Häufig gestellte Fragen zu AWS VPN

F: Wie werden zu berechnende VPN-Verbindungsstunden definiert?

A: VPN-Verbindungsstunden werden für die Zeiten berechnet, zu denen Ihre VPN-Verbindungen verfügbar waren. Sie können den Status einer VPN-Verbindung über die AWS-Managementkonsole, die Befehlszeilenschnittstelle oder die API ermitteln. Wenn Sie Ihre VPN-Verbindung nicht mehr verwenden möchten, beenden Sie sie einfach, um zu verhindern, dass Ihnen weitere VPN-Verbindungsstunden in Rechnung gestellt werden.

F: Sind Steuern bereits in den Preisen enthalten?

A: Sofern nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen

F: Welche VPN-Anbindungsoptionen sind für meine VPC verfügbar?

A: Sie können Ihre VPC mithilfe einer Hardware-VPN-Verbindung (über das Virtual Private Gateway) mit Ihrem Unternehmensrechenzentrum verbinden.

F: Wie greifen Instances ohne öffentliche IP-Adressen auf das Internet zu?

A: Instances ohne öffentliche IP-Adressen können auf eine von zwei Arten auf das Internet zugreifen:

Instances ohne öffentliche IP-Adressen können den Datenverkehr über ein NAT-Gateway oder eine NAT-Instance umleiten, um auf das Internet zuzugreifen. Diese Instances verwenden für den Internetzugriff die öffentliche IP-Adresse des NAT-Gateways oder der NAT-Instance. Das NAT-Gateway oder die NAT-Instance ermöglicht die ausgehende Kommunikation, aber nicht, dass Computer im Internet eine Verbindung zu Instances mit privaten Adressen herstellen.

Bei VPCs mit einer Hardware-VPN- oder Direct Connect-Verbindung können Instances ihren Internetdatenverkehr über das Virtual Private Gateway zu Ihrem vorhandenen Rechenzentrum leiten. Von hier ist über die vorhandenen Austrittspunkte und Netzwerksicherheits-/Netzwerküberwachungsgeräte der Zugriff auf das Internet möglich.

Wie funktioniert eine AWS Site-to-Site VPN-Verbindung mit Amazon VPC?

A: Eine AWS Site-to-Site VPN-Verbindung verbindet Ihre VPC mit Ihrem Rechenzentrum. Amazon unterstützt IPsec(Internet Protocol Security)-VPN-Verbindungen. Zwischen Ihrer VPC und dem Rechenzentrum übertragene Daten werden über eine verschlüsselte VPN-Verbindung geleitet, wodurch die Vertraulichkeit und Integrität der übertragenen Daten gewährleistet wird. Zum Einrichten einer Site-to-Site VPN-Verbindung wird kein Internet-Gateway benötigt.

F: Was ist IPsec?

A: IPsec ist eine Protokollsuite zur Sicherung der Internetprotokoll-Kommunikation (IP) durch Authentifizierung und Verschlüsselung jedes IP-Pakets eines Datenstroms.

F: Welche Kunden-Gateway-Geräte kann ich für die Verbindung mit Amazon VPC verwenden?

A: Sie können zwei Arten von AWS Site-to-Site VPN-Verbindungen erstellen: Verbindungen mit statischem Routing und mit dynamischem Routing. Kunden-Gateway-Geräte, die VPN-Verbindungen mit statischem Routing unterstützen, müssen folgende Aufgaben ausführen können:

Herstellen einer IKE Security Association mit Pre-Shared Keys

Herstellen von IPsec Security Associations im Tunnel-Modus

Nutzen Sie die AES-Verschlüsselungsfunktion mit 128-Bit, 256-Bit, 128-Bit-GCM-16 oder 256-GCM-16

Verwenden Sie die Hashing-Funktion SHA-1, SHA-2 (256), SHA2 (384) oder SHA2 (512)

Verwenden des Diffie-Hellman (DH) Perfect Forward Secrecy im „Gruppe 2“-Modus oder einer der von uns unterstützten DH-Gruppen

Durchführen der Paketfragmentierung vor der Verschlüsselung

Zu den zuvor genannten Fähigkeiten müssen Site-to-Site VPN-Verbindungen mit dynamischem Routing folgende Aufgaben ausführen können:

Herstellen von Border Gateway Protocol(BGP)-Peerings

Binden von Tunneln an logische Schnittstellen (routenbasiertes VPN)

Verwenden der Dead Peer Detection für IPsec

F: Welche Diffie-Hellman-Gruppen werden unterstützt?

