AWS VPN besteht aus zwei Services: AWS Site-to-Site VPN und AWS Client VPN. Mit AWS Site-to-Site VPN können Sie Ihr lokales Netzwerk oder Ihre Zweigstelle sicher mit der eigenen Amazon Virtual Private Cloud (Amazon VPC) verbinden. Mit AWS Client VPN lassen sich Benutzer sicher mit AWS- oder lokalen Netzwerken verbinden.

Allgemeine Fragen

F: Was ist ein Client VPN-Endpunkt?

A: Der Client VPN-Endpunkt ist ein regionales Konstrukt, das Sie für die Verwendung des Service konfigurieren. Die VPN-Sitzungen der Endbenutzer enden am Client VPN-Endpunkt. Im Rahmen der Konfiguration des Client VPN-Endpunkts geben Sie die Authentifizierungsdaten, Informationen des Serverzertifikats, die Zuteilung der Client-IP-Adresse, die Protokollierung und VPN-Optionen an.

F: Was ist ein Zielnetzwerk?

A: Ein Zielnetzwerk ist ein Netzwerk, das Sie dem Client VPN-Endpunkt zuordnen, der einen sicheren Zugriff auf Ihre AWS-Ressourcen und den Zugriff auf lokale Ressourcen ermöglicht. Derzeit ist das Zielnetzwerk ein Subnetz in Ihrer Amazon VPC.

Abrechnung

F: Wie werden zu berechnende VPN-Verbindungsstunden definiert?

A: VPN-Verbindungsstunden werden für die Zeiten berechnet, zu denen Ihre VPN-Verbindungen verfügbar waren. Sie können den Status einer VPN-Verbindung über die AWS-Managementkonsole, die Befehlszeilenschnittstelle oder die API ermitteln. Wenn Sie Ihre VPN-Verbindung nicht mehr verwenden möchten, beenden Sie sie einfach, um zu verhindern, dass Ihnen weitere VPN-Verbindungsstunden in Rechnung gestellt werden.

F: Sind Steuern bereits in den Preisen enthalten?

A: Sofern nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen

Einrichtung und Verwaltung von AWS Site-to-Site VPN

F: Kann ich die AWS-Managementkonsole zum Steuern und Verwalten von AWS Site-to-Site VPN verwenden?

A: Ja. Mit der AWS-Managementkonsole können Sie IPSec-VPN-Verbindungen wie AWS Site-to-Site VPN verwalten.

F: Wie viele Kunden-Gateways, Virtual Private Gateways und AWS Site-to-Site VPN-Verbindungen kann ich erstellen?

A: Sie können Folgendes erstellen:

  • Ein Internet-Gateway pro VPC
  • Fünf Virtual Private Gateways pro AWS-Konto für jede AWS-Region
  • 50 Kunden-Gateways pro AWS-Konto für jede AWS-Region
  • Zehn IPsec-VPN-Verbindungen pro Virtual Private Gateway

Weitere Informationen zu VPC-Limits finden Sie im VPC-Benutzerhandbuch.

Anbindung von AWS Site-to-Site VPN

F: Welche VPN-Anbindungsoptionen sind für meine VPC verfügbar?

A: Sie können Ihre VPC mithilfe einer Hardware-VPN-Verbindung (über das Virtual Private Gateway) mit Ihrem Unternehmensrechenzentrum verbinden.

F: Wie greifen Instances ohne öffentliche IP-Adressen auf das Internet zu?

A: Instances ohne öffentliche IP-Adressen können auf eine von zwei Arten auf das Internet zugreifen:

Instances ohne öffentliche IP-Adressen können den Datenverkehr über ein NAT-Gateway oder eine NAT-Instance umleiten, um auf das Internet zuzugreifen. Diese Instances verwenden für den Internetzugriff die öffentliche IP-Adresse des NAT-Gateways oder der NAT-Instance. Das NAT-Gateway oder die NAT-Instance ermöglicht die ausgehende Kommunikation, aber nicht, dass Computer im Internet eine Verbindung zu Instances mit privaten Adressen herstellen.

Bei VPCs mit einer Hardware-VPN- oder Direct Connect-Verbindung können Instances ihren Internetdatenverkehr über das Virtual Private Gateway zu Ihrem vorhandenen Rechenzentrum leiten. Von hier ist über die vorhandenen Austrittspunkte und Netzwerksicherheits-/Netzwerküberwachungsgeräte der Zugriff auf das Internet möglich.

