- Netzwerke und Inhaltsbereitstellung›
- AWS VPN›
- Häufig gestellte Fragen
Häufig gestellte Fragen zu AWS VPN
Warum AWS VPN?
AWS VPN besteht aus zwei Services: AWS Site-to-Site VPN und AWS Client VPN. Mit AWS Site-to-Site VPN können Sie Ihr lokales Netzwerk oder Ihre Zweigstelle sicher mit der eigenen Amazon Virtual Private Cloud (Amazon VPC) verbinden. Mit AWS Client VPN lassen sich Benutzer sicher mit AWS- oder lokalen Netzwerken verbinden.
Themen der Seite
Allgemeine FragenAllgemeine Fragen
Was ist ein Client-VPN-Endpunkt?
Der Client-VPN-Endpunkt ist ein regionales Konstrukt, das Sie für die Verwendung des Service konfigurieren. Die VPN-Sitzungen der Endbenutzer enden am Client VPN-Endpunkt. Im Rahmen der Konfiguration des Client VPN-Endpunkts geben Sie die Authentifizierungsdaten, Informationen des Serverzertifikats, die Zuteilung der Client-IP-Adresse, die Protokollierung und VPN-Optionen an.
Was ist ein Zielnetzwerk?
Ein Zielnetzwerk ist ein Netzwerk, das Sie dem Client-VPN-Endpunkt zuordnen, der einen sicheren Zugriff auf Ihre AWS-Ressourcen und den Zugriff auf On-Premises-Ressourcen ermöglicht. Derzeit ist das Zielnetzwerk ein Subnetz in Ihrer Amazon VPC.
Fakturierung
Wie werden zu berechnende VPN-Verbindungsstunden definiert?
VPN-Verbindungsstunden werden für die Zeiten berechnet, zu denen Ihre VPN-Verbindungen verfügbar waren. Sie können den Status einer VPN-Verbindung über die AWS Management Console, die Befehlszeilen-Schnittstelle oder die API ermitteln. Wenn Sie Ihre VPN-Verbindung nicht mehr verwenden möchten, beenden Sie sie einfach, um zu verhindern, dass Ihnen weitere VPN-Verbindungsstunden in Rechnung gestellt werden.
Sind Steuern bereits in den Preisen enthalten?
Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen
Einrichtung und Verwaltung von AWS Site-to-Site VPN
Kann ich die AWS-Managementkonsole zum Steuern und Verwalten von AWS Site-to-Site VPN verwenden?
Ja. Mit der AWS-Managementkonsole können Sie IPSec-VPN-Verbindungen wie AWS Site-to-Site VPN verwalten.
Was sind die standardmäßigen Limits oder Kontingente von Site-to-Site-VPNs?
Genaue Informationen zu Limits und Kontingenten von AWS Site-to-Site VPN finden Sie in unserer Dokumentation.
Anbindung von AWS Site-to-Site VPN
Welche VPN-Verbindungsoptionen sind für meine VPC verfügbar?
Sie können Ihre VPC mithilfe einer Hardware-VPN-Verbindung über das Virtual Private Gateway mit Ihrem Unternehmensrechenzentrum verbinden.
Wie greifen Instances ohne öffentliche IP-Adressen auf das Internet zu?
Instances ohne öffentliche IP-Adressen können auf eine von zwei Arten auf das Internet zugreifen:
Instances ohne öffentliche IP-Adressen können den Datenverkehr über ein NAT-Gateway oder eine NAT-Instance umleiten, um auf das Internet zuzugreifen. Diese Instances verwenden für den Internetzugriff die öffentliche IP-Adresse des NAT-Gateways oder der NAT-Instance. Das NAT-Gateway oder die NAT-Instance ermöglicht die ausgehende Kommunikation, aber nicht, dass Computer im Internet eine Verbindung zu Instances mit privaten Adressen herstellen.
Bei VPCs mit einer Hardware-VPN- oder Direct Connect-Verbindung können Instances ihren Internetdatenverkehr über das Virtual Private Gateway zu Ihrem vorhandenen Rechenzentrum leiten. Von hier kann sie über die vorhandenen Austrittspunkte und Netzwerksicherheits-/-überwachungsgeräte auf das Internet zugreifen.
Wie funktioniert eine Verbindung von AWS Site-to-Site VPN mit Amazon VPC?
Eine AWS Site-to-Site VPN-Verbindung verbindet Ihre VPC mit Ihrem Rechenzentrum. Amazon unterstützt IPsec(Internet Protocol Security)-VPN-Verbindungen. Zwischen Ihrer VPC und dem Rechenzentrum übertragene Daten werden über eine verschlüsselte VPN-Verbindung geleitet, wodurch die Vertraulichkeit und Integrität der übertragenen Daten gewährleistet wird. Zum Einrichten einer Site-to-Site VPN-Verbindung wird kein Internet-Gateway benötigt.
Was ist IPSec?
IPsec ist eine Protokollfamilie zur Sicherung der Internetprotokoll (IP)-Kommunikation durch Authentifizierung und Verschlüsselung jedes IP-Pakets eines Datenstroms.
Welche Kunden-Gateway-Geräte kann ich für die Verbindung mit Amazon VPC verwenden?
Sie können zwei Arten von AWS-Site-to-Site-VPN-Verbindungen erstellen: Verbindungen mit statischem Routing und mit dynamischem Routing. Kunden-Gateway-Geräte, die VPN-Verbindungen mit statischem Routing unterstützt, müssen folgende Aufgaben erfüllen:
Herstellen einer IKE Security Association mit Pre-Shared Keys
Herstellen von IPsec Security Associations im Tunnel-Modus
Nutzen Sie die AES-Verschlüsselungsfunktion mit 128-Bit, 256-Bit, 128-Bit-GCM-16 oder 256-GCM-16
Verwenden Sie die Hashing-Funktion SHA-1, SHA-2 (256), SHA2 (384) oder SHA2 (512)
Verwenden des Diffie-Hellman (DH) Perfect Forward Secrecy im "Gruppe 2“-Modus oder einer der von uns unterstützten DH-Gruppen
Durchführen der Paketfragmentierung vor der Verschlüsselung
Zu den zuvor genannten Fähigkeiten müssen Site-to-Site VPN-Verbindungen mit dynamischem Routing folgende Aufgaben ausführen können:
Herstellen von Border Gateway Protocol(BGP)-Peerings
Binden von Tunnels zu logischen Schnittstellen (routenbasiertes VPN)
Verwenden der Dead Peer Detection für IPsec
Welche Diffie-Hellman-Gruppen unterstützen Sie?
