uma associação de segurança IKE. É necessária uma associação de segurança IKE para trocar as chaves usadas para estabelecer a associação IPsec de segurança.  Se não houver nenhuma associação de segurança IKE, revise as definições de configuração de IKE. É necessário configurar os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se existir uma associação de segurança IKE, vá para 'IPsec'.  | 
| IPsec |  Determine se existe uma associação de IPsec segurança (SA). Um IPsec SA é o próprio túnel. Consulte seu dispositivo de gateway do cliente para determinar se um IPsec SA está ativo. Configure os parâmetros de criptografia, autenticação, sigilo de encaminhamento perfeito e modo, conforme listado no arquivo de configuração. Se nenhum IPsec SA existir, revise sua IPsec configuração. Se existir um IPsec SA, vá para “Túnel”.   | 
| Túnel |  Confirme se as regras necessárias de firewall estão configuradas (para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md)). Se não, prossiga. Determine se existe conectividade IP por meio do túnel. Cada lado do túnel tem um endereço IP conforme especificado no arquivo de configuração. O endereço do gateway privado virtual é endereço usado como endereço de vizinho BGP. No dispositivo de gateway do cliente, execute ping nesse endereço para determinar se o tráfego de IP está sendo criptografado e descriptografado adequadamente. Se o ping não tiver êxito, revise a configuração da interface do túnel para verificar se o endereço IP apropriado está configurado. Se o ping for bem-sucedido, avance para "Rotas estáticas".  | 
|  Rotas estáticas  |  Para cada túnel, faça o seguinte: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/Generic_Troubleshooting_noBGP.html) Se os túneis não estiverem nesse estado, revise a configuração de seu dispositivo. Verifique se ambos os túneis estão nesse estado. Se sim, você terá terminado.  | 

# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco ASA Customer Gateway
<a name="Cisco_ASA_Troubleshooting"></a>

Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere o IKE e o roteamento. IPsec É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

**Importante**  
Alguns Cisco suportam ASAs apenas o Active/Standby modo. Quando você usa esses Cisco ASAs, você pode ter somente um túnel ativo por vez. O outro túnel em espera ficará ativo somente se o primeiro túnel ficar indisponível. O túnel em espera pode gerar o seguinte erro nos arquivos de log, o qual pode ser ignorado: `Rejecting IPSec tunnel: no matching crypto map entry for remote proxy 0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside`.

## IKE
<a name="ASA_IKE"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
ciscoasa# show crypto isakmp sa
```

```
   Active SA: 2
   Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 2

1   IKE Peer: AWS_ENDPOINT_1
    Type    : L2L             Role    : initiator
    Rekey   : no              State   : MM_ACTIVE
```

Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O valor de `state` deve ser `MM_ACTIVE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.

```
router# term mon
router# debug crypto isakmp
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto isakmp
```

## IPsec
<a name="ASA_IPsec"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

```
ciscoasa# show crypto ipsec sa
```

```
interface: outside
    Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

      access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0)
      current_peer: integ-ppe1

      #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
      #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

      path mtu 1500, ipsec overhead 74, media mtu 1500
      current outbound spi: 6D9F8D3B
      current inbound spi : 48B456A6

    inbound esp sas:
      spi: 0x48B456A6 (1219778214)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
          0x00000000 0x00000001
    outbound esp sas:
      spi: 0x6D9F8D3B (1839172923)
         transform: esp-aes esp-sha-hmac no compression
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1
         sa timing: remaining key lifetime (kB/sec): (4374000/3593)
         IV size: 16 bytes
         replay detection support: Y
         Anti replay bitmap:
         0x00000000 0x00000001
```

Para a interface de cada túnel, você deve ver `inbound esp sas` e `outbound esp sas`. Isso pressupõe que uma SA esteja listada (por exemplo,`spi: 0x48B456A6`) e que IPsec esteja configurada corretamente.

No Cisco ASA, o IPsec só aparece após o envio de tráfego interessante (tráfego que deve ser criptografado). Para manter sempre o IPsec ativo, recomendamos configurar um monitor de SLA. O monitor de SLA continua enviando tráfego interessante, mantendo o IPsec ativo.

Você também pode usar o seguinte comando ping para forçá-lo IPsec a iniciar a negociação e subir.

```
ping ec2_instance_ip_address
```

```
Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128
Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

```
router# debug crypto ipsec
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto ipsec
```

## Roteamento
<a name="ASA_Tunnel"></a>

Execute ping na outra extremidade do túnel. Se isso estiver funcionando, você IPsec deve estar estabelecido. Se isso não estiver funcionando, verifique suas listas de acesso e consulte a IPsec seção anterior.

