🌐 Cenário (EXEMPLO SEGURO)
| Item | Valor |
|---|---|
| IP público (seu roteador) | 203.0.113.10 |
| Rede local | 192.168.20.0/24 |
| Rede AWS (VPC) | 10.20.0.0/16 |
🧠 Arquitetura
1️⃣ AWS — Criar Customer Gateway
👉 Caminho:
VPC → Customer Gateways → Create
🔹 Configuração
IP Address: 203.0.113.10
BGP ASN: 65000
🧠 O que você fez aqui
👉 Você usa o IP público (NAT) da sua rede
✔ Correto porque:
- É o IP que a AWS enxerga
- É para onde ela vai abrir o túnel
⚠️ Erro comum
❌ Usar IP interno
✔ Sempre usar IP público
2️⃣ AWS — Criar Virtual Private Gateway (VGW)
👉 Caminho:
VPC → Virtual Private Gateways → Create
🔹 Passos
- Criar VGW
- Attach na VPC
🧠 Explicação
👉 Esse é o “roteador da AWS”
Sem isso:
- Não existe VPN funcional
3️⃣ AWS — Criar Site-to-Site VPN Connection
👉 Caminho:
VPC → Site-to-Site VPN connections → Create
🔹 Configuração
Básico
Name: vpn-homelab
Target Gateway: Virtual Private Gateway
Customer Gateway: Existing
🔹 Routing
Routing options: Static
🔹 Static IP prefix
192.168.20.0/24
🧠 O que você fez aqui
👉 Você disse para AWS:
“Minha rede local é essa. Para chegar nela, use a VPN.”
✔ Isso define o tráfego do túnel
⚠️ Se errar aqui
- Tunnel sobe
- Mas NÃO trafega
4️⃣ AWS — Tunnel Details (ESSENCIAL)
Após criar, vá em:
👉 Tunnel details
🔹 Exemplo (fictício)
Tunnel 1 Outside IP: 34.210.10.5
Tunnel 2 Outside IP: 18.215.20.8
🧠 Isso é o MAIS importante
👉 Esse IP será usado no ER605 como:
Remote Gateway
5️⃣ AWS — Download configuration
👉 Dentro da VPN:
Selecione a VPN que acabou de criar, após isso clique em Download configuration, selecione as opções abaixo:
- Vendor: Generic
- Platform: Generic
- Software: Vendor Agnostic
- IKE: IKEv1
🧠 Explicação
👉 AWS gera:
- PSK
- Phase 1
- Phase 2
6️⃣ ER605 — Criar VPN IPSec
👉 Caminho:
VPN → IPSec → Add
🔹 Configuração básica
Policy Name: aws-vpn
Mode: LAN-to-LAN
WAN: WAN1
🔹 Remote Gateway
34.210.10.5
🧠 Explicação
👉 Esse é o endpoint da AWS
🔹 Redes
Local
192.168.20.0/24
Remote (Sua rede da AWS - VPC)
10.20.0.0/16
🧠 Explicação
👉 Define QUANDO usar o túnel
🔹 Pre-shared key
👉 Copiar da AWS (Arquivo de Download)
7️⃣ ER605 — Phase 1 (IKE)
IKE Version: IKEv1
Encryption: AES128
Auth: SHA1
DH Group: DH2
Lifetime: 28800
8️⃣ ER605 — Phase 2 (IPSec)
Protocol: ESP
Encryption: AES128
Auth: SHA1
PFS: DH2
Lifetime: 28800
9️⃣ AWS — Ajustar rota (OBRIGATÓRIO)
👉 Route Table da VPC:
192.168.20.0/24 → VGW
🧠 Sem isso
- VPN fica UP
- Mas não passa tráfego
🔟 Firewall (Opcional)
🔹 Permitir tráfego
LAN → AWS
192.168.20.0/24 → 10.20.0.0/16
AWS → LAN
10.20.0.0/16 → 192.168.20.0/24
🔁 Fluxo final
1. AWS sabe seu IP (CGW)
2. AWS cria túnel (VPN)
3. Você pega Outside IP
4. Configura ER605
5. Define redes
6. Ajusta rota AWS
7. Libera firewall
8. Túnel sobe
✅ Resultado esperado
Na AWS:
- Tunnel 1 → UP
- Tunnel 2 → opcional
Top comments (0)