Wir unterstützen die folgenden Diffie-Hellman(DH)-Gruppen in Phase 1 und Phase 2.
Phase 1: DH-Gruppen 2, 14-24.
Phase 2: DH-Gruppen 2, 5, 14-24.
Welche Algorithmen schlägt AWS vor, wenn ein IKE-Rekey benötigt wird?
Standardmäßig wird dann der VPN-Endpunkt auf der AWS-Seite AES-128, SHA-1 und DH-Gruppe 2 vorschlagen. Wenn Sie einen spezifischen Vorschlag für die Neuverschlüsselung wünschen, empfehlen wir Ihnen, die VPN-Tunneloptionen mit "Modify VPN Tunnel Options" auf die von Ihnen benötigten spezifischen VPN-Parameter zu beschränken.
Von welchen Kunden-Gateway-Einheiten ist bekannt, dass sie mit Amazon VPC funktionieren?
Im Netzwerkadministrator-Handbuch finden Sie eine Liste der Geräte, die die oben genannten Anforderungen erfüllen, und von denen bekannt ist, dass sie für hardwaregestützte VPN-Verbindungen verwendet werden können. Die Befehlszeilen-Tools bieten Unterstützung für die automatische Erstellung von Konfigurationsdateien für das jeweilige Gerät.
Wo erhalte ich weitere Informationen zu der Verwendung von Geräten mit Amazon-VPC, wenn sie nicht aufgeführt sind?
Wir empfehlen Ihnen, das Amazon-VPC-Forum zu besuchen, da möglicherweise bereits andere Kunden Ihr Gerät verwenden.
Welcher Durchsatz lässt sich mit einer Site-to-Site-VPN-Verbindung ungefähr maximal erreichen?
Jede AWS-Site-to-Site-VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt einen maximalen Durchsatz von bis zu 1,25 Gb/s. Wenn Ihre VPN-Verbindung zu einem Virtual Private Gateway besteht, würden aggregierte Durchsatzgrenzen gelten.
Gibt es eine aggregierte Durchsatzgrenze für Virtual Private Gateway?
Virtual Private Gateway hat ein Gesamtdurchsatzlimit pro Verbindungstyp. Mehrere VPN-Verbindungen zu demselben Virtual Private Gateway sind durch ein Gesamtdurchsatzlimit von AWS zu den On-Premises von bis zu 1,25 Gbps gebunden. Bei einer AWS Direct Connect-Verbindung auf einem Virtual Private Gateway wird der Durchsatz durch den physischen Direct Connect-Port selbst gebunden. Um eine Verbindung zu mehreren VPCs herzustellen und höhere Durchsatzgrenzen zu erreichen, verwenden Sie AWS Transit Gateway.
Welche Faktoren beeinflussen den Durchsatz meiner VPN-Verbindung?
Der Durchsatz bei VPN-Verbindungen hängt von mehreren Faktoren ab: Fähigkeit des Kunden-Gateways, Kapazität der Internetverbindung, durchschnittliche Paketgröße, verwendetes Protokoll, TCP im Vergleich zu UDP) und Latenz im Netzwerk zwischen dem Kunden-Gateway und dem Virtual Private Gateway.
Was ist das ungefähre Maximum an Paketen pro Sekunde einer Site-to-Site-VPN-Verbindung?
Jede AWS-Site-to-Site-VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt maximal 140 000 Pakete pro Sekunde.
Welche Tools stehen mir zur Verfügung, um Probleme mit meiner Site-to-Site-VPN-Konfiguration zu lösen?
Die DescribeVPNConnection-API zeigt den Status der VPN-Verbindung an. Hierzu zählen auch der Status ("up"/"down") der einzelnen VPN-Tunnel und die entsprechenden Fehlermeldungen, wenn ein Tunnel nicht verfügbar ("down") ist. Diese Information wird auch in der AWS Management Console angezeigt.
Wie verbinde ich eine VPC mit meinem Unternehmensrechenzentrum?
Durch eine Hardware-VPN-Verbindung zwischen Ihrem vorhandenen Netzwerk und Amazon VPC können Sie mit Amazon EC2-Instances in einer VPC so interagieren, als ob Sie sich in Ihrem vorhandenen Netzwerk befinden würden. AWS führt kein Network Address Translation (NAT) bei Amazon-EC2-Instances in einer VPC durch, auf die über eine Hardware-VPN-Verbindung zugegriffen wird.
Kann ich NAT für mein Kunden-Gateway hinter einem Router oder einer Firewall anwenden?
Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.
Welche IP-Adresse muss ich für meine Kunden-Gateway-Adresse verwenden?
Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.
Wie deaktiviere ich NAT-T für meine Verbindung?
Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.
Wie viele IPsec-Sicherheitsverbindungen können pro Tunnel gleichzeitig eingerichtet werden?
Der AWS VPN-Service ist eine routenbasierte Lösung. Daher gelten bei Verwendung einer routenbasierten Konfiguration keine Einschränkungen hinsichtlich der Anzahl der Sicherheitsverbindungen. Wenn Sie jedoch eine richtlinienbasierte Lösung verwenden, ist nur eine Sicherheitsverbindung möglich, da es sich bei dem Service um eine routenbasierte Lösung handelt.