Se não conseguir acessar as instâncias, verifique as seguintes informações:

1. Verifique se a lista de acesso está configurada para permitir tráfego associado ao mapa de criptografia.

   É possível fazer isso usando o comando a seguir.

   ```
   ciscoasa# show run crypto
   ```

   ```
   crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmac
   crypto map VPN_crypto_map_name 1 match address access-list-name
   crypto map VPN_crypto_map_name 1 set pfs
   crypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2
   crypto map VPN_crypto_map_name 1 set transform-set transform-amzn
   crypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600
   ```

1. Verifique a lista de acesso usando o comando a seguir.

   ```
   ciscoasa# show run access-list access-list-name
   ```

   ```
   access-list access-list-name extended permit ip any vpc_subnet subnet_mask
   ```

1. Verifique se a lista de acesso está correta. A lista de acesso de exemplo a seguir permite todo o tráfego interno para a sub-rede 10.0.0.0/16 da VPC.

   ```
   access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0
   ```

1. Execute um traceroute a partir do dispositivo Cisco ASA para ver se ele alcança os roteadores Amazon (por exemplo,/). *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*

   Se conseguir acessar o roteador da Amazon, verifique as rotas estáticas adicionadas no console da Amazon VPC e os grupos de segurança para instâncias específicas.

1. Para solucionar outros problemas, revise a configuração.

## Desabilitar e reabilitar a interface do túnel
<a name="ASA_Tunnel-bounce"></a>

Se o túnel parecer ativo, mas o tráfego não estiver fluindo adequadamente, desabilitar e reabilitar a interface do túnel geralmente pode resolver problemas de conectividade. Para desabilitar e reabilitar a interface do túnel em um Cisco ASA:

1. Execute o seguinte:

   ```
   ciscoasa# conf t
   ciscoasa(config)# interface tunnel X  (where X is your tunnel ID)
   ciscoasa(config-if)# shutdown
   ciscoasa(config-if)# no shutdown
   ciscoasa(config-if)# end
   ```

   Como alternativa, você pode usar um comando de linha única: 

   ```
   ciscoasa# conf t ; interface tunnel X ; shutdown ; no shutdown ; end
   ```

1. Depois de desabilitar e reabilitar a interface, verifique se a conexão VPN foi restabelecida e se o tráfego agora está fluindo corretamente.

# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco IOS Customer Gateway
<a name="Cisco_Troubleshooting"></a>

Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente. 

## IKE
<a name="IKE"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
router# show crypto isakmp sa
```

```
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.37.160  72.21.209.193   QM_IDLE           2001    0 ACTIVE
192.168.37.160  72.21.209.225   QM_IDLE           2002    0 ACTIVE
```

Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O `state` deve ser `QM_IDLE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.

```
router# term mon
router# debug crypto isakmp
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto isakmp
```

## IPsec
<a name="IPsec"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

```
router# show crypto ipsec sa
```

```
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

    protected vrf: (none)
    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    current_peer 72.21.209.225 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
     #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xB8357C22(3090512930)

     inbound esp sas:
      spi: 0x6ADB173(112046451)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB8357C22(3090512930)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Tunnel2
     Crypto map tag: Tunnel2-head-0, local addr 174.78.144.73

     protected vrf: (none)
     local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     current_peer 72.21.209.193 port 500
      PERMIT, flags={origin_is_acl,}
     #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
     #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xF59A3FF6(4120526838)

     inbound esp sas:
      spi: 0xB6720137(3060924727)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF59A3FF6(4120526838)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
```

Para a interface de cada túnel, você deve ver `inbound esp sas` e `outbound esp sas`. Supondo que um SA esteja `spi: 0xF95D2F3C` listado (por exemplo) e `Status` IPsec esteja `ACTIVE` configurado corretamente.

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

```
router# debug crypto ipsec
```

Use o comando a seguir para desativar a depuração.

```
router# no debug crypto ipsec
```

## Túnel
<a name="Tunnel"></a>

Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.