A: Wir unterstützen die folgenden Diffie-Hellman(DH)-Gruppen in Phase 1 und Phase 2.

Phase 1: DH-Gruppen 2, 14-24.

Phase 2: DH-Gruppen 2, 5, 14-24.

F: Welche Algorithmen schlägt AWS vor, wenn ein IKE-Rekey benötigt wird?

A: Standardmäßig wird dann der VPN-Endpunkt auf der AWS-Seite AES-128, SHA-1 und DH-Gruppe 2 vorschlagen. Wenn Sie einen spezifischen Vorschlag für die Neuverschlüsselung wünschen, empfehlen wir Ihnen, die VPN-Tunneloptionen mit "Modify VPN Tunnel Options" auf die von Ihnen benötigten spezifischen VPN-Parameter zu beschränken.

F: Von welchen Kunden-Gateway-Geräte ist bekannt, dass sie mit Amazon VPC funktionieren?

A: Im Netzwerkadministrator-Handbuch finden Sie eine Liste der Geräte, die die oben genannten Anforderungen erfüllen, und von denen bekannt ist, dass sie für hardwaregestützte VPN-Verbindungen verwendet werden können. Die Befehlszeilen-Tools bieten Unterstützung für die automatische Erstellung von Konfigurationsdateien für das jeweilige Gerät.

F: Wo erhalte ich weitere Informationen zur Verwendung von Geräten mit Amazon VPC, wenn sie nicht aufgeführt sind?

A: Wir empfehlen, sich im Amazon-VPC-Forum mit anderen Kunden über deren Erfahrungen mit Ihrem Gerät auszutauschen.

F. Welcher Durchsatz lässt sich mit einer Site-to-Site VPN-Verbindung ungefähr maximal erreichen?

A: Jede AWS Site-to-Site VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt einen maximalen Durchsatz von bis zu 1,25 Gbps. Wenn Ihre VPN-Verbindung zu einem Virtual Private Gateway besteht, würden aggregierte Durchsatzgrenzen gelten.

F: Gibt es eine aggregierte Durchsatzgrenze für Virtual Private Gateway?

A: Virtual Private Gateway hat ein Gesamtdurchsatzlimit pro Verbindungstyp. Mehrere VPN-Verbindungen zu demselben Virtual Private Gateway sind durch ein Gesamtdurchsatzlimit von AWS zu den On-Premises von bis zu 1,25 Gbps gebunden. Bei einer AWS Direct Connect-Verbindung auf einem Virtual Private Gateway wird der Durchsatz durch den physischen Direct Connect-Port selbst gebunden. Um eine Verbindung zu mehreren VPCs herzustellen und höhere Durchsatzgrenzen zu erreichen, verwenden Sie AWS Transit Gateway.

F. Welche Faktoren beeinflussen den Durchsatz meiner VPN-Verbindung?

A: Der Durchsatz bei VPN-Verbindungen hängt von mehreren Faktoren ab: Fähigkeiten des Kunden-Gateways, Kapazität der Internetverbindung, durchschnittliche Paketgröße, verwendetes Protokoll (TCP oder UDP) und Latenz im Netzwerk zwischen dem Kunden-Gateway und dem Virtual Private Gateway.

F: Was ist das ungefähre Maximum an Paketen pro Sekunde einer Site-to-Site VPN-Verbindung?

A: Jede AWS Site-to-Site VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt maximal 140.000 Pakete pro Sekunde.  

F: Welche Tools stehen mir zur Verfügung, um Probleme mit meiner Site-to-Site VPN-Konfiguration zu lösen?

A: Die DescribeVPNConnection-API zeigt den Status der VPN-Verbindung an. Hierzu zählen auch der Status („up“/„down“) der einzelnen VPN-Tunnel und die entsprechenden Fehlermeldungen, wenn ein Tunnel nicht verfügbar („down“) ist. Diese Information wird auch in der AWS-Managementkonsole angezeigt.

F: Wie verbinde ich eine VPC mit meinem Unternehmensrechenzentrum?

A: Durch eine Hardware-VPN-Verbindung zwischen Ihrem vorhandenen Netzwerk und Amazon VPC können Sie mit Amazon EC2-Instances in einer VPC so interagieren, als ob Sie sich in Ihrem vorhandenen Netzwerk befinden würden. AWS führt kein Network Address Translation (NAT) bei Amazon-EC2-Instances in einer VPC durch, auf die über eine Hardware-VPN-Verbindung zugegriffen wird.

F: Kann ich NAT für mein Kunden-Gateway hinter einem Router oder einer Firewall anwenden?