Kann ich den öffentlichen IP-Adressbereich meiner VPC im Internet verbreiten und den Datenverkehr durch mein Rechenzentrum über das Site-to-Site-VPN zu meiner VPC weiterleiten?
Ja, Sie können den Datenverkehr über die VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.
Was ist die maximale Anzahl von Routen, die meine VPN-Verbindung zu meinem Kunden-Gateway-Gerät anzeigen wird?
Ihre VPN-Verbindung wirbt für maximal 1 000 Routen zum Kunden-Gateway-Gerät. Bei VPNs auf einem Virtual Private Gateway umfassen die ausgeschriebenen Routenquellen VPC-Routen, andere VPN-Routen und Routen von virtuellen DX-Schnittstellen. Bei VPNs auf einem AWS Transit Gateway stammen die ausgeschriebenen Routen aus der dem VPN-Anhang zugeordneten Routentabelle. Wenn versucht wird, mehr als 1.000 Routen zu versenden, wird nur eine Teilmenge von 1.000 Routen ausgeschrieben.
Wie viele Routen können maximal für meine VPN-Verbindung von meinem Kunden-Gateway-Gerät aus beworben werden?
Sie können maximal 100 Routen zu Ihrer Site-to-Site-VPN-Verbindung auf einem virtuellen privaten Gateway von Ihrem Kunden-Gateway-Gerät oder maximal 1 000 Routen zu Ihrer Site-to-Site-VPN-Verbindung auf einem AWS Transit Gateway bekannt geben. Bei einer VPN-Verbindung mit statischen Routen können Sie nicht mehr als 100 statische Routen hinzufügen. Bei einer VPN-Verbindung mit BGP wird die BGP-Sitzung zurückgesetzt, wenn Sie versuchen, mehr als das Maximum für den Gateway-Typ zu bewerben.
Unterstützen die VPN-Verbindungen IPv6-Datenverkehr?
Ja. VPN-Verbindungen zu einem AWS Transit Gateway können entweder IPv4- oder IPv6-Verkehr unterstützen, der beim Erstellen einer neuen VPN-Verbindung ausgewählt werden kann. Um IPv6 für den VPN-Verkehr auszuwählen, setzen Sie die VPN-Tunnel-Option für Inside IP Version auf IPv6. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.
Welche Seite des VPN-Tunnels initiiert die IKE-Sitzung (Internet Key Exchange)?
Standardmäßig muss Ihr Kunden-Gateway (CGW) IKE initiieren. Alternativ können die AWS-VPN-Endpunkte durch Aktivierung der entsprechenden Optionen initiiert werden.
Unterstützen VPN-Verbindungen private IP-Adressen?
Ja. Die Funktion private IP-Site-to-Site-VPN erlaubt Ihnen die Bereitstellung von VPN-Verbindungen zu einem AWS Transit Gateway unter Verwendung privater IP-Adressen. Private IP VPN funktioniert über eine virtuelle Transitschnittstelle (VIF) von AWS Direct Connect. Sie können während des Aufbaus einer neuen VPN-Verbindung private IP-Adressen als externe Tunnel-IP-Adressen auswählen. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.
Gibt es Unterschiede zwischen öffentlichen und privaten IP-VPN-Protokollinteraktionen?
Nein, die IPSec-Verschlüsselung und der Schlüsselaustausch funktionieren bei privaten IP-Site-to-Site-VPN-Verbindungen genauso wie bei öffentlichen IP-VPN-Verbindungen.
Benötige ich ein Transit-Gateway für private IP-VPN?
Ja, Sie benötigen ein Transit-Gateway, um private IP-VPN-Verbindungen einzurichten. Außerdem erfordert ein privater IP-VPN-Anhang auf Transit Gateway einen Direct-Connect-Anhang für den Transport. Während Sie eine private IP-VPN-Verbindung zu einem Transit-Gateway konfigurieren, müssen Sie eine Direct-Connect-Anhang-ID angeben. Mehrere private IP-VPN-Verbindungen können den gleichen Direct-Connect-Anhang für den Transport verwenden.
Unterstützen private IP-VPNs statisches Routing und BGP?
Ja, private IP-VPNs unterstützen sowohl statisches Routing als auch dynamisches Routing mit BGP. Wenn Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt, geben Sie bei der Konfiguration Ihrer Site-to-Site-VPN-Verbindung dynamisches Routing an. Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, geben Sie statisches Routing an. Es wird empfohlen, BGP-fähige Geräte zu verwenden, wenn diese verfügbar sind, da das BGP-Protokoll robuste Prüfungen zur Erkennung der Lebensfähigkeit bietet, die den Failover zum zweiten VPN-Tunnel unterstützen können, wenn der erste Tunnel ausfällt.
Wie verhält sich die Transit-Gateway-Routing-Tabellen-Zuordnung und -Propagierung für die privaten IP-VPN-Anhänge?
Die Routing-Tabellen-Zuordnung und das Propagierungsverhalten ist für einen privaten IP-VPN-Anhang das gleiche wie für jeden anderen Transit-Gateway-Anhang. Sie können eine Transit-Gateway-Routing-Tabelle mit dem privaten IP-VPN-Anhang verknüpfen und Routen vom privaten IP-VPN-Anhang an eine der Transit-Gateway-Routing-Tabellen weiterleiten.
Welchen Durchsatz kann ich mit der privaten IP-VPN erreichen?
Genau wie reguläre Site-to-Site-VPN-Verbindungen unterstützt jede private IP-VPN-Verbindung eine Bandbreite von 1,25 Gbit/s. Sie können ECMP (Equal Cost Multi-path) über mehrere private IP-VPN-Verbindungen verwenden, um die effektive Bandbreite zu erhöhen. Um zum Beispiel 10 Gbit/s DX-Verkehr über ein privates IP-VPN zu senden, können Sie 4 private IP-VPN-Verbindungen (4 Verbindungen x 2 Tunnel x 1,25 Gbit/s Bandbreite) mit ECMP zwischen einem Paar aus Transit-Gateway und Kunden-Gateway verwenden.