```
router# show interfaces tun1
```

```
Tunnel1 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 169.254.255.2/30
  MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
    reliability 255/255, txload 2/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 174.78.144.73, destination 72.21.209.225
  Tunnel protocol/transport IPSEC/IP
  Tunnel TTL 255
  Tunnel transport MTU 1427 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 1 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
    407 packets input, 30010 bytes, 0 no buffer
    Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```

Verifique se o `line protocol` está em execução. Verifique se o endereço IP de origem, a interface de origem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externo do dispositivo de gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual. Verifique se o `Tunnel protection via IPSec` está presente. Execute o comando em ambas as interfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicas com o dispositivo de gateway do cliente.

Além disso, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual.

```
router# ping 169.254.255.1 df-bit size 1410
```

```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```

Você deve ver cinco pontos de exclamação.

Para solucionar outros problemas, revise a configuração.

## BGP
<a name="BGP"></a>

Use o seguinte comando.

```
router# show ip bgp summary
```

```
BGP router identifier 192.168.37.160, local AS number 65000
BGP table version is 8, main routing table version 8
2 network entries using 312 bytes of memory
2 path entries using 136 bytes of memory
3/1 BGP path/bestpath attribute entries using 444 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 2) using 32 bytes of memory
BGP using 948 total bytes of memory
BGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
169.254.255.1   4  7224     363     323        8    0    0 00:54:21        1
169.254.255.5   4  7224     364     323        8    0    0 00:00:24        1
```

Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor `State/PfxRcd` de `1`.

Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC. 

```
router# show bgp all neighbors 169.254.255.1 advertised-routes
```

```
For address family: IPv4 Unicast
BGP table version is 3, local router ID is 174.78.144.73
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
     r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network             Next Hop            Metric   LocPrf Weight Path
*> 10.120.0.0/16    169.254.255.1          100        0   7224    i

Total number of prefixes 1
```

Além disso, confirme se você está recebendo o prefixo correspondente à sua VPC do gateway privado virtual. 

```
router# show ip route bgp
```

```
	10.0.0.0/16 is subnetted, 1 subnets
B       10.255.0.0 [20/0] via 169.254.255.1, 00:00:20
```

Para solucionar outros problemas, revise a configuração.

# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Cisco IOS Customer Gateway sem o Border Gateway Protocol
<a name="Cisco_Troubleshooting_NoBGP"></a>

Ao solucionar problemas de conectividade de um dispositivo Cisco Customer Gateway, considere três coisas: IKE e IPsec túnel. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

## IKE
<a name="IOS_NoBGP_IKE"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
router# show crypto isakmp sa
```

```
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
174.78.144.73 205.251.233.121 QM_IDLE           2001    0 ACTIVE
174.78.144.73 205.251.233.122 QM_IDLE           2002    0 ACTIVE
```

Você deve ver uma ou mais linhas contendo um valor de `src` do gateway remoto especificado nos túneis. O `state` deve ser `QM_IDLE` e o `status` deve ser `ACTIVE`. A ausência de uma entrada, ou de qualquer entrada em outro estado, indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log que fornecem informações de diagnóstico.

```
router# term mon
router# debug crypto isakmp
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto isakmp
```

## IPsec
<a name="IOS_NoBGP_IPsec"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

```
router# show crypto ipsec sa
```

```
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 174.78.144.73

    protected vrf: (none)
    local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
    current_peer 72.21.209.225 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149
     #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xB8357C22(3090512930)

     inbound esp sas:
      spi: 0x6ADB173(112046451)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xB8357C22(3090512930)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0
       sa timing: remaining key lifetime (k/sec): (4467148/3189)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Tunnel2
     Crypto map tag: Tunnel2-head-0, local addr 205.251.233.122

     protected vrf: (none)
     local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
     current_peer 72.21.209.193 port 500
      PERMIT, flags={origin_is_acl,}
     #pkts encaps: 26, #pkts encrypt: 26, #pkts digest: 26
     #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

     local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xF59A3FF6(4120526838)

     inbound esp sas:
      spi: 0xB6720137(3060924727)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xF59A3FF6(4120526838)
       transform: esp-aes esp-sha-hmac ,
       in use settings ={Tunnel, }
       conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0
       sa timing: remaining key lifetime (k/sec): (4387273/3492)
       IV size: 16 bytes
       replay detection support: Y  replay window size: 128
       Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
```

Para a interface de cada túnel, você deve ver `esp sas` de entrada e `esp sas` de saída. Isso pressupõe que um SA esteja listado (por exemplo,`spi: 0x48B456A6`), que o status seja `ACTIVE` e que IPsec esteja configurado corretamente.

