Comment puis-je configurer un AWS Site-To-Site VPN basé sur le routage dynamique avec un routeur MikroTik ?

Résolution

**Remarque :**Pour plus d'informations sur la manière d'optimiser les performances du VPN AWS, consultez la section AWS Site-to-Site VPN, en choisissant les bonnes options pour optimiser les performances.

Prérequis

Avant de commencer, assurez-vous que :

• Vous avez configuré un CIDR de cloud privé virtuel (VPC) associé à une passerelle privée virtuelle ou attaché à une passerelle de transit.
• L'adresse CIDR du VPC ne chevauche pas l'adresse CIDR du réseau local.

Créez un AWS Site-to-Site VPN avec le routeur MikroTik à l'aide du routage BGP

1. Suivez les étapes 1 à 5 de la section Premiers pas avec l’AWS Site-to-Site VPN pour configurer le côté AWS de la connexion VPN. Remarque :
   • Vérifiez le numéro de système autonome (ASN) de votre appareil de passerelle client. Si vous choisissez la valeur par défaut, AWS fournit un ASN 65000 pour votre passerelle client.
   • Sélectionnez l'option de routage comme dynamique à l'étape 5.
2. Ouvrez la console Amazon VPC. Accédez à Connexions de site à VPN. 
3. Sélectionnez votre connexion VPN et téléchargez l'exemple de fichier de configuration pour le routeur. 
   **Remarque :**Utilisez cet exemple de fichier pour configurer l’AWS Site-to-Site VPN sur le routeur.
4. Connectez-vous à l'interface utilisateur de votre routeur MikroTik à l'aide de Winbox.
5. Configurez la proposition IPSEC sur le routeur MikroTik comme suit :
   La proposition IPSEC définit les paramètres IPSEC pour le chiffrement, l'authentification, le groupe Diffie-Hellman et la durée de vie.
   Accédez à l'onglet IP > IPsec > Propositions.
   Cliquez sur le bouton +. Entrez, ensuite ce qui suit :
   Nom : ipsec-vpn-xxxxxxxxx-0
   Authentification. Algorithmes : sha1
   Encr. Algorithmes : aes-128-cbc
   **Durée de vie :**01:00:00
   Groupe PFS : modp1024
   Sélectionnez Appliquer puis OK.
   **Remarque : **Remplacez <vpn-xxxxxxxxx-0> par votre adresse VPN Ipsec ou le nom de votre VPN.
6. Créez une politique IPSEC sur votre routeur MikroTik de la manière suivante : La politique IPSEC autorise le trafic de votre sous-réseau local vers le sous-réseau VPC. La politique IPSEC autorise également le trafic provenant de l'adresse IP du tunnel interne de votre passerelle client (routeur MikroTik) et de l'adresse IP du tunnel interne du point de terminaison du tunnel VPN AWS. Les sélecteurs de trafic de votre politique IPSEC sur votre routeur MikroTik peuvent être configurés comme n'importe quel (0.0.0.0/0) à n'importe quel (0.0.0.0/0).
   Accédez à l'onglet IP > IPsec > Politiques.
   Cliquez sur le bouton +. Entrez, ensuite ce qui suit :
   Adresse : 0.0.0.0/0
   Dst. Adresse : 0.0.0.0/0
   Choisissez l'onglet Action
   Sélectionnez Tunnel. Entrez ensuite ce qui suit :
   **SA Src. Adresse :**Interface WAN/externe
   **SA Dst. Adresse :**IP externe VGW
   Proposition : ipsec-vpn-xxxxxxxxx-0
   Sélectionnez Appliquer puis OK.
   Remarque : Remplacez <vpn-xxxxxxxxx-0> par votre adresse VPN Ipsec ou le nom de votre VPN.
7. Créez un profil IKE (Internet Key Exchange) sur votre routeur MikroTik. Un profil IKE définit les paramètres IKE SA ou SA de phase 1 pour le chiffrement, l'authentification, le groupe Diffie-Hellman, la clé d'authentification et la durée de vie.
   Accédez à l'onglet IP > IPsec > Profil.
   Cliquez sur le bouton +. Entrez les détails comme suit :
   Nom du profil : profile-vpn-xxxxxxxxx-0
   Algorithme de hachage : sha1
   **Algorithme de chiffrement : ** aes-128
   **Groupe DH : ** modp1024
   Durée de vie : 08:00:0
   Intervalle DDP : 10
   Nombre maximal de défaillances DDP : 3
   Sélectionnez Appliquer puis OK.
   Remarque : Remplacez <profile-vpn-xxxxxxxxx-0> par l'adresse VPN de votre profil ou le nom du profil.
8. Associez le profil IKE au point de terminaison VPN AWS (homologue) :
   Accédez à l'onglet IP > IPsec > Pair. Entrez ensuite les détails comme suit :