A: Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

F: Welche IP-Adresse muss ich für meine Kunden-Gateway-Adresse verwenden?

A: Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

F: Wie deaktiviere ich NAT-T für meine Verbindung?

A: Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP-Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.

F: Wie viele IPsec-Sicherheitsverbindungen können pro Tunnel gleichzeitig eingerichtet werden?

A: Der AWS VPN-Service ist eine routenbasierte Lösung. Daher gelten bei Verwendung einer routenbasierten Konfiguration keine Einschränkungen hinsichtlich der Anzahl der Sicherheitsverbindungen. Wenn Sie jedoch eine richtlinienbasierte Lösung verwenden, ist nur eine Sicherheitsverbindung möglich, da es sich bei dem Service um eine routenbasierte Lösung handelt.

F: Kann ich den öffentlichen IP-Adressbereich meiner VPC im Internet verbreiten und den Datenverkehr durch mein Rechenzentrum über das Site-to-Site VPN zu meiner VPC weiterleiten?

A: Ja, Sie können den Datenverkehr über die VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.

F: Was ist die maximale Anzahl von Routen, die meine VPN-Verbindung zu meinem Kunden-Gateway-Gerät anzeigen wird?

A: Ihre VPN-Verbindung wirbt für maximal 1.000 Routen zum Kunden-Gateway-Gerät. Bei VPNs auf einem Virtual Private Gateway umfassen die ausgeschriebenen Routenquellen VPC-Routen, andere VPN-Routen und Routen von virtuellen DX-Schnittstellen. Bei VPNs auf einem AWS Transit Gateway stammen die ausgeschriebenen Routen aus der dem VPN-Anhang zugeordneten Routentabelle. Wenn versucht wird, mehr als 1.000 Routen zu versenden, wird nur eine Teilmenge von 1.000 Routen ausgeschrieben.  

F: Wie viele Routen können maximal für meine VPN-Verbindung von meinem Kunden-Gateway-Gerät aus beworben werden?

A: Sie können maximal 100 Routen zu Ihrer Site-to-Site-VPN-Verbindung auf einem virtuellen privaten Gateway von Ihrem Kunden-Gateway-Gerät oder maximal 1000 Routen zu Ihrer Site-to-Site-VPN-Verbindung auf einem AWS Transit Gateway bekannt geben. Bei einer VPN-Verbindung mit statischen Routen können Sie nicht mehr als 100 statische Routen hinzufügen. Bei einer VPN-Verbindung mit BGP wird die BGP-Sitzung zurückgesetzt, wenn Sie versuchen, mehr als das Maximum für den Gateway-Typ zu bewerben.

F: Unterstützen die VPN-Verbindungen IPv6-Verkehr?

A: Ja. VPN-Verbindungen zu einem AWS Transit Gateway können entweder IPv4- oder IPv6-Verkehr unterstützen, der beim Erstellen einer neuen VPN-Verbindung ausgewählt werden kann. Um IPv6 für den VPN-Verkehr auszuwählen, setzen Sie die VPN-Tunnel-Option für Inside IP Version auf IPv6. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.

F: Welche Seite des VPN-Tunnels initiiert die IKE-Sitzung (Internet Key Exchange)?

A: Standardmäßig muss Ihr Kunden-Gateway (CGW) IKE initiieren. Alternativ können die AWS-VPN-Endpunkte durch Aktivierung der entsprechenden Optionen initiiert werden.

F: Unterstützen VPN-Verbindungen private IP-Adressen?

A: Ja. Die Funktion private IP-Site-to-Site-VPN erlaubt Ihnen die Bereitstellung von VPN-Verbindungen zu einem AWS Transit Gateway unter Verwendung privater IP-Adressen. Private IP VPN funktioniert über eine virtuelle Transitschnittstelle (VIF) von AWS Direct Connect. Sie können während des Aufbaus einer neuen VPN-Verbindung private IP-Adressen als externe Tunnel-IP-Adressen auswählen. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.

F: Gibt es Unterschiede zwischen öffentlichen und privaten IP-VPN-Protokollinteraktionen?

A: Nein, die IPSec-Verschlüsselung und der Schlüsselaustausch funktionieren bei privaten IP Site-to-Site VPN-Verbindungen genauso wie bei öffentlichen IP VPN-Verbindungen.

F: Benötige ich ein Transit-Gateway für Private IP VPN?