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

```
router# debug crypto ipsec
```

Para desativar a depuração, use o comando a seguir.

```
router# no debug crypto ipsec
```

## Túnel
<a name="IOS_NoBGP_tunnel"></a>

Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter mais informações, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.

```
router# show interfaces tun1
```

```
Tunnel1 is up, line protocol is up 
  Hardware is Tunnel
  Internet address is 169.254.249.18/30
  MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, 
    reliability 255/255, txload 2/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive not set
  Tunnel source 174.78.144.73, destination 205.251.233.121
  Tunnel protocol/transport IPSEC/IP
  Tunnel TTL 255
  Tunnel transport MTU 1427 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0")
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 1 packets/sec
  5 minute output rate 1000 bits/sec, 1 packets/sec
    407 packets input, 30010 bytes, 0 no buffer
    Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
```

Verifique se o protocolo de linha está em execução. Verifique se o endereço IP de origem, a interface de origem e o destino correspondem respectivamente à configuração do túnel para o endereço IP externo do dispositivo de gateway do cliente, à interface e ao endereço IP externo do gateway privado virtual. Verifique se o `Tunnel protection through IPSec` está presente. Execute o comando em ambas as interfaces do túnel. Para resolver qualquer problema, revise a configuração e verifique as conexões físicas com o dispositivo de gateway do cliente.

É possível também usar o comando a seguir e substituir `169.254.249.18` pelo endereço IP interno de seu gateway privado virtual.

```
router# ping 169.254.249.18 df-bit size 1410
```

```
Type escape sequence to abort.
Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
```

Você deve ver cinco pontos de exclamação.

### Roteamento
<a name="IOS_NoBGP_routing"></a>

Para ver sua tabela de rotas estáticas, use o comando a seguir.

```
router# sh ip route static
```

```
     1.0.0.0/8 is variably subnetted
S       10.0.0.0/16 is directly connected, Tunnel1
is directly connected, Tunnel2
```

Você verá que existe uma rota estática para o CIDR da VPC por meio de ambos os túneis. Se não houver, adicione as rotas estáticas conforme indicado a seguir.

```
router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 
router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200
```

### Verificação do monitor de SLA
<a name="IOS_NoBGP_sla"></a>

```
router# show ip sla statistics 100
```

```
IPSLAs Latest Operation Statistics

IPSLA operation id: 100
        Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul  15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```

```
router# show ip sla statistics 200
```

```
IPSLAs Latest Operation Statistics

IPSLA operation id: 200
        Latest RTT: 128 milliseconds
Latest operation start time: *18:08:02.155 UTC Wed Jul  15 2012
Latest operation return code: OK
Number of successes: 3
Number of failures: 0
Operation time to live: Forever
```

O valor para `Number of successes` indica se o monitor de SLA foi configurado com êxito.

Para solucionar outros problemas, revise a configuração.

# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Juniper JunOS Customer Gateway
<a name="Juniper_Troubleshooting"></a>

Ao solucionar problemas de conectividade de um dispositivo de gateway de cliente da Juniper, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente. 

## IKE
<a name="IKETroubleshooting"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
user@router> show security ike security-associations
```

```
Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
4       72.21.209.225   UP     c4cd953602568b74  0d6d194993328b02  Main
3       72.21.209.193   UP     b8c8fb7dc68d9173  ca7cb0abaedeb4bb  Main
```

Você deve ver uma ou mais linhas contendo um endereço remoto do gateway remoto especificado nos túneis. O `State` deve ser `UP`. A ausência de uma entrada, ou de qualquer entrada em outro estado (como `DOWN`), indica que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, habilite as opções de rastreamento de IKE, conforme recomendado no arquivo de configuração de exemplo. Em seguida, execute o comando a seguir para imprimir na tela uma variedade de mensagens de depuração.

```
user@router> monitor start kmd
```

Em um host externo, é possível recuperar o arquivo de log completo com o comando a seguir.

```
scp username@router.hostname:/var/log/kmd
```

## IPsec
<a name="IPsecTroubleshooting"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

```
user@router> show security ipsec security-associations
```

```
Total active tunnels: 2
ID      Gateway        Port  Algorithm        SPI      Life:sec/kb Mon vsys
<131073 72.21.209.225  500   ESP:aes-128/sha1 df27aae4 326/ unlim   -   0
>131073 72.21.209.225  500   ESP:aes-128/sha1 5de29aa1 326/ unlim   -   0
<131074 72.21.209.193  500   ESP:aes-128/sha1 dd16c453 300/ unlim   -   0
>131074 72.21.209.193  500   ESP:aes-128/sha1 c1e0eb29 300/ unlim   -   0
```

Mais especificamente, você deve ver pelo menos duas linhas por endereço de gateway (correspondentes ao gateway remoto). Os operadores maior e menor no início de cada linha (< >) indicam a direção do tráfego para a entrada específica. A saída tem linhas distintas para tráfego de entrada ("<", tráfego do gateway privado virtual para esse dispositivo de gateway do cliente) e tráfego de saída (">").