Kann ich ECMP-Datenverkehr über ein privates IP-VPN und öffentliche IP-VPN-Verbindungen durchführen?
Nein, Sie können keinen ECMP-Datenverkehr über private und öffentliche IP-VPN-Verbindungen durchführen. ECMP für private IP-VPNs funktioniert nur bei VPN-Verbindungen mit privaten IP-Adressen.
Was ist die MTU (Maximum Transmission Unit) der Private IP VPN?
Private IP-VPN-Verbindungen unterstützen eine MTU von 1 500 Byte.
Kann ein privates IP-VPN mit einem anderen Eigentümerkonto als dem des Transit-Gateways verknüpft werden?
Nein, sowohl Transit-Gateway als auch Site-to-Site-VPN-Verbindungen müssen zum selben AWS-Konto gehören.
In welchen AWS-Regionen sind der Service AWS Site-to-Site VPN und das Private IP-VPN-Feature verfügbar?
Der Service AWS Site-to-Site VPN ist in allen kommerziellen Regionen verfügbar, außer in den AWS-Regionen Asien-Pazifik (Peking) und Asien-Pazifik (Ningxia). Die Funktion Private IP-VPN wird in allen AWS-Regionen unterstützt, in denen der AWS-Site-to-Site-VPN-Service verfügbar ist.
AWS Accelerated Site-to-Site VPN
Was spricht für die Verwendung von beschleunigtem Site-to-Site-VPN?
Bei VPN-Verbindungen sind Verfügbarkeit und Leistung nicht konsistent, da der Datenverkehr über mehrere öffentliche Netzwerke im Internet läuft, bevor er den VPN-Endpunkt in AWS erreicht. Diese öffentlichen Netzwerke können überlastet sein. Jeder Hop kann Verfügbarkeits- und Leistungsrisiken mit sich bringen. Accelerated Site-to-Site VPN sorgt durch die Nutzung des hochverfügbaren und überlastungsfreien globalen AWS-Netzwerks für eine konsistentere Benutzererfahrung.
Wie kann ich ein beschleunigtes Site-to-Site-VPN erstellen?
Legen Sie beim Erstellen einer VPN-Verbindung die Option „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ fest.
Wie finde ich heraus, ob meine vorhandene VPN-Verbindung ein beschleunigtes Site-to-Site-VPN ist?
In der Beschreibung Ihrer VPN-Verbindung sollte der Wert für „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ festgelegt sein.
Wie kann ich mein vorhandenes Site-to-Site VPN in ein beschleunigtes Site-to-Site-VPN umwandeln?
Erstellen Sie ein neues beschleunigtes Site-to-Site-VPN, aktualisieren Sie Ihr Kunden-Gateway-Gerät, um eine Verbindung mit dieser neuen VPN-Verbindung herzustellen, und löschen Sie dann Ihre vorhandene VPN-Verbindung. Sie erhalten neue Tunnelendpunkt-Internetprotokoll(IP)-Adressen, da beschleunigte VPNs andere IP-Adressbereiche als nicht beschleunigte VPN-Verbindungen verwenden.
Wird beschleunigtes Site-to-Site-VPN sowohl für das virtuelle Gateway als auch für das AWS Transit Gateway unterstützt?
Nur Transit Gateway unterstützt beschleunigtes Site-to-Site-VPN. Beim Erstellen einer VPN-Verbindung muss ein Transit Gateway angegeben werden. Der VPN-Endpunkt auf der AWS-Seite wird auf dem Transit Gateway erstellt.
Bietet eine beschleunigte Site-to-Site-VPN-Verbindung zwei Tunnel für Hochverfügbarkeit?
Ja, jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit.
Gibt es Protokollunterschiede zwischen beschleunigten und nicht beschleunigten Site-to-Site-VPN-Tunneln?
NAT-T ist erforderlich und für beschleunigte Site-to-Site-VPN-Verbindungen standardmäßig aktiviert. Darüber hinaus unterstützen beschleunigte und nicht beschleunigte VPN-Tunnel die gleichen IP-Sicherheits(IPSec)- und Internet Key Exchange(IKE)-Protokolle und bieten die gleiche Bandbreite, die gleichen Tunnel- und Routingoptionen und die gleichen Authentifizierungstypen.
Bietet beschleunigtes Site-to-Site-VPN zwei Netzwerk-Zones für Hochverfügbarkeit?
Ja, wir wählen globale AWS Global Accelerator-Internetprotokolladressen (IPs) aus unabhängigen Netzwerk-Zones für die beiden Tunnelendpunkte aus.
Ist beschleunigtes Site-to-Site-VPN eine Option in AWS Global Accelerator?
Nein, beschleunigtes Site-to-Site-VPN kann nur über AWS Site-to-Site VPN erstellt werden. Accelerated Site-to-Site VPNs können nicht über die AWS Global Accelerator-Konsole oder -API erstellt werden.
Kann ich beschleunigtes VPN über öffentliche virtuelle AWS-Direct-Connect-Schnittstellen nutzen?
Nein, beschleunigtes Site-to-Site-VPN ist über öffentliche virtuelle Direct-Connect-Schnittstellen nicht verfügbar. In den meisten Fällen gibt es keinen Beschleunigungsvorteil von Accelerated Site-to-Site VPN bei der Verwendung über öffentliches Direct Connect.
In welchen AWS-Regionen ist beschleunigtes Site-to-Site-VPN verfügbar?
Beschleunigtes Site-to-Site-VPN ist derzeit in diesen AWS-Regionen verfügbar: USA West (Oregon), USA West (Nordkalifornien), USA Ost (Ohio), USA Ost (Nordvirginia), Südamerika (Sao Paulo), Naher Osten (Bahrain), Europa (Stockholm), Europa (Paris), Europa (Mailand), Europa (London), Europa (Irland), Europa (Frankfurt), Kanada (Zentral), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Singapur), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai), Asien-Pazifik (Hongkong), Afrika (Kapstadt).