A: Ja, Sie benötigen ein Transit-Gateway, um private IP-VPN-Verbindungen einzurichten. Außerdem erfordert ein privater IP-VPN-Anhang auf Transit Gateway einen Direct-Connect-Anhang für den Transport. Während Sie eine private IP-VPN-Verbindung zu einem Transit-Gateway konfigurieren, müssen Sie eine Direct-Connect-Anhang-ID angeben. Mehrere private IP-VPN-Verbindungen können den gleichen Direct-Connect-Anhang für den Transport verwenden.

F: Unterstützen private IP-VPNs statisches Routing und BGP?

A: Ja, private IP-VPNs unterstützen sowohl statisches Routing als auch dynamisches Routing mit BGP. Wenn Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt, geben Sie bei der Konfiguration Ihrer Site-to-Site-VPN-Verbindung dynamisches Routing an. Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, geben Sie statisches Routing an. Es wird empfohlen, BGP-fähige Geräte zu verwenden, wenn diese verfügbar sind, da das BGP-Protokoll robuste Prüfungen zur Erkennung der Lebensfähigkeit bietet, die den Failover zum zweiten VPN-Tunnel unterstützen können, wenn der erste Tunnel ausfällt.

F: Wie verhält sich die Transit-Gateway-Routen-Tabellen-Zuordnung und -Propagierung für die privaten IP-VPN-Anhänge?

A: Die Routing-Tabellen-Zuordnung und das Propagierungsverhalten ist für einen privaten IP-VPN-Anhang das gleiche wie für jeden anderen Transit-Gateway-Anhang. Sie können eine Transit-Gateway-Routing-Tabelle mit dem privaten IP-VPN-Anhang verknüpfen und Routen vom privaten IP-VPN-Anhang an eine der Transit-Gateway-Routing-Tabellen weiterleiten.

F: Welchen Durchsatz kann ich mit der privaten IP-VPN erreichen?

A: Wie reguläre Site-to-Site-VPN-Verbindungen unterstützt jede private IP-VPN-Verbindung eine Bandbreite von 1,25 Gbit/s. Sie können ECMP (Equal Cost Multi-path) über mehrere private IP-VPN-Verbindungen verwenden, um die effektive Bandbreite zu erhöhen. Um zum Beispiel 10 Gbit/s DX-Verkehr über ein privates IP-VPN zu senden, können Sie 4 private IP-VPN-Verbindungen (4 Verbindungen x 2 Tunnel x 1,25 Gbit/s Bandbreite) mit ECMP zwischen einem Paar aus Transit-Gateway und Kunden-Gateway verwenden.

F: Kann ich ECMP-Verkehr über ein privates IP-VPN und öffentliche IP-VPN-Verbindungen laufen lassen?

A: Nein, Sie können keinen ECMP-Verkehr über private und öffentliche IP-VPN-Verbindungen durchführen. ECMP für private IP-VPNs funktioniert nur bei VPN-Verbindungen mit privaten IP-Adressen.

F: Was ist die MTU (Maximum Transmission Unit) der Private IP VPN?

A: Private IP-VPN-Verbindungen unterstützen eine MTU von 1500 Byte.

F: Kann ein privates IP-VPN mit einem anderen Eigentümerkonto als dem des Transit-Gateways verknüpft werden?

A: Nein, sowohl Transit-Gateway als auch Site-to-Site-VPN-Verbindungen müssen zum selben AWS-Konto gehören.

F: In welchen AWS-Regionen sind der AWS-Site-to-Site-VPN-Service und die Private IP-VPN-Funktion verfügbar?

A: Der AWS-Site-to-Site-VPN-Service ist in allen kommerziellen Regionen verfügbar, außer in den AWS-Regionen Asien-Pazifik (Peking) und Asien-Pazifik (Ningxia). Die Funktion Private IP-VPN wird in allen AWS-Regionen unterstützt, in denen der AWS-Site-to-Site-VPN-Service verfügbar ist.

F: Was spricht für die Verwendung von Accelerated Site-to-Site VPN?

A: Bei VPN-Verbindungen sind Verfügbarkeit und Leistung nicht konsistent, da der Datenverkehr über mehrere öffentliche Netzwerke im Internet läuft, bevor er den VPN-Endpunkt in AWS erreicht. Diese öffentlichen Netzwerke können überlastet sein. Jeder Hop kann Verfügbarkeits- und Leistungsrisiken mit sich bringen. Accelerated Site-to-Site VPN sorgt durch die Nutzung des hochverfügbaren und überlastungsfreien globalen AWS-Netzwerks für eine konsistentere Benutzererfahrung.

F: Wie kann ich ein Accelerated Site-to-Site VPN erstellen?

A: Legen Sie beim Erstellen einer VPN-Verbindung die Option „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ fest.

