AWS обеспечивает удобную функцию в своем VPC, которая предоставляет услугу VPN. Я настроил это и подтвердил, что он работает.
Наш заказчик использует устройство Cisco ASA серии 5500 для подключения к сервису AWS VPN. В разделе часто задаваемых вопросов, предоставленном моей AWS, описывается, что следующие группы Диффи-Хеллмана поддерживаются для фазы 1 и фазы 2:
В. Какие группы Диффи-Хеллмана вы поддерживаете?
Мы поддерживаем следующие группы Диффи-Хеллмана (DH) в Фазе 1 и Фазе 2.
Фаза 1 DH группы 2, 14-18, 22, 23, 24
Фаза 2, группы DH 1, 2, 5, 14-18, 22, 23, 24
Взято из http://aws.amazon.com/vpc/faqs/
AWS предоставляет пример конфигурации для устройства Cisco 5500 ASA (http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html). Я могу подтвердить, что это действительно создает туннель (ы).
Однако в приведенном примере конфигурации, похоже, используется группа 2 DH как для фазы 1, так и для фазы 2 установления туннеля, а также используется IKEv1, а не IKEv2.
В примечаниях к выпуску Cisco для микропрограммного обеспечения 9.1.x для устройства 5500 ASA рекомендуется избегать Группы 1 и Группы 2, и на самом деле другие источники предлагают избегать и группы 5 (AWS VPC не поддерживает Группу 5 на Этапе 1, так что это довольно спорный вопрос).
При настройке для IKEv2 из соображений безопасности следует использовать группы 21, 20, 19, 24, 14 и 5. Мы не рекомендуем Diffie Hellman Group1 или Group2. Например, используйте
крипто политика ikev2 10
группа 21 20 19 24 14 5
взято из примечаний к выпуску Cisco ASA для iOS версии 9.1x
AWS не предлагает конфигурацию Best Practice, скорее их пример - «стартер на десять». Я предлагаю следующее обновление конфигурации примера AWS, но хотел бы быть уверен в том, что это позволит достичь того, чего я думаю, прежде чем предоставлять его нашему клиенту.
Ln 48-54 изменен на:
crypto ikev2 policy 10
encryption aes256
authentication pre-share
group 24
lifetime 28800
hash sha256
exit
И Ln 117 изменился на:
crypto map <amzn_vpn_map> 1 set pfs group24
Кажется, действительно существует засуха проверки этой конфигурации где-нибудь в межпространственном пространстве, так что, надеюсь, это сообщение в бутылке дрейфует до береговой линии того, кто в курсе!