AWS在提供公开VPN服务的VPC中提供了一个简洁的function。 我configuration了这个,并确认它的function。
我们的客户正在使用Cisco 5500系列ASA设备连接到AWS VPN服务。 AWS提供的FAQ描述了阶段1和阶段2支持以下Diffie-Hellman组:
问:你支持哪些Diffie-Hellman组?
我们在阶段1和阶段2中支持以下Diffie-Hellman(DH)组。
- 使用具有负载平衡器的弹性Beanstalk设置HTTPS的步骤
- 是否有可能从SequelPro连接到一个非公开的RDS实例?
- 在Amazon提供的ECS CloudFormation模板中,自动调节运行状况运行状况检查失败。
- 使用aws cli列出附加到实例列表的所有卷
- 在Amazon AWS EC2实例上使用红帽软件集合的正确方法是什么?
Phase1 DH组2,14-18,22,23,24
Phase2 DH组1,2,5,14-18,22,23,24
取自http://aws.amazon.com/vpc/faqs/
AWS为Cisco 5500 ASA设备提供示例configuration( http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html )。 我可以证实,这确实build立了一个隧道。
但是,提供的configuration示例似乎正在使用DH组2,用于隧道build立的阶段1和阶段2,并且也使用IKEv1而不是IKEv2。
针对5500 ASA设备的9.1.x固件的Cisco发行说明build议避免使用组1和组2,实际上其他来源也build议应避免使用组5(AWS VPC不支持组1在阶段1中,所以这是相当有趣的)。
在configurationIKEv2时,出于安全原因,您应该使用组21,20,19,24,14和5.我们不推荐Diffie Hellman Group1或Group2。 例如,使用
encryptionikev2政策10
小组21 20 19 24 14 5
取自适用于iOS版本9.1x的Cisco ASA发行说明
AWS不提供最佳实践configuration,而他们的例子是“十个启动器”。 我build议对AWS示例configuration进行以下更新,但希望能够相信在将其提供给我们的客户之前,这将实现我认为达到的目标。
Ln 48 – 54改为:
crypto ikev2 policy 10 encryption aes256 authentication pre-share group 24 lifetime 28800 hash sha256 exit 而Ln 117改为:
crypto map <amzn_vpn_map> 1 set pfs group24
实际上在这个空间上的任何地方似乎都有一个这样的configuration的干扰,所以希望这个信息在一个瓶子里漂移到一个知道的人的海岸线上!