F: Wie finde ich heraus, ob meine vorhandene VPN-Verbindung ein Accelerated Site-to-Site VPN ist?

A: In der Beschreibung Ihrer VPN-Verbindung sollte der Wert für „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ festgelegt sein.

F: Wie kann ich mein vorhandenes Site-to-Site VPN in ein Accelerated Site-to-Site VPN umwandeln?

A: Erstellen Sie ein neues Accelerated Site-to-Site VPN, aktualisieren Sie Ihr Kunden-Gateway-Gerät, um eine Verbindung mit dieser neuen VPN-Verbindung herzustellen, und löschen Sie dann Ihre vorhandene VPN-Verbindung. Sie erhalten neue Tunnelendpunkt-Internetprotokoll(IP)-Adressen, da beschleunigte VPNs andere IP-Adressbereiche als nicht beschleunigte VPN-Verbindungen verwenden.

F: Wird Accelerated Site-to-Site VPN sowohl für das virtuelle Gateway als auch für das AWS Transit Gateway unterstützt?

A: Nur Transit Gateway unterstützt Accelerated Site-to-Site VPN. Beim Erstellen einer VPN-Verbindung muss ein Transit Gateway angegeben werden. Der VPN-Endpunkt auf der AWS-Seite wird auf dem Transit Gateway erstellt.

F: Bietet eine Accelerated Site-to-Site VPN-Verbindung zwei Tunnel für Hochverfügbarkeit?

A: Ja, jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit.

F: Gibt es Protokollunterschiede zwischen beschleunigten und nicht beschleunigten Site-to-Site VPN-Tunneln?

A: NAT-T ist erforderlich und für Accelerated Site-to-Site VPN-Verbindungen standardmäßig aktiviert. Darüber hinaus unterstützen beschleunigte und nicht beschleunigte VPN-Tunnel die gleichen IP-Sicherheits(IPSec)- und Internet Key Exchange(IKE)-Protokolle und bieten die gleiche Bandbreite, die gleichen Tunnel- und Routingoptionen und die gleichen Authentifizierungstypen.

F: Bietet Accelerated Site-to-Site VPN zwei Netzwerkzonen für Hochverfügbarkeit?

A: Ja, wir wählen globale AWS Global Accelerator-Internetprotokolladressen (IPs) aus unabhängigen Netzwerkzonen für die beiden Tunnelendpunkte aus.

F: Ist Accelerated Site-to-Site VPN eine Option in AWS Global Accelerator?

A: Nein, Accelerated Site-to-Site VPN kann nur über AWS Site-to-Site VPN erstellt werden. Accelerated Site-to-Site VPNs können nicht über die AWS Global Accelerator-Konsole oder -API erstellt werden.

F: Kann ich Accelerated VPN über öffentliche virtuelle AWS Direct Connect-Schnittstellen nutzen?

A: Nein, Accelerated Site-to-Site VPN über öffentliche virtuelle Direct Connect-Schnittstellen ist nicht verfügbar. In den meisten Fällen gibt es keinen Beschleunigungsvorteil von Accelerated Site-to-Site VPN bei der Verwendung über öffentliches Direct Connect.

F: In welchen AWS-Regionen ist Accelerated Site-to-Site VPN verfügbar?

A: Ein beschleunigtes Site-to-Site VPN ist derzeit in diesen AWS Regionen verfügbar: USA West (Oregon), USA West (Nordkalifornien), USA Ost (Ohio), USA Ost (Nord-Virginia), Südamerika (São Paulo), Naher Osten (Bahrain), Europa (Stockholm), Europa (Paris), Europa (Mailand), Europa (London), Europa (Irland), Europa (Frankfurt), Kanada (Zentral), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Singapur), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai), Asien-Pazifik (Hongkong), Afrika (Kapstadt).

F: Welche Protokolle werden für AWS Site-to-Site VPN unterstützt?

A: Site-to-Site VPN-Verbindungsprotokolle enthalten Details zu IP Security (IPsec) Tunnelaufbauaktivitäten, einschließlich Internet-Key-Exchange-Verhandlungen (IKE) und Dead-Peer-Detection-Protokollnachrichten (DPD). Diese Protokolle werden regelmäßig in 5-Minuten-Intervallen exportiert und nach bestem Bemühen an die CloudWatch-Protokolle geliefert.

F: Werden Site-to-Site VPN-Protokolle für VPN-Verbindungen sowohl zu Transit Gateways als auch zu virtuellen Gateways angeboten?