Wie funktioniert eine AWS Site-to-Site VPN-Verbindung mit Amazon VPC?

A: Eine AWS Site-to-Site VPN-Verbindung verbindet Ihre VPC mit Ihrem Rechenzentrum. Amazon unterstützt IPsec(Internet Protocol Security)-VPN-Verbindungen. Zwischen Ihrer VPC und dem Rechenzentrum übertragene Daten werden über eine verschlüsselte VPN-Verbindung geleitet, wodurch die Vertraulichkeit und Integrität der übertragenen Daten gewährleistet wird. Zum Einrichten einer Site-to-Site VPN-Verbindung wird kein Internet-Gateway benötigt.

F: Was ist IPsec?

A: IPsec ist ein Sicherheitsprotokoll, das die IP-Kommunikation (Internet Protocol) durch Authentifizierung und Verschlüsselung jedes IP-Pakets eines Datenstroms schützt.

F: Welche Kunden-Gateway-Geräte kann ich für die Verbindung mit Amazon VPC verwenden?

A: Sie können zwei Arten von AWS Site-to-Site VPN-Verbindungen erstellen: Verbindungen mit statischem Routing und mit dynamischem Routing. Kunden-Gateway-Geräte, die VPN-Verbindungen mit statischem Routing unterstützen, müssen folgende Aufgaben ausführen können:

Herstellen einer IKE Security Association mit Pre-Shared Keys

Herstellen von IPsec Security Associations im Tunnel-Modus

Nutzen Sie die AES-Verschlüsselungsfunktion mit 128-Bit, 256-Bit, 128-Bit-GCM-16 oder 256-GCM-16

Verwenden Sie die Hashing-Funktion SHA-1, SHA-2 (256), SHA2 (384) oder SHA2 (512)

Verwenden des Diffie-Hellman (DH) Perfect Forward Secrecy im „Gruppe 2“-Modus oder einer der von uns unterstützten DH-Gruppen

Durchführen der Paketfragmentierung vor der Verschlüsselung

Zu den zuvor genannten Fähigkeiten müssen Site-to-Site VPN-Verbindungen mit dynamischem Routing folgende Aufgaben ausführen können:

Herstellen von Border Gateway Protocol(BGP)-Peerings

Binden von Tunneln an logische Schnittstellen (routenbasiertes VPN)

Verwenden der Dead Peer Detection für IPsec

F: Welche Diffie-Hellman-Gruppen werden unterstützt?

A: Wir unterstützen die folgenden Diffie-Hellman(DH)-Gruppen in Phase 1 und Phase 2.

Phase 1: DH-Gruppen 2, 14-24.

Phase 2: DH-Gruppen 2, 5, 14-24.

F: Welche Algorithmen schlägt AWS vor, wenn ein IKE-Rekey benötigt wird?

A: Standardmäßig wird dann der VPN-Endpunkt auf der AWS-Seite AES-128, SHA-1 und DH-Gruppe 2 vorschlagen. Wenn Sie einen spezifischen Vorschlag für die Neuverschlüsselung wünschen, empfehlen wir Ihnen, die VPN-Tunneloptionen mit "Modify VPN Tunnel Options" auf die von Ihnen benötigten spezifischen VPN-Parameter zu beschränken.

F: Von welchen Kunden-Gateway-Geräte ist bekannt, dass sie mit Amazon VPC funktionieren?

A: Im Netzwerkadministrator-Handbuch finden Sie eine Liste der Geräte, die die oben genannten Anforderungen erfüllen, und von denen bekannt ist, dass sie für hardwaregestützte VPN-Verbindungen verwendet werden können. Die Befehlszeilen-Tools bieten Unterstützung für die automatische Erstellung von Konfigurationsdateien für das jeweilige Gerät.

F: Wo erhalte ich weitere Informationen zur Verwendung von Geräten mit Amazon VPC, wenn sie nicht aufgeführt sind?

A: Wir empfehlen, sich im Amazon VPC-Forum mit anderen Kunden über deren Erfahrungen mit Ihrem Gerät auszutauschen.

F. Welcher Durchsatz lässt sich mit einer Site-to-Site VPN-Verbindung ungefähr maximal erreichen?

A: Jede AWS Site-to-Site VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt einen maximalen Durchsatz von bis zu 1,25 Gbps. Wenn Ihre VPN-Verbindung zu einem Virtual Private Gateway besteht, würden aggregierte Durchsatzgrenzen gelten.

