Como posso configurar uma VPN baseada em rota estática gerenciada entre a AWS e o IBM Cloud?

Resolução

Para configurar uma conexão Site-to-Site VPN entre a AWS e o IBM Cloud, faça o seguinte:

• No IBM, configure uma nuvem privada virtual (VPC), sub-redes, tabelas de rotas, grupos de segurança e regras de lista de controle de acesso (ACL).
• No lado da AWS, configure uma VPC, sub-redes e roteamento.

Configuração da AWS

1. Abra o console da Amazon VPC e depois crie um gateway do cliente. Como você ainda não sabe o endereço IP do gateway do VPN da IBM, você pode adicionar os detalhes que desejar. Você poderá depois especificar o endereço IP correto do gateway do cliente e o número de sistema autônomo (ASN).

   Observação: você deve usar a AWS para criar o gateway do cliente. O console do Amazon VPC permite alterar o gateway do cliente depois de configurá-lo, já o IBM Cloud não.

2. Abra o console da Amazon VPC, crie um gateway privado virtual e, em seguida, conecte-o à sua Amazon VPC.

3. Crie uma conexão de VPN. Em Gateway privado virtual, escolha o nome do gateway privado virtual que você criou. Em ID do gateway do cliente, escolha o ID do gateway do cliente que você criou. Para Opções de roteamento, escolha Estático. (Opcional) Em Opções avançadas para o túnel 1, ative os algoritmos de criptografia avançados.

4. Faça o download do arquivo genérico de configuração da Site-to-Site VPN. Use as informações desse arquivo para configurar túneis de VPN no IBM Cloud.

Configuração do IBM Cloud

1. Abra o IBM Cloud e use as instruções no site da IBM para criar uma política de IKE. Insira um nome para sua política e depois os seguintes detalhes:

   Região: Washington DC
   Versão IKE: 2
   Autenticação: sha1
   Criptografia: aes128
   Grupo Diffie-Hellman: 2
   Validade da chave: 28800

2. Criar uma política IPsec. Insira um nome para sua política e depois os seguintes detalhes:

   Região: Washington DC
   Versão IKE: 2
   Autenticação: sha1
   Perfect forward secrecy: Turned on
   Grupo Diffie-Hellman: 2
   Validade da chave: 3600

3. Crie uma conexão Site-to-Site VPN no IBM Cloud. Insira os detalhes das políticas IKE e IPsec que você criou. Para criar a conexão VPN, você precisa do endereço IP do gateway de pares e das chaves pré-compartilhadas da AWS. Anote essas informações do arquivo de configuração que você baixou da AWS antes de continuar configurando sua VPN.

4. Após criar a Site-to-Site VPN do lado da IBM, você pode visualizar o endereço IP público para o Tunnel1. Anote o endereço IP a ser usado nas etapas a seguir.

Configurar o gateway de VPN no console da Amazon VPC

1. Abra o console da Amazon VPC e depois crie um gateway do cliente. Para endereço IP, insira o endereço IP da VPN IBM e não o endereço IP secundário.
2. Navegue até sua conexão Site-to-Site VPN. Escolha Ações e, em seguida, escolha Modificar conexão VPN. Atualize o tipo de alvo para o gateway do cliente. Escolha o novo gateway do cliente que usa o endereço IP da VPN IBM.

Observação: a AWS leva alguns minutos para modificar e atualizar a conexão da Site-to-Site VPN.

Confirme se o status do túnel está ATIVO e teste a conexão

1. Depois que a AWS terminar de modificar a conexão Site-to-Site VPN, confirme se o túnel está ATIVO. Você deve confirmar isso tanto no lado da AWS quanto no lado da IBM. Além disso, confirme se você tem o roteamento correto. Quando o túnel está ativo, ambas as nuvens não permitem que o tráfego flua por padrão.
2. Na IBM Cloud, configure os grupos de segurança e as ACLs para permitir que o tráfego flua entre a IBM e a AWS.
3. No console da Amazon VPC, configure as ACLs de rede e os grupos de segurança associados à sua conexão. Isso permite que o tráfego flua entre AWS e IBM.
4. Execute um teste de conectividade bidirecional para verificar a conexão do túnel entre IBM e AWS. Faça um teste de ping AWS para IBM e IBM para AWS.