   Adresse : <AWS tunnel IP>
   Adresse locale :<MikroTik IP on the external interface>
   Profil : profile-vpn-xxxxxxxxx-0
   **Mode d'échange :**Principal
   Sélectionnez Appliquer puis OK.
   **Remarque :**Remplacez <AWS tunnel IP> par l'adresse IP de votre tunnel AWS et <MikroTik IP sur l'interface externe) avec l'adresse IP MikroTik associée. Remplacez <profile-vpn-xxxxxxxxx-0> par l'adresse VPN de votre profil ou le nom du profil.
9. Ajoutez la clé pré-partagée pour authentifier les pairs. Les clés pré-partagées sont obtenues à partir de l'exemple de fichier de configuration téléchargé depuis la console AWS.
   Accédez à l'onglet IP > IPsec > Identités. Entrez ensuite les détails comme suit :
   **Méthode d'authentification :**Clé pré-partagée
   Secret : AAAAAAAAAAAAAAAAAA
   Sélectionnez Appliquer puis OK.
10. Configurez l'interface du tunnel logique sur le routeur MikroTik de la manière suivante : Tout le trafic provenant du réseau privé local est acheminé vers l'interface du tunnel logique. Le trafic est ensuite chiffré et envoyé au VPC et vice-versa.
    Accédez à l'onglet IP > Adresses.
    Cliquez sur le bouton +. Entrez ensuite les détails comme suit :
    Adresse : 169.254.X.X.30
    **Interface :**Interface WAN/externe
    Sélectionnez Appliquer puis OK.
11. Configurez les homologues BGP sur le routeur MikroTik pour échanger des préfixes de routage vers et depuis les points de terminaison du tunnel VPN AWS (passerelle privée virtuelle ou passerelle de transit) comme indiqué ici :
    Accédez à Routage > ** BGP **> Pair.
    Cliquez sur le bouton + et sélectionnez l'onglet Général. Entrez ensuite les détails comme suit :
    Nom : BGP-vpn-xxxxxxxxx-0
    **Adresse distante :**169.254.X.X
    Système d'exploitation à distance : 64512
    Temps de maintien : 30
    **Durée de maintien en vie : **10
    Sélectionnez Appliquer puis OK.
    **Remarque :**Remplacez <BGP-vpn-xxxxxxxxx-0> par votre adresse VPN BGP.
12. Annoncez les préfixes locaux sur site. Votre passerelle client (routeur MikroTik) annonce les préfixes locaux à AWS. Voici un exemple de préfixe local avec un sous-net/masque 10.0.0.0/16 :
    Accédez à l'onglet Routage > BGP> Réseaux.
    Cliquez sur le bouton +. Entrez ensuite ce qui suit :
    Réseau : 10.0.0.0/16
    Sélectionnez Appliquer puis OK.
13. Configurez l'exemption NAT.
    Créez une règle qui autorise le trafic du sous-réseau local vers le VPC.
    **Remarque :**Si vous effectuez une traduction d'adresses réseau (NAT) sur votre passerelle client, vous aurez peut-être besoin d'une règle d'exemption NAT pour autoriser le trafic de votre sous-réseau local vers le sous-réseau VPC, et vice versa. Cet exemple de règle autorise le trafic du sous-réseau local vers le sous-réseau VPC.
    Accédez à l'onglet IP > Pare-feu > NAT.
    Cliquez sur le bouton + et sélectionnez l'onglet Général. Entrez ensuite ce qui suit :
    Chaîne : srcnat
    Scr.Address : local subnet/mask
    Adresse postale : Sous-réseau/masque Amazon Virtual Private Cloud (Amazon VPC)
    Choisissez l'onglet Action. Entrez ensuite ce qui suit :
    Action = accepter
    Sélectionnez Appliquer puis OK.
14. Créez une règle de pare-feu autorisant le trafic depuis l'adresse IP interne associée à votre passerelle client (IP du tunnel MikroTik) vers l'adresse IP interne associée au tunnel AWS (c'est-à-dire la passerelle privée virtuelle ou la passerelle de transit).
    Cliquez sur le bouton + et sélectionnez l'onglet Général. Entrez ensuite ce qui suit :
    Chaîne : srcnat
    Scr. Adresse : 169.254.X.X
    Dst. Adresse : 169.254.X.X
    Choisissez l'onglet Action.
    Action = accepter
    Sélectionnez Appliquer puis OK.
    **Remarque :**Votre passerelle client peut comporter plusieurs règles de pare-feu susceptibles d'entrer en conflit avec la règle d'exemption NAT. Pour éviter les conflits de politique, positionnez les règles d'exemption NAT de manière à ce qu'elles soient évaluées dans l'ordre dans lequel vous les avez définies.