Transparenz und Überwachung mit AWS Site-to-Site VPN
Welche Protokolle werden für AWS Site-to-Site VPN unterstützt?
Site-to-Site-VPN-Verbindungsprotokolle enthalten Details zu IP Security (IPsec) Tunnelaufbauaktivitäten, einschließlich Internet-Key-Exchange-Verhandlungen (IKE) und Dead-Peer-Detection-Protokollnachrichten (DPD). Diese Protokolle werden regelmäßig in 5-Minuten-Intervallen exportiert und nach bestem Bemühen an die CloudWatch-Protokolle geliefert.
Werden Site-to-Site-VPN-Protokolle für VPN-Verbindungen sowohl zu Transit Gateways als auch zu virtuellen Gateways angeboten?
Ja, Sie können Site-to-Site-VPN-Protokolle sowohl für Transit-Gateway- als auch für Virtual-Gateway-basierte VPN-Verbindungen aktivieren.
Kann ich die Site-to-Site-VPN-Protokolle für meine bestehenden VPN-Verbindungen aktivieren?
Ja, Sie können die Site-to-Site-VPN-Protokolle über die Tunneloptionen aktivieren, wenn Sie Ihre Verbindung erstellen oder ändern.
Was passiert, wenn ich Site-to-Site-VPN-Protokolle für meine bestehenden VPN-Verbindungen aktiviere?
Wenn Sie Site-to-Site-VPN-Protokolle für eine bestehende VPN-Verbindung aktivieren, indem Sie die Optionen zum Ändern des Tunnels verwenden, wird Ihre Verbindung über den Tunnel für bis zu mehrere Minuten unterbrochen. Jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit. Sie können die Protokollierung jeweils für einen Tunnel aktivieren und nur der geänderte Tunnel ist davon betroffen. Weitere Informationen finden Sie unter Ersetzen von Site-to-Site VPN-Tunnelendpunkten im Benutzerhandbuch für AWS Site-to-Site VPN.
Einrichtung und Verwaltung von AWS Client VPN
Wie richte ich AWS Client VPN ein?
Der IT-Administrator erstellt einen Client-VPN-Endpunkt, ordnet diesem Endpunkt ein Zielnetzwerk zu und richtet die Zugriffsrichtlinien für die Endbenutzerkonnektivität ein. Der IT-Administrator verteilt die Client VPN-Konfigurationsdatei an die Endbenutzer. Endbenutzer müssen einen OpenVPN-Client herunterladen und die Client VPN-Konfigurationsdatei verwenden, um ihre VPN-Sitzung zu erstellen.
Welche Schritte umfasst die Einrichtung einer Verbindung für Endbenutzer?
Endbenutzer müssen einen OpenVPN-Client auf ihr Gerät herunterladen. Anschließend importiert der Benutzer die AWS Client VPN-Konfigurationsdatei in den OpenVPN-Client und initiiert eine VPN-Verbindung.
Anbindung von AWS Client VPN
Wie aktiviere ich die Konnektivität zu anderen Netzwerken?
Sie können die Konnektivität zu anderen Netzwerken wie über Peering verbundene Amazon VPCs, On-Premises Netzwerke über ein virtuelles Gateway oder AWS-Services wie S3 über Endpunkte, Netzwerke über AWS PrivateLink oder andere Ressourcen über ein Internet-Gateway aktivieren. Zum Aktivieren der Konnektivität fügen Sie in der Routentabelle des Client VPN eine Route zum jeweiligen Netzwerk hinzu und fügen dann eine Berechtigungsregel hinzu, die den Zugriff auf das jeweilige Netzwerk ermöglicht.
Kann der Client-VPN-Endpunkt zu einem anderen Konto gehören als das zugehörige Subnetz?
Nein, das zugeordnete Subnetz muss sich im gleichen Konto wie der Client-VPN-Endpunkt befinden.
Kann ich über eine private IP-Adresse auf Ressourcen in einer VPC zugreifen, die sich in einer anderen Region befindet, als die TLS-Sitzung, die ich einrichte?
Dies ist durch Ausführung der folgenden beiden Schritten möglich: Richten Sie zunächst eine überregionale Peering-Verbindung zwischen Ihrer Ziel-VPC (in der anderen Region) und der mit dem Client VPN verbundenen VPC ein. Zweitens müssen Sie im Client VPN-Endpunkt eine Route und Zugriffsregel für die Ziel-VPC hinzufügen. Ihre Benutzer können nun auf die Ressourcen in der Ziel-VPC zugreifen, die sich in einer anderen Region als Ihr Client VPN-Endpunkt befindet.
Welche Transportprotokolle werden von Client VPN unterstützt?
Sie können entweder TCP oder UDP für die VPN-Sitzung wählen.
Unterstützt AWS Client VPN geteilte Tunnel?
Ja. Sie können einen Endpunkt mit aktiviertem oder deaktiviertem Split-Tunnel erstellen. Wenn Sie zuvor einen Endpunkt mit deaktiviertem Split-Tunnel erstellt haben, können Sie ihn ändern, um den Split-Tunnel zu aktivieren. Wenn der geteilte Tunnel aktiviert ist, wird der Verkehr, der für auf dem Endpunkt konfigurierte Routen bestimmt ist, über den VPN-Tunnel weitergeleitet. Der gesamte andere Datenverkehr wird über Ihre lokale Netzwerkschnittstelle weitergeleitet. Wenn der geteilte Tunnel deaktiviert ist, wird der gesamte Datenverkehr vom Gerät durch den VPN-Tunnel geleitet.
Authentifizierung und Autorisierung mit AWS Client VPN
Welche Authentifizierungsmechanismen unterstützt AWS Client VPN?
AWS Client VPN unterstützt die Authentifizierung mit Active Directory über AWS Directory Services, zertifikatsbasierte Authentifizierung und Verbundauthentifizierung über SAML-2.0.