A: Ja, Sie können Site-to-Site-VPN-Protokolle sowohl für Transit-Gateway- als auch für Virtual-Gateway-basierte VPN-Verbindungen aktivieren.

F: Kann ich die Site-to-Site VPN-Protokolle für meine bestehenden VPN-Verbindungen aktivieren?

A: Ja, Sie können die Site-to-Site VPN-Protokolle über die Tunneloptionen aktivieren, wenn Sie Ihre Verbindung erstellen oder ändern.

F: Was passiert, wenn ich Site-to-Site VPN-Protokolle für meine bestehenden VPN-Verbindungen aktiviere?

A: Wenn Sie Site-to-Site-VPN-Protokolle für eine bestehende VPN-Verbindung aktivieren, indem Sie die Optionen zum Ändern des Tunnels verwenden, wird Ihre Verbindung über den Tunnel für bis zu mehrere Minuten unterbrochen. Jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit. Sie können die Protokollierung jeweils für einen Tunnel aktivieren und nur der geänderte Tunnel ist davon betroffen. Weitere Informationen finden Sie unter Ersetzen von Site-to-Site VPN-Tunnelendpunkten im AWS-Site-to-Site-VPN-Benutzerhandbuch.

F: Wie aktiviere ich die Konnektivität zu anderen Netzwerken?

A: Sie können die Konnektivität zu anderen Netzwerken wie über Peering verbundene Amazon VPCs, lokale Netzwerke über ein virtuelles Gateway oder AWS-Services wie S3 über Endpunkte, Netzwerke über AWS PrivateLink oder andere Ressourcen über ein Internet-Gateway aktivieren. Zum Aktivieren der Konnektivität fügen Sie in der Routentabelle des Client VPN eine Route zum jeweiligen Netzwerk hinzu und fügen dann eine Berechtigungsregel hinzu, die den Zugriff auf das jeweilige Netzwerk ermöglicht.

F: Kann der Client VPN-Endpunkt zu einem anderen Konto gehören als das zugehörige Subnetz?

A: Nein, das zugeordnete Subnetz muss sich im gleichen Konto wie der Client VPN-Endpunkt befinden.

F: Kann ich über eine private IP-Adresse auf Ressourcen in einer VPC zugreifen, die sich in einer anderen Region befindet, als die TLS-Sitzung, die ich einrichte?

A: Dies ist durch Ausführung der folgenden beiden Schritten möglich: Richten Sie zunächst eine überregionale Peering-Verbindung zwischen Ihrer Ziel-VPC (in der anderen Region) und der mit dem Client VPN verbundenen VPC ein. Zweitens müssen Sie im Client VPN-Endpunkt eine Route und Zugriffsregel für die Ziel-VPC hinzufügen. Ihre Benutzer können nun auf die Ressourcen in der Ziel-VPC zugreifen, die sich in einer anderen Region als Ihr Client VPN-Endpunkt befindet.

F: Welche Transportprotokolle werden von Client VPN unterstützt?

A: Sie können entweder TCP oder UDP für die VPN-Sitzung wählen.

F: Unterstützt AWS Client VPN geteilte Tunnel?

A: Ja. Sie können einen Endpunkt mit aktiviertem oder deaktiviertem Split-Tunnel erstellen. Wenn Sie zuvor einen Endpunkt mit deaktiviertem Split-Tunnel erstellt haben, können Sie ihn ändern, um den Split-Tunnel zu aktivieren. Wenn der geteilte Tunnel aktiviert ist, wird der Verkehr, der für auf dem Endpunkt konfigurierte Routen bestimmt ist, über den VPN-Tunnel weitergeleitet. Der gesamte andere Datenverkehr wird über Ihre lokale Netzwerkschnittstelle weitergeleitet. Wenn der geteilte Tunnel deaktiviert ist, wird der gesamte Datenverkehr vom Gerät durch den VPN-Tunnel geleitet.

F: Welche Protokolle werden für AWS Client VPN unterstützt?

A: Client VPN exportiert das Verbindungsprotokoll nach besten Kräften in CloudWatch Logs. Diese Protokolle werden regelmäßig im Abstand von 15 Minuten exportiert. Die Verbindungsprotokolle enthalten Details zu erstellten und abgebrochenen Verbindungsanforderungen.

F: Unterstützt Client VPN Amazon VPC Flow Logs im Endpunkt?

A: Nein. Sie können Amazon VPC Flow Logs in der zugehörigen VPC verwenden.

F: Kann ich aktive Verbindungen überwachen?

A: Ja, über die CLI oder Konsole können Sie die aktuellen aktiven Verbindungen für einen Endpunkt anzeigen und aktive Verbindungen beenden.