F: Gibt es eine aggregierte Durchsatzgrenze für Virtual Private Gateway?

A: Virtual Private Gateway hat ein Gesamtdurchsatzlimit pro Verbindungstyp. Mehrere VPN-Verbindungen zu demselben Virtual Private Gateway sind durch ein Gesamtdurchsatzlimit von AWS zu den On-Premises von bis zu 1,25 Gbps gebunden. Bei einer AWS Direct Connect-Verbindung auf einem Virtual Private Gateway wird der Durchsatz durch den physischen Direct Connect-Port selbst gebunden. Um eine Verbindung zu mehreren VPCs herzustellen und höhere Durchsatzgrenzen zu erreichen, verwenden Sie AWS Transit Gateway.

F. Welche Faktoren beeinflussen den Durchsatz meiner VPN-Verbindung?

A: Der Durchsatz bei VPN-Verbindungen hängt von mehreren Faktoren ab: Fähigkeiten des Kunden-Gateways, Kapazität der Internetverbindung, durchschnittliche Paketgröße, verwendetes Protokoll (TCP oder UDP) und Latenz im Netzwerk zwischen dem Kunden-Gateway und dem Virtual Private Gateway.

F: Was ist das ungefähre Maximum an Paketen pro Sekunde einer Site-to-Site VPN-Verbindung?

A: Jede AWS Site-to-Site VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt maximal 140.000 Pakete pro Sekunde.  

F: Welche Tools stehen mir zur Verfügung, um Probleme mit meiner Site-to-Site VPN-Konfiguration zu lösen?

A: Die DescribeVPNConnection-API zeigt den Status der VPN-Verbindung an. Hierzu zählen auch der Status („up“/„down“) der einzelnen VPN-Tunnel und die entsprechenden Fehlermeldungen, wenn ein Tunnel nicht verfügbar („down“) ist. Diese Information wird auch in der AWS-Managementkonsole angezeigt.

F: Wie verbinde ich eine VPC mit meinem Unternehmensrechenzentrum?

A: Durch eine Hardware-VPN-Verbindung zwischen Ihrem vorhandenen Netzwerk und Amazon VPC können Sie mit Amazon EC2-Instances in einer VPC so interagieren, als ob Sie sich in Ihrem vorhandenen Netzwerk befinden würden. AWS führt kein Network Address Translation (NAT) bei Amazon EC2-Instances in einer VPC durch, auf die über eine Hardware-VPN-Verbindung zugegriffen wird.

F: Kann ich NAT für mein Kunden-Gateway hinter einem Router oder einer Firewall anwenden?

A: Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

F: Welche IP-Adresse muss ich für meine Kunden-Gateway-Adresse verwenden?

A: Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

F: Wie deaktiviere ich NAT-T für meine Verbindung?

A: Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP-Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.

F: Ich möchte mehrere Kunden-Gateways hinter einem NAT verwenden. Wie kann ich das konfigurieren?

A: Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP-Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.

F: Wie viele IPsec-Sicherheitsverbindungen können pro Tunnel gleichzeitig eingerichtet werden?

A: Der AWS VPN-Service ist eine routenbasierte Lösung. Daher gelten bei Verwendung einer routenbasierten Konfiguration keine Einschränkungen hinsichtlich der Anzahl der Sicherheitsverbindungen. Wenn Sie jedoch eine richtlinienbasierte Lösung verwenden, ist nur eine Sicherheitsverbindung möglich, da es sich bei dem Service um eine routenbasierte Lösung handelt.

F: Kann ich den öffentlichen IP-Adressbereich meiner VPC im Internet verbreiten und den Datenverkehr durch mein Rechenzentrum über das Site-to-Site VPN zu meiner VPC weiterleiten?

A: Ja, Sie können den Datenverkehr über die VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.

F: Was ist die maximale Anzahl von Routen, die meine VPN-Verbindung zu meinem Kunden-Gateway-Gerät anzeigen wird?

A: Ihre VPN-Verbindung wirbt für maximal 1.000 Routen zum Kunden-Gateway-Gerät. Bei VPNs auf einem Virtual Private Gateway umfassen die ausgeschriebenen Routenquellen VPC-Routen, andere VPN-Routen und Routen von virtuellen DX-Schnittstellen. Bei VPNs auf einem AWS Transit Gateway stammen die ausgeschriebenen Routen aus der dem VPN-Anhang zugeordneten Routentabelle. Wenn versucht wird, mehr als 1.000 Routen zu versenden, wird nur eine Teilmenge von 1.000 Routen ausgeschrieben.  