Kann ich einen On-Premises-Active Directory-Service zur Authentifizierung von Benutzern verwenden?
Ja. AWS Client VPN lässt sich in AWS Directory Service integrieren, sodass das Herstellen einer Verbindung mit einer lokalen Active Directory-Instanz möglich ist.
Unterstützt AWS Client VPN die gegenseitige Authentifizierung?
Ja, AWS Client VPN unterstützt die gegenseitige Authentifizierung. Wenn die gegenseitige Authentifizierung aktiviert ist, muss der Kunde das Stammzertifikat hochladen, das zur Ausstellung des Clientzertifikats auf dem Server verwendet wird.
Kann ich Client-Zertifikate auf die Blacklist setzen?
Ja, AWS Client VPN unterstützt eine statisch konfigurierte Zertifikatsperrliste (Certificate Revocation List, CRL).
Unterstützt AWS Client VPN die Möglichkeit für einen Kunden, sein eigenes Zertifikat zu verwenden?
Ja. Sie müssen das Zertifikat, das Stammzertifikat der Zertifizierungsstelle (Certification Authority, CA) und den privaten Schlüssel des Servers hochladen. Diese werden in AWS Certificate Manager hochgeladen.
Lässt sich AWS Client VPN mit AWS Certificate Manager (ACM) integrieren, um Serverzertifikate zu generieren?
Ja. Sie können ACM als untergeordnete Zertifizierungsstelle verwenden, die mit einer externen Stammzertifizierungsstelle verkettet ist. ACM generiert dann das Serverzertifikat. In diesem Szenario übernimmt der ACM auch die Rotation des Serverzertifikats.
Unterstützt AWS Client VPN die Statusbewertung?
Nein. AWS Client VPN unterstützt keine Statusbewertung. Andere AWS-Services, z. B. Amazon Inspectors, unterstützen die Statusbewertung.
Unterstützt AWS Client VPN Multi-Faktor-Authentifizierung (MFA)?
Ja, AWS Client VPN unterstützt MFA über Active Directory unter Verwendung von AWS Directory Services und über externe Identitätsanbieter (z. B. Okta).
Wie unterstützt AWS Client VPN die Autorisierung?
Sie konfigurieren Berechtigungsregeln, die die Benutzer einschränken, die auf ein Netzwerk zugreifen können. Für ein angegebenes Zielnetzwerk können Sie die Active Directory-Gruppe/Identity Provider-Gruppe konfigurieren, der der Zugriff gestattet ist. Nur Benutzer, die zu dieser Active Directory-Gruppe/Identity Provider-Gruppe gehören, können auf das angegebene Netzwerk zugreifen.
Unterstützt AWS Client VPN Sicherheitsgruppen?
Client VPN unterstützt Sicherheitsgruppen. Sie können eine Sicherheitsgruppe für die Gruppe der Zuordnungen angeben. Wenn ein Subnetz zugeordnet ist, wenden wir automatisch die Standard-Sicherheitsgruppe der VPC des Subnetzes an.
Wie verwende ich die Sicherheitsgruppe, um den Zugriff auf meine Anwendungen auf Client-VPN-Verbindungen zu beschränken?
Für Ihre Anwendung können Sie festlegen, dass der Zugriff nur von den Sicherheitsgruppen gewährt wird, die auf das zugehörige Subnetz angewendet wurden. Jetzt beschränken Sie den Zugriff auf Benutzer, die über Client VPN verbunden sind.
Kann ich bei der Verbundauthentifizierung das IDP-Metadatendokument ändern?
Ja, Sie können ein neues Metadatendokument in den IAM-Identitätsanbieter hochladen, der dem Client-VPN-Endpunkt zugeordnet ist. Aktualisierte Metadaten werden in 2 bis 4 Stunden wiedergegeben.
Kann ich einen OpenVPN-Client eines Drittanbieters verwenden, um eine Verbindung zu einem Client-VPN-Endpunkt herzustellen, der mit Verbundauthentifizierung konfiguriert ist?
Nein, Sie müssen den Software-Client von AWS Client VPN verwenden, um eine Verbindung mit dem Endpunkt herzustellen.
Transparenz und Überwachung mit AWS Client VPN
Welche Protokolle werden für AWS Client VPN unterstützt?
Client-VPN exportiert das Verbindungsprotokoll bestmöglich in CloudWatch-Protokolle. Diese Protokolle werden regelmäßig im Abstand von 15 Minuten exportiert. Die Verbindungsprotokolle enthalten Details zu erstellten und abgebrochenen Verbindungsanforderungen.
Unterstützt Client VPN Amazon-VPC-Flow-Protokolle im Endpunkt?
Nein. Sie können Amazon-VPC-Flow-Protokolle in der zugehörigen VPC verwenden.
Kann ich aktive Verbindungen überwachen?
Ja, über die CLI oder Konsole können Sie die aktuellen aktiven Verbindungen für einen Endpunkt anzeigen und aktive Verbindungen beenden.
Kann ich mit CloudWatch nach Endpunkten überwachen?
Ja. Mit der CloudWatch-Überwachung können Sie für jeden Client VPN-Endpunkt die ein- und ausgehenden Bytes sowie aktive Verbindungen sehen.
VPN-Clients
Wie stelle ich den kostenlosen Software-Client für AWS Client VPN bereit?
Der Software-Client für AWS Client VPN ist mit bestehenden AWS-Client-VPN-Konfigurationen kompatibel. Der Client unterstützt das Hinzufügen von Profilen mit Hilfe der OpenVPN-Konfigurationsdatei, die vom AWS-Client-VPN-Dienst generiert wird. Sobald das Profil erstellt ist, stellt der Client eine Verbindung zu Ihrem Endpunkt basierend auf Ihren Einstellungen her.
Wie hoch ist der zusätzliche Preis für die Nutzung des Software-Clients von AWS Client VPN?
Der Software-Client wird kostenlos zur Verfügung gestellt. Ihnen wird nur die Nutzung des AWS Client VPN-Dienstes in Rechnung gestellt.