F: Kann ich mit CloudWatch nach Endpunkten überwachen?

A: Ja. Mit der CloudWatch-Überwachung können Sie für jeden Client VPN-Endpunkt die ein- und ausgehenden Bytes sowie aktive Verbindungen sehen.

F: Was ist das für eine Funktion?

A: Für alle neuen virtuellen Gateways ermöglicht die konfigurierbare Private Autonomous System Number (ASN) es den Kunden, die ASN auf der Amazon-Seite der BGP-Sitzung für VPNs und private VIFs für AWS Direct Connect festzulegen.

F: Was kostet diese Funktion?

A: Für diese Funktion fallen keine zusätzlichen Gebühren an.

F: Wie kann ich meine ASN konfigurieren bzw. zuweisen, damit sie auf Amazon-Seite als ASN angezeigt wird?

A: Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können über die VPC-Konsole oder einen EC2/CreateVpnGateway API-Aufruf ein virtuelles Gateway erstellen.

F: Welche ASN hat Amazon vor dem Einsetzen dieser Funktion verwendet?

A: Amazon hat die folgenden ASNs zugewiesen: EU West (Dublin) 9059; Asien-Pazifik (Singapur) 17493 und Asien-Pazifik (Tokio) 10124. Allen weiteren Regionen wurde die ASN 7224 zugewiesen; diese ASNs werden als „vorhandene öffentliche ASN“ der Region bezeichnet.

F: Kann ich eine ASN verwenden – öffentlich und privat?

A: Sie können der Amazon-Seite jede private ASN zuweisen. Sie können die „vorhandene öffentliche ASN“ der Region bis zum 30. Juni 2018 zuweisen; die Zuweisung einer anderen öffentlichen ASN ist nicht möglich. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Warum kann ich der Amazon-Seite der BGP-Sitzung keine öffentliche ASN zuweisen?

A: Die Eigentumsverhältnisse der ASNs werden von Amazon nicht validiert. Aus diesem Grund ist die Amazon-seitige ASN auf private ASNs begrenzt. Wir möchten die Kunden vor BGP-Spoofing schützen.

F: Welche ASN kann ich wählen?

A: Sie können jede beliebige private ASN wählen. Die privaten 16-Bit-ASNs reichen von 64512 bis 65534. Zusätzlich können Sie auch 32-Bit-ASNs zwischen 4200000000 und 4294967294 bereitstellen.

Amazon stellt eine Standard-ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Was passiert, wenn ich versuche, eine öffentliche ASN für die Amazon-Hälfte der BGP-Sitzung zuweisen?

A: In diesem Fall fordern wir Sie auf, eine ASN einzugeben, wenn Sie versuchen, das virtuelle Gateway zu erstellen, wenn es sich nicht um die „vorhandene öffentliche ASN“ der Region handelt.

F: Welche ASN weist Amazon mir voraussichtlich zu, wenn ich keine ASN für die Amazon-Seite der BGP-Sitzung bereitstelle?

A: Amazon stellt eine ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Wo kann ich die ASN der Amazon-Seite anzeigen?

A: Sie können die ASN auf Amazon-Seite auf der Seite des virtuellen Gateways der VPC-Konsole und in der Antwort von EC2/DescribeVpnGateways API anzeigen.

F: Wenn ich eine öffentliche ASN verwende, funktioniert diese mit einer privaten ASN auf der AWS-Seite?

A: Ja, Sie können die Amazon-Seite der BGP-Sitzung mit einer privaten ASN und Ihre Seite mit einer öffentlichen ASN konfigurieren.

F: Ich habe bereits private VIFs konfiguriert und möchte eine andere ASN auf Amazon-Seite für die BGP-Sitzung auf einer vorhandenen VIF festlegen. Wie kann ich diese Änderung durchführen?

A: Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und eine neue VIF mit dem neu erstellten virtuellen Gateway einrichten. Ihre Gerätekonfiguration muss auch entsprechend geändert werden.

F: Ich habe bereits VPN-Verbindungen konfiguriert und möchte die ASN auf Amazon-Seite für die BGP-Sitzungen dieser VPNs ändern. Wie kann ich diese Änderung durchführen?

A: Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und Ihre VPN-Verbindungen zwischen Ihren Kunden-Gateways und dem neu erstellten virtuellen Gateway neu einrichten.

F: Ich verfüge bereits über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für das neue private virtuelle Gateway automatisch generiert, welche ASN auf Amazon-Seite wird zugewiesen?