Para solucionar outros problemas, habilite as opções de rastreamento de IKE (para obter mais informações, consulte a seção precedente sobre IKE). 

## Túnel
<a name="TunnelTroubleshooting"></a>

Primeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.

```
user@router> show interfaces st0.1
```

```
 Logical interface st0.1 (Index 70) (SNMP ifIndex 126)
    Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel
    Input packets : 8719
    Output packets: 41841
    Security: Zone: Trust
    Allowed host-inbound traffic : bgp ping ssh traceroute
    Protocol inet, MTU: 9192
      Flags: None
      Addresses, Flags: Is-Preferred Is-Primary
      Destination: 169.254.255.0/30, Local: 169.254.255.2
```

Verifique se `Security: Zone` está correto e se o endereço `Local` corresponde ao túnel do dispositivo de gateway do cliente dentro do endereço.

Em seguida, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.

```
user@router> ping 169.254.255.1 size 1382 do-not-fragment
```

```
PING 169.254.255.1 (169.254.255.1): 1410 data bytes
64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms
64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms
```

Para solucionar outros problemas, revise a configuração.

## BGP
<a name="BGPTroubleshooting"></a>

Execute o seguinte comando.

```
user@router> show bgp summary
```

```
Groups: 1 Peers: 2 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0                 2          1          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
169.254.255.1          7224          9         10       0       0        1:00 1/1/1/0              0/0/0/0
169.254.255.5          7224          8          9       0       0          56 0/1/1/0              0/0/0/0
```

Para solucionar outros problemas, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual. 

```
user@router> show bgp neighbor 169.254.255.1
```

```
Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000
  Type: External    State: Established    Flags: <ImportEval Sync>
  Last State: OpenConfirm   Last Event: RecvKeepAlive
  Last Error: None
  Export: [ EXPORT-DEFAULT ] 
  Options: <Preference HoldTime PeerAS LocalAS Refresh>
  Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0
  Number of flaps: 0
  Peer ID: 169.254.255.1    Local ID: 10.50.0.10       Active Holdtime: 30
  Keepalive Interval: 10         Peer index: 0   
  BFD: disabled, down
  Local Interface: st0.1                            
  NLRI for restart configured on peer: inet-unicast
  NLRI advertised by peer: inet-unicast
  NLRI for this session: inet-unicast
  Peer supports Refresh capability (2)
  Restart time configured on the peer: 120
  Stale routes from peer are kept for: 300
  Restart time requested by this peer: 120
  NLRI that peer supports restart for: inet-unicast
  NLRI that restart is negotiated for: inet-unicast
  NLRI of received end-of-rib markers: inet-unicast
  NLRI of all end-of-rib markers sent: inet-unicast
  Peer supports 4 byte AS extension (peer-as 7224)
  Table inet.0 Bit: 10000
    RIB State: BGP restart is complete
    Send state: in sync
    Active prefixes:              1
    Received prefixes:            1
    Accepted prefixes:            1
    Suppressed due to damping:    0
    Advertised prefixes:          1
Last traffic (seconds): Received 4    Sent 8    Checked 4   
Input messages:  Total 24     Updates 2       Refreshes 0     Octets 505
Output messages: Total 26     Updates 1       Refreshes 0     Octets 582
Output Queue[0]: 0
```

Aqui você deve visualizar `Received prefixes` e `Advertised prefixes` listados com 1. Isso dever estar dentro da seção `Table inet.0`.

Se o `State` não for `Established`, verifique o `Last State` e o `Last Error` para obter detalhes sobre o que é necessário para corrigir o problema.

Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC. 

```
user@router> show route advertising-protocol bgp 169.254.255.1
```

```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
  Prefix                  Nexthop              MED     Lclpref    AS path
* 0.0.0.0/0               Self                                    I
```

Além disso, verifique se você está recebendo o prefixo que corresponde à VPC do gateway privado virtual.

```
user@router> show route receive-protocol bgp 169.254.255.1
```

```
inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden)
  Prefix                  Nexthop              MED     Lclpref    AS path
* 10.110.0.0/16           169.254.255.1        100                7224 I
```

# Solucione problemas de AWS Site-to-Site VPN conectividade com um dispositivo de gateway de cliente ScreenOS da Juniper
<a name="Juniper_ScreenOs_Troubleshooting"></a>

Ao solucionar problemas de conectividade de um dispositivo de gateway de cliente baseado em ScreenOS da Juniper, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente. 

## IKE e IPsec
<a name="IKEIPsec"></a>

Use o seguinte comando. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
ssg5-serial-> get sa
```

```
total configured sa: 2
HEX ID    Gateway         Port Algorithm     SPI      Life:sec kb Sta   PID vsys
00000002<   72.21.209.225  500 esp:a128/sha1 80041ca4  3385 unlim A/-    -1 0
00000002>   72.21.209.225  500 esp:a128/sha1 8cdd274a  3385 unlim A/-    -1 0
00000001<   72.21.209.193  500 esp:a128/sha1 ecf0bec7  3580 unlim A/-    -1 0
00000001>   72.21.209.193  500 esp:a128/sha1 14bf7894  3580 unlim A/-    -1 0
```

Você deve ver uma ou mais linhas contendo um endereço remoto do gateway remoto especificado nos túneis. O valor `Sta` deve ser `A/-` e o `SPI` deve ser um número hexadecimal diferente de `00000000`. As entradas em outros estados indicam que o IKE não está configurado apropriadamente.

Para solucionar outros problemas, habilite as opções de rastreamento de IKE (conforme recomendado no arquivo de configuração de exemplo).

## Túnel
<a name="TunnelFirewall"></a>

Primeiro, verifique novamente se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.

```
ssg5-serial-> get interface tunnel.1
```

```
  Interface tunnel.1:
  description tunnel.1
  number 20, if_info 1768, if_index 1, mode route
  link ready
  vsys Root, zone Trust, vr trust-vr
  admin mtu 1500, operating mtu 1500, default mtu 1500
  *ip 169.254.255.2/30
  *manage ip 169.254.255.2
  route-deny disable
  bound vpn:
    IPSEC-1

  Next-Hop Tunnel Binding table
  Flag Status Next-Hop(IP)    tunnel-id  VPN

  pmtu-v4 disabled
  ping disabled, telnet disabled, SSH disabled, SNMP disabled
  web disabled, ident-reset disabled, SSL disabled

  OSPF disabled  BGP enabled  RIP disabled  RIPng disabled  mtrace disabled
  PIM: not configured  IGMP not configured
  NHRP disabled
  bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps]
             configured ingress mbw 0kbps, current bw 0kbps
             total allocated gbw 0kbps
```

Verifique se `link:ready` está presente e se o endereço `IP` corresponde ao endereço interno do túnel do dispositivo de gateway do cliente.

Em seguida, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual. Os resultados devem ser semelhantes à resposta mostrada aqui.

```
ssg5-serial-> ping 169.254.255.1
```

```
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms
```

Para solucionar outros problemas, revise a configuração.

## BGP
<a name="BGPCommand"></a>

Execute o comando a seguir.

```
ssg5-serial-> get vrouter trust-vr protocol bgp neighbor
```

```
Peer AS Remote IP       Local IP          Wt Status   State     ConnID Up/Down
--------------------------------------------------------------------------------
   7224 169.254.255.1   169.254.255.2    100 Enabled  ESTABLISH     10 00:01:01
   7224 169.254.255.5   169.254.255.6    100 Enabled  ESTABLISH     11 00:00:59
```

O estado de ambos os peers de BGP deve ser `ESTABLISH`, o que significa que a conexão de BGP com o gateway privado virtual está ativa.

Para solucionar outros problemas, use o comando a seguir e substitua `169.254.255.1` pelo endereço IP interno de seu gateway privado virtual. 