Welche Gerätetypen und Betriebssystem-Versionen werden unterstützt?
Der Desktop-Client unterstützt aktuell Geräte mit 64-Bit Windows 10, macOS (Mojave, Catalina und Big Sur) und Ubuntu Linux (18.04 und 20.04).
Werden meine Verbindungsprofile zwischen all meinen Geräten synchronisiert?
Nein, aber IT-Administratoren können Konfigurationsdateien für ihre Software-Client-Bereitstellung zur Vorkonfiguration von Einstellungen bereitstellen.
Benötige ich auf meinem Gerät eine Admin-Berechtigung, um den Software-Client von AWS Client VPN auszuführen?
Ja. Sie benötigen Admin-Zugang, um die Anwendung sowohl unter Windows als auch unter Mac zu installieren. Danach ist kein Admin-Zugang mehr erforderlich.
Welches VPN-Protokoll wird vom Client von AWS Client VPN verwendet?
AWS Client VPN, einschließlich des Software-Clients, unterstützt das OpenVPN-Protokoll.
Werden alle vom AWS-Client-VPN-Service unterstützten Features durch den Software-Client unterstützt?
Ja. Der Client unterstützt alle Funktionen, die der AWS Client VPN-Dienst bietet.
Ermöglicht der Software-Client von AWS Client VPN den LAN-Zugriff, wenn eine Verbindung besteht?
Ja, Sie können auf Ihr lokales Netzwerk zugreifen, wenn Sie mit AWS VPN Client verbunden sind.
Welche Authentifizierungsfunktionen unterstützt der Software-Client?
Der Software-Client AWS Client VPN unterstützt alle vom AWS-Client-VPN-Service angebotenen Authentifizierungsmechanismen – Authentifizierung mit Active Directory über AWS Directory Services, zertifikatsbasierte Authentifizierung und Verbundauthentifizierung über SAML-2.0.
Welche Art der Client-Protokollierung wird von AWS Client VPN unterstützt?
Wenn ein Benutzer versucht, eine Verbindung herzustellen, werden die Details des Verbindungsaufbaus protokolliert. Verbindungsversuche werden bis zu 30 Tage mit einer maximalen Dateigröße von 90 MB gespeichert.
Kann ich den Software-Client von AWS Client VPN und standardbasierten OpenVPN-Clients, die sich mit dem AWS-Client-VPN-Endpunkt verbinden, mischen?
Ja, vorausgesetzt, dass der auf dem AWS-Client-VPN-Endpunkt definierte Authentifizierungstyp vom standardbasierten OpenVPN-Client unterstützt wird.
Wo kann ich den Software-Client von AWS Client VPN herunterladen?
Sie können den generischen Client ohne jegliche Anpassungen von der Produktseite für AWS Client VPN herunterladen. IT-Administratoren können sich dafür entscheiden, den Download in ihrem eigenen System zu hosten.
Kann ich mehrere Arten von VPN-Clients auf einem Gerät ausführen?
Wir raten davon ab, mehrere VPN-Clients auf einem Gerät auszuführen. Dies kann zu Konflikten führen oder die VPN-Clients können sich gegenseitig stören und zu erfolglosen Verbindungen führen. Das AWS-Client-VPN kann jedoch neben einem anderen VPN-Client installiert werden.
Virtual Private Gateway
Was ist das für ein Feature?
Für alle neuen virtuellen Gateways ermöglicht die konfigurierbare private autonome Systemnummer (ASN) es den Kunden, die ASN auf der Amazon-Seite der BGP-Sitzung für VPNs und private VIFs für AWS Direct Connect festzulegen.
Was kostet dieses Feature?
Für diese Funktion fallen keine zusätzlichen Gebühren an.
Wie kann ich meine ASN konfigurieren bzw. zuweisen, damit sie auf Amazon-Seite als ASN angezeigt wird?
Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können über die VPC-Konsole oder einen EC2/CreateVpnGateway API-Aufruf ein virtuelles Gateway erstellen.
Welche ASN hat Amazon vor diesem Feature verwendet?
Amazon hat die folgenden ASNs zugewiesen: EU West (Dublin) 9059; Asien-Pazifik (Singapur) 17493 und Asien-Pazifik (Tokio) 10124. Allen weiteren Regionen wurde die ASN 7224 zugewiesen; diese ASNs werden als „vorhandene öffentliche ASN“ der Region bezeichnet.
Kann ich jede ASN verwenden – öffentlich und privat?
Sie können der Amazon-Seite jede private ASN zuweisen. Sie können die "vorhandene öffentliche ASN" der Region bis zum 30. Juni 2018 zuweisen; die Zuweisung einer anderen öffentlichen ASN ist nicht möglich. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.
Warum kann ich der Amazon-Seite der BGP-Sitzung keine öffentliche ASN zuweisen?
Die Eigentumsverhältnisse der ASNs werden von Amazon nicht validiert; aus diesem Grund ist die ASN auf Amazon-Seite auf private ASNs begrenzt. Wir möchten die Kunden vor BGP-Spoofing schützen.
Welche ASN kann ich wählen?
Sie können jede beliebige private ASN wählen. Die privaten 16-Bit-ASNs reichen von 64512 bis 65534. Zusätzlich können Sie auch 32-Bit-ASNs zwischen 4200000000 und 4294967294 bereitstellen.
Amazon stellt eine Standard-ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.
Was passiert, wenn ich versuche, eine öffentliche ASN für die Amazon-Hälfte der BGP-Sitzung zuweisen?
In diesem Fall fordern wir Sie auf, eine ASN einzugeben, wenn Sie versuchen, das virtuelle Gateway zu erstellen, wenn es sich nicht um die „vorhandene öffentliche ASN“ der Region handelt.
Welche ASN weist Amazon mir voraussichtlich zu, wenn ich keine ASN für die Amazon-Seite der BGP-Sitzung bereitstelle?
