Rodrigo

Posted on Mar 31

🔐 VPN Site-to-Site AWS + ER605 (IPSec IKEv1) — Guia completo

#aws #networking #security #tutorial

🌐 Cenário (EXEMPLO SEGURO)

Item	Valor
IP público (seu roteador)	`203.0.113.10`
Rede local	`192.168.20.0/24`
Rede AWS (VPC)	`10.20.0.0/16`

🧠 Arquitetura

1️⃣ AWS — Criar Customer Gateway

👉 Caminho:
VPC → Customer Gateways → Create

🔹 Configuração

IP Address: 203.0.113.10
BGP ASN: 65000

🧠 O que você fez aqui

👉 Você usa o IP público (NAT) da sua rede

✔ Correto porque:

É o IP que a AWS enxerga
É para onde ela vai abrir o túnel

⚠️ Erro comum

❌ Usar IP interno
✔ Sempre usar IP público

2️⃣ AWS — Criar Virtual Private Gateway (VGW)

👉 Caminho:
VPC → Virtual Private Gateways → Create

🔹 Passos

Criar VGW
Attach na VPC

🧠 Explicação

👉 Esse é o “roteador da AWS”

Sem isso:

Não existe VPN funcional

3️⃣ AWS — Criar Site-to-Site VPN Connection

👉 Caminho:
VPC → Site-to-Site VPN connections → Create

🔹 Configuração

Básico

Name: vpn-homelab
Target Gateway: Virtual Private Gateway
Customer Gateway: Existing

🔹 Routing

Routing options: Static

🔹 Static IP prefix

192.168.20.0/24

🧠 O que você fez aqui

👉 Você disse para AWS:

“Minha rede local é essa. Para chegar nela, use a VPN.”

✔ Isso define o tráfego do túnel

⚠️ Se errar aqui

Tunnel sobe
Mas NÃO trafega

4️⃣ AWS — Tunnel Details (ESSENCIAL)

Após criar, vá em:

👉 Tunnel details

🔹 Exemplo (fictício)

Tunnel 1 Outside IP: 34.210.10.5
Tunnel 2 Outside IP: 18.215.20.8

🧠 Isso é o MAIS importante

👉 Esse IP será usado no ER605 como:

Remote Gateway

5️⃣ AWS — Download configuration

👉 Dentro da VPN:

Selecione a VPN que acabou de criar, após isso clique em Download configuration, selecione as opções abaixo:

Vendor: Generic
Platform: Generic
Software: Vendor Agnostic
IKE: IKEv1

🧠 Explicação

👉 AWS gera:

PSK
Phase 1
Phase 2

6️⃣ ER605 — Criar VPN IPSec

👉 Caminho:
VPN → IPSec → Add

🔹 Configuração básica

Policy Name: aws-vpn
Mode: LAN-to-LAN
WAN: WAN1

🔹 Remote Gateway

34.210.10.5

🧠 Explicação

👉 Esse é o endpoint da AWS

🔹 Redes

Local

192.168.20.0/24

Remote (Sua rede da AWS - VPC)

10.20.0.0/16

🧠 Explicação

👉 Define QUANDO usar o túnel

🔹 Pre-shared key

👉 Copiar da AWS (Arquivo de Download)

7️⃣ ER605 — Phase 1 (IKE)

IKE Version: IKEv1
Encryption: AES128
Auth: SHA1
DH Group: DH2
Lifetime: 28800

8️⃣ ER605 — Phase 2 (IPSec)

Protocol: ESP
Encryption: AES128
Auth: SHA1
PFS: DH2
Lifetime: 28800

9️⃣ AWS — Ajustar rota (OBRIGATÓRIO)

👉 Route Table da VPC:

192.168.20.0/24 → VGW

🧠 Sem isso

VPN fica UP
Mas não passa tráfego

🔟 Firewall (Opcional)

🔹 Permitir tráfego

LAN → AWS
192.168.20.0/24 → 10.20.0.0/16

AWS → LAN
10.20.0.0/16 → 192.168.20.0/24

🔁 Fluxo final

1. AWS sabe seu IP (CGW)
2. AWS cria túnel (VPN)
3. Você pega Outside IP
4. Configura ER605
5. Define redes
6. Ajusta rota AWS
7. Libera firewall
8. Túnel sobe

✅ Resultado esperado

Na AWS:

Tunnel 1 → UP
Tunnel 2 → opcional