```
ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1
```

```
peer: 169.254.255.1,  remote AS: 7224, admin status: enable
type: EBGP, multihop: 0(disable), MED: node default(0)
connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15s
configured hold time: node default(90s), configured keepalive: node default(30s)
configured adv-interval: default(30s)
designated local IP: n/a
local IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179
router ID of peer: 169.254.255.1, remote AS: 7224
negotiated hold time: 30s, negotiated keepalive interval: 10s
route map in name: , route map out name:
weight: 100 (default)
self as next hop: disable
send default route to peer: disable
ignore default route from peer: disable
send community path attribute: no
reflector client: no
Neighbor Capabilities:
  Route refresh: advertised and received
  Address family IPv4 Unicast:  advertised and received
force reconnect is disable
total messages to peer: 106, from peer: 106
update messages to peer: 6, from peer: 4
Tx queue length 0, Tx queue HWM: 1
route-refresh messages to peer: 0, from peer: 0
last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)
number of total successful connections: 4
connected: 2 minutes 6 seconds
Elapsed time since last update: 2 minutes 6 seconds
```

Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC. Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.

```
ssg5-serial-> get vr trust-vr protocol bgp  rib neighbor 169.254.255.1 advertised
```

```
i: IBGP route, e: EBGP route, >: best route, *: valid route
               Prefix         Nexthop    Wt  Pref   Med Orig    AS-Path
--------------------------------------------------------------------------------------
>i          0.0.0.0/0         0.0.0.0 32768   100     0  IGP
Total IPv4 routes advertised: 1
```

Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual. Esse comando aplica-se ao ScreenOS versão 6.2.0 e superior.

```
ssg5-serial-> get vr trust-vr protocol bgp  rib neighbor 169.254.255.1 received
```

```
i: IBGP route, e: EBGP route, >: best route, *: valid route
               Prefix         Nexthop    Wt  Pref   Med Orig    AS-Path
--------------------------------------------------------------------------------------
>e*     10.0.0.0/16   169.254.255.1   100   100   100  IGP   7224
Total IPv4 routes received: 1
```

# Solucionar problemas de AWS Site-to-Site VPN conectividade com um dispositivo Yamaha Customer Gateway
<a name="Yamaha_Troubleshooting"></a>

Ao solucionar problemas de conectividade de um dispositivo Yamaha Customer Gateway, considere quatro coisas: IKE IPsec, túnel e BGP. É possível solucionar problemas nessas áreas em qualquer sequência, mas é recomendável começar pelo IKE (na parte inferior da pilha de rede) e seguir em frente.

**nota**  
A configuração `proxy ID` usada na fase 2 do IKE está desabilitada por padrão no roteador Yamaha. Isso pode causar problemas na conexão com a Site-to-Site VPN. Se o não `proxy ID` estiver configurado em seu roteador, consulte o exemplo de arquivo AWS de configuração fornecido para que a Yamaha defina corretamente.

## IKE
<a name="YamahaIKE"></a>

Execute o comando a seguir. A resposta mostra um dispositivo de gateway do cliente com o IKE configurado corretamente.

```
# show ipsec sa gateway 1
```

```
sgw  flags local-id                      remote-id        # of sa
--------------------------------------------------------------------------
1    U K   YOUR_LOCAL_NETWORK_ADDRESS     72.21.209.225    i:2 s:1 r:1
```

Você deve ver uma linha contendo um valor `remote-id` do gateway remoto especificado nos túneis. Você pode listar todas as associações de segurança (SAs) omitindo o número do túnel.

Para solucionar outros problemas, execute os comandos a seguir para ativar mensagens de log de nível de DEPURAÇÃO que fornecem informações de diagnóstico.

```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```

Para cancelar os itens registrados, execute o comando a seguir.

```
# no ipsec ike log
# no syslog debug on
```

## IPsec
<a name="YamahaIPsec"></a>

Execute o comando a seguir. A resposta mostra um dispositivo de gateway do cliente IPsec configurado corretamente.

```
# show ipsec sa gateway 1 detail
```

```
SA[1] Duration: 10675s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[2] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: send
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: a6 67 47 47 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[3] Duration: 1719s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Direction: receive
Protocol: ESP (Mode: tunnel)
Algorithm: AES-CBC (for Auth.: HMAC-SHA)
SPI: 6b 98 69 2b 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
SA[4] Duration: 10681s
Local ID: YOUR_LOCAL_NETWORK_ADDRESS
Remote ID: 72.21.209.225
Protocol: IKE
Algorithm: AES-CBC, SHA-1, MODP 1024bit
SPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee 
Key: ** ** ** ** **  (confidential)   ** ** ** ** **
----------------------------------------------------
```

Para a interface de cada túnel, você deve ver `receive sas` e `send sas`.