Amazon stellt eine ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.
Wo kann ich die ASN auf Amazon-Seite anzeigen?
Sie können die ASN auf Amazon-Seite auf der Seite des virtuellen Gateways der VPC-Konsole und in der Antwort der EC2/DescribeVpnGateways-API anzeigen.
Wenn ich eine öffentliche ASN verwendet, funktioniert diese mit einer privaten ASN auf der AWS-Seite?
Ja, Sie können die Amazon-Seite der BGP-Sitzung mit einer privaten ASN und Ihre Seite mit einer öffentlichen ASN konfigurieren.
Ich habe bereits private VIFs konfiguriert und möchte eine andere ASN auf Amazon-Seite für die BGP-Sitzung auf einer vorhandenen VIF festlegen. Wie kann ich diese Änderung durchführen?
Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und eine neue VIF mit dem neu erstellten virtuellen Gateway einrichten. Ihre Gerätekonfiguration muss auch entsprechend geändert werden.
Ich habe bereits VPN-Verbindungen konfiguriert und möchte die ASN auf Amazon-Seite für die BGP-Sitzungen dieser VPNs ändern. Wie kann ich diese Änderung durchführen?
Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und Ihre VPN-Verbindungen zwischen Ihren Kunden-Gateways und dem neu erstellten virtuellen Gateway neu einrichten.
Ich verfüge bereits über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für das neue private virtuelle Gateway automatisch generiert, welche ASN auf Amazon-Seite wird zugewiesen?
Amazon weist die ASN 64512 auf Amazon-Seite für das neue virtuelle Gateway zu.
Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN konfiguriert wurde. Ich möchte dieselbe von Amazon zugewiesene öffentliche ASN für die neue private VIF/VPN-Verbindung nutzen, die ich gerade erstelle. Wie mache ich das?
Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können das virtuelle Gateway über die Konsole oder einen EC2/CreateVpnGateway API-Aufruf erstellen. Wie bereits angekündigt, stellt Amazon bis zum 30. Juni 2018 die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.
Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit der von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für die neue private VIF/VPN-Verbindung mit demselben virtuellen Gateway automatisch generiert, welche ASN wird mir dann auf Amazon-Seite zugewiesen?
Amazon weist die ASN 7224 als ASN auf Amazon-Seite für die neue VIF/VPN-Verbindung zu. Die ASN auf Amazon-Seite für Ihre neue private VIF/VPN-Verbindung wird von Ihrem vorhandenen virtuellen Gateway übernommen und standardmäßig auf diese ASN festgelegt.
Ich füge mehrere private VIFs an ein einzelnes virtuelles Gateway an. Kann jede VIF eine separate ASN auf Amazon-Seite erhalten?
Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede virtuelle Schnittstelle (VIF) verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VIF wird von der ASN auf Amazon-Seite des angehängten virtuellen Gateways übernommen.
Ich bin dabei, mehrere VPN-Verbindungen mit einem einzelnen virtuellen Gateway zu erstellen. Kann jede VPN-Verbindung über eine eigene ASN auf Amazon-Seite verfügen?
Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede VPN-Verbindung verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VPN-Verbindung wird von der ASN auf Amazon-Seite des virtuellen Gateways übernommen.
Wo kann ich meine eigene ASN auswählen?
Deaktivieren Sie bei der Erstellung eines virtuellen Gateways in der VPC-Konsole die Option, bei der Sie gefragt werden, ob Sie eine automatisch generierte Amazon-BGP-ASN wünschten, und geben Sie Ihre eigene private ASN für die Amazon-Seite der BGP-Sitzung an. Sobald das virtuelle Gateway mit der ASN auf Amazon-Seite konfiguriert wurde, verwenden die privaten VIFs oder VPN-Verbindungen, die mit dem virtuellen Gateway erstellt wurden, Ihre ASN auf Amazon-Seite.
Ich verwende CloudHub. Muss ich meine Konfigurationen in Zukunft anpassen?
Sie müssen keinerlei Änderungen vornehmen.
Ich möchte gerne eine 32-Bit-ASN auswählen. Welchen Bereich umfassen die privaten 32-Bit-ASNs?
Wir unterstützen 32-Bit-ASNs im Bereich 4200000000 bis 4294967294.
Kann ich nach der Erstellung des virtuellen Gateways die ASN auf Amazon-Seite ändern oder modifizieren?
Nein, nach der Erstellung können Sie die ASN auf Amazon-Seite nicht mehr modifizieren. Sie können das virtuelle Gateway löschen und ein neues virtuelles Gateway mit der gewünschten ASN erstellen.
Gibt es eine neue API zum Konfigurieren/Zuweisen der ASN auf Amazon-Seite?
Nein. Sie können diesen Vorgang mit derselben API wie zuvor durchführen (EC2/CreateVpnGateway). Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.
Gibt es eine neue API zum Anzeigen der ASN auf Amazon-Seite?
Nein. Sie können die ASN auf Amazon-Seite mit derselben EC2/DescribeVpnGateways-API anzeigen. Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.
Welche ASNs kann ich zur Konfiguration meines Kunden-Gateway (CGW) verwenden?
ASN im Bereich 1 – 2147483647 mit den angegebenen Ausnahmen können verwendet werden. Bitte lesen Sie den Abschnitt Kunden-Gateway-Optionen für Ihre AWS-Site-to-Site-VPN-Verbindung im AWS-VPN-Benutzerhandbuch.
Ich möchte 32-Bit-ASN für mein Kunden-Gateway verwenden. Wird 32-Bit ASN für den privaten Bereich unterstützt?
Ja. Bitte beachten Sie, dass private ASN im Bereich von (4200000000 bis 4294967294) derzeit NICHT für die Kunden-Gateway-Konfiguration unterstützt wird. Bitte lesen Sie den Abschnitt Kunden-Gateway-Optionen für Ihre AWS-Site-to-Site-VPN-Verbindung im AWS-VPN-Benutzerhandbuch.