A: Amazon weist die ASN 64512 auf Amazon-Seite für das neue virtuelle Gateway zu.

F: Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN konfiguriert wurde. Ich möchte dieselbe von Amazon zugewiesene öffentliche ASN für die neue private VIF/VPN-Verbindung nutzen, die ich gerade erstelle. Wie gehe ich dazu vor?

A: Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können das virtuelle Gateway über die Konsole oder einen EC2/CreateVpnGateway API-Aufruf erstellen. Wie bereits angekündigt, stellt Amazon bis zum 30. Juni 2018 die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit der von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für die neue private VIF/VPN-Verbindung mit demselben virtuellen Gateway automatisch generiert, welche ASN wird mir dann auf Amazon-Seite zugewiesen?

A: Amazon weist die ASN 7224 als ASN auf Amazon-Seite für die neue VIF/VPN-Verbindung zu. Die ASN auf Amazon-Seite für Ihre neue private VIF/VPN-Verbindung wird von Ihrem vorhandenen virtuellen Gateway übernommen und standardmäßig auf diese ASN festgelegt.

F: Ich hänge mehrere private VIFs an ein einzelnes virtuelles Gateway an. Kann jede VIF eine separate ASN auf Amazon-Seite erhalten?

A: Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede virtuelle Schnittstelle (VIF) verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VIF wird von der ASN auf Amazon-Seite des angehängten virtuellen Gateways übernommen.

F: Ich bin dabei, mehrere VPN-Verbindungen mit einem einzelnen virtuellen Gateway zu erstellen. Kann jede VPN-Verbindung über eine eigene ASN auf Amazon-Seite verfügen?

A: Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede VPN-Verbindung verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VPN-Verbindung wird von der ASN auf Amazon-Seite des virtuellen Gateways übernommen.

F: Wo kann ich meine eigene ASN auswählen?

A: Deaktivieren Sie bei der Erstellung eines virtuellen Gateways in der VPC-Konsole die Option, bei der Sie gefragt werden, ob Sie eine automatisch generierte Amazon BGP ASN wünschten, und geben Sie Ihre eigene private ASN für die Amazon-Seite der BGP-Sitzung an. Sobald das virtuelle Gateway mit der ASN auf Amazon-Seite konfiguriert wurde, verwenden die privaten VIFs oder VPN-Verbindungen, die mit dem virtuellen Gateway erstellt wurden, Ihre ASN auf Amazon-Seite.

F: Ich verwende CloudHub. Muss ich meine Konfigurationen in Zukunft anpassen?

A: Sie müssen keinerlei Änderungen vornehmen.

F: Ich möchte eine 32-Bit-ASN auswählen. Welchen Bereich umfassen die privaten 32-Bit-ASNs?

A: Wir unterstützen 32-Bit-ASNs im Bereich 4200000000 bis 4294967294.

F: Kann ich nach der Erstellung des virtuellen Gateways die ASN auf Amazon-Seite ändern oder modifizieren?

A: Nein, nach der Erstellung können Sie die ASN auf Amazon-Seite nicht mehr modifizieren. Sie können das virtuelle Gateway löschen und ein neues virtuelles Gateway mit der gewünschten ASN erstellen.

F: Gibt es eine neue API zum Konfigurieren/Zuweisen der ASN auf Amazon-Seite?

A: Nein. Sie können diesen Vorgang mit derselben API wie zuvor durchführen (EC2/CreateVpnGateway). Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

F: Gibt es eine neue API zum Anzeigen der ASN auf Amazon-Seite?

A: Nein. Sie können die ASN auf Amazon-Seite mit derselben EC2/DescribeVpnGateways-API anzeigen. Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

F: Welche ASNs kann ich zur Konfiguration meines Kunden-Gateway (CGW) verwenden?

A: ASN im Bereich 1 - 2147483647 mit den angegebenen Ausnahmen können verwendet werden. Bitte lesen Sie den Abschnitt Kunden-Gateway-Optionen für Ihre AWS-Site-to-Site VPN-Verbindung im AWS-VPN-Benutzerhandbuch.   

F: Ich möchte 32-Bit-ASN für mein Kunden-Gateway verwenden. Wird 32-Bit ASN für den privaten Bereich unterstützt?

A: Ja. Bitte beachten Sie, dass private ASN im Bereich von (4200000000 bis 4294967294) derzeit NICHT für die Kunden-Gateway-Konfiguration unterstützt wird. Bitte lesen Sie den Abschnitt Kunden-Gateway-Optionen für Ihre AWS-Site-to-Site-VPN-Verbindung im AWS-VPN-Benutzerhandbuch.