Para solucionar outros problemas, use o comando a seguir para ativar a depuração.

```
# syslog debug on
# ipsec ike log message-info payload-info key-info
```

Execute o comando a seguir para desabilitar a depuração.

```
# no ipsec ike log
# no syslog debug on
```

## Túnel
<a name="YamahaTunnel"></a>

Primeiro, verifique se você implementou as regras de firewall necessárias. Para obter uma lista de regras, consulte [Regras de firewall para um dispositivo de gateway AWS Site-to-Site VPN do cliente](FirewallRules.md).

Se as regras de firewall estiverem configuradas corretamente, dê prosseguimento à solução de problemas com o comando a seguir.

```
# show status tunnel 1
```

```
TUNNEL[1]: 
Description: 
  Interface type: IPsec
  Current status is Online.
  from 2011/08/15 18:19:45.
  5 hours 7 minutes 58 seconds  connection.
  Received:    (IPv4) 3933 packets [244941 octets]
               (IPv6) 0 packet [0 octet]
  Transmitted: (IPv4) 3933 packets [241407 octets]
               (IPv6) 0 packet [0 octet]
```

Certifique-se de que o `current status` valor esteja on-line e `Interface type` pronto IPsec. Lembre-se de executar o comando em ambas as interfaces do túnel. Para solucionar qualquer problema aqui, revise a configuração.

## BGP
<a name="YamahaBGP"></a>

Execute o comando a seguir.

```
# show status bgp neighbor
```

```
BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link
  BGP version 0, remote router ID 0.0.0.0
  BGP state = Active
  Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
  Received 0 messages, 0 notifications, 0 in queue
  Sent 0 messages, 0 notifications, 0 in queue
  Connection established 0; dropped 0
  Last reset never
Local host: unspecified
Foreign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link
  BGP version 0, remote router ID 0.0.0.0
  BGP state = Active
  Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds
  Received 0 messages, 0 notifications, 0 in queue
  Sent 0 messages, 0 notifications, 0 in queue
  Connection established 0; dropped 0
  Last reset never
Local host: unspecified
Foreign host: 169.254.255.5, Foreign port:
```

Ambos os vizinhos deve ser listados. Para cada um, você deve ver um valor `BGP state` de `Active`.

Se o emparelhamento de BGP estiver ativo, verifique se o dispositivo de gateway do cliente está anunciando a rota padrão (0.0.0.0/0) para a VPC. 

```
# show status bgp neighbor 169.254.255.1 advertised-routes 
```

```
Total routes: 1
*: valid route
  Network            Next Hop        Metric LocPrf Path
* default            0.0.0.0              0        IGP
```

Além disso, verifique se você está recebendo o prefixo correspondente à VPC do gateway privado virtual. 

```
# show ip route
```

```
Destination         Gateway          Interface       Kind  Additional Info.
default             ***.***.***.***   LAN3(DHCP)    static  
10.0.0.0/16         169.254.255.1    TUNNEL[1]       BGP  path=10124
```

# Integração entre AWS Site-to-Site VPN e eero
<a name="eero-integration"></a>

A AWS Site-to-Site VPN colaborou com a [eero](http://eero.com) para tornar simples e conveniente que as organizações estabeleçam conectividade segura entre seus sites remotos e a AWS em apenas alguns cliques.

Essa solução aproveita os pontos de WiFi acesso e gateways de rede da eero para fornecer conectividade local. Usando os dispositivos de gateway e a Site-to-Site VPN da eero, os clientes podem estabelecer automaticamente a conectividade VPN para acessar seus aplicativos hospedados na AWS, como gateways de pagamento para sistemas de ponto de venda, com apenas alguns cliques. Isso torna mais simples e rápido para os clientes escalar a conectividade do site remoto em centenas de sites e elimina a necessidade de um técnico local com experiência em rede para configurar a conectividade. Essa solução é adequada para empresas distribuídas com até 500 escritórios remotos, com cada escritório tendo até 100 usuários. 

 Para saber mais sobre essa integração, incluindo um guia de configuração detalhado, consulte a documentação do [eero](https://support.eero.com/hc/en-us/articles/42827838351899-AWS-Account-and-VPN-Configuration). 

**nota**  
Não há alterações na funcionalidade do AWS Site-to-Site VPN como parte dessa integração.

**Considerações:**
+ Disponível somente para conexões VPN conectadas a um Transit Gateway ou à Cloud WAN. Não há suporte para anexos do Virtual Private Gateway.
+ Túneis de 5 Gbps não são suportados.
+ Site-to-Site O VPN Concentrator não é suportado.
+ Site-to-Site [As cotas](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html) de VPN não mudam com essa integração.