F: Wie viele Routen können maximal für meine VPN-Verbindung von meinem Kunden-Gateway-Gerät aus beworben werden?

A: Sie können maximal 100 Routen von Ihrem Kunden-Gateway-Gerät zu Ihrer VPN-Verbindung bewerben. Bei einer VPN-Verbindung mit statischen Routen können Sie nicht mehr als 100 statische Routen hinzufügen. Bei einer VPN-Verbindung mit BGP wird die BGP-Sitzung zurückgesetzt, wenn Sie versuchen, mehr als 100 Routen zu bewerben.

F: Unterstützen die VPN-Verbindungen IPv6-Verkehr?

A: Ja. VPN-Verbindungen zu einem AWS Transit Gateway können entweder IPv4- oder IPv6-Verkehr unterstützen, der beim Erstellen einer neuen VPN-Verbindung ausgewählt werden kann. Um IPv6 für den VPN-Verkehr auszuwählen, setzen Sie die VPN-Tunnel-Option für Inside IP Version auf IPv6. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.

F: Welche Seite des VPN-Tunnels initiiert die IKE-Sitzung (Internet Key Exchange)?

A: Standardmäßig muss Ihr Kunden-Gateway (CGW) IKE initiieren. Alternativ können die AWS VPN-Endpunkte durch Aktivierung der entsprechenden Optionen initiiert werden.

AWS Accelerated Site-to-Site VPN

F: Was spricht für die Verwendung von Accelerated Site-to-Site VPN?

A: Bei VPN-Verbindungen sind Verfügbarkeit und Leistung nicht konsistent, da der Datenverkehr über mehrere öffentliche Netzwerke im Internet läuft, bevor er den VPN-Endpunkt in AWS erreicht. Diese öffentlichen Netzwerke können überlastet sein. Jeder Hop kann Verfügbarkeits- und Leistungsrisiken mit sich bringen. Accelerated Site-to-Site VPN sorgt durch die Nutzung des hochverfügbaren und überlastungsfreien globalen AWS-Netzwerks für eine konsistentere Benutzererfahrung.

F: Wie kann ich ein Accelerated Site-to-Site VPN erstellen?

A: Legen Sie beim Erstellen einer VPN-Verbindung die Option „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ fest.

F: Wie finde ich heraus, ob meine vorhandene VPN-Verbindung ein Accelerated Site-to-Site VPN ist?

A: In der Beschreibung Ihrer VPN-Verbindung sollte der Wert für „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ festgelegt sein.

F: Wie kann ich mein vorhandenes Site-to-Site VPN in ein Accelerated Site-to-Site VPN umwandeln?

A: Erstellen Sie ein neues Accelerated Site-to-Site VPN, aktualisieren Sie Ihr Kunden-Gateway-Gerät, um eine Verbindung mit dieser neuen VPN-Verbindung herzustellen, und löschen Sie dann Ihre vorhandene VPN-Verbindung. Sie erhalten neue Tunnelendpunkt-Internetprotokoll(IP)-Adressen, da beschleunigte VPNs andere IP-Adressbereiche als nicht beschleunigte VPN-Verbindungen verwenden.

F: Wird Accelerated Site-to-Site VPN sowohl für das virtuelle Gateway als auch für das AWS Transit Gateway unterstützt?

A: Nur Transit Gateway unterstützt Accelerated Site-to-Site VPN. Beim Erstellen einer VPN-Verbindung muss ein Transit Gateway angegeben werden. Der VPN-Endpunkt auf der AWS-Seite wird auf dem Transit Gateway erstellt.

F: Bietet eine Accelerated Site-to-Site VPN-Verbindung zwei Tunnel für Hochverfügbarkeit?

A: Ja, jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit.

F: Gibt es Protokollunterschiede zwischen beschleunigten und nicht beschleunigten Site-to-Site VPN-Tunneln?

A: NAT-T ist erforderlich und für Accelerated Site-to-Site VPN-Verbindungen standardmäßig aktiviert. Darüber hinaus unterstützen beschleunigte und nicht beschleunigte VPN-Tunnel die gleichen IP-Sicherheits(IPSec)- und Internet Key Exchange(IKE)-Protokolle und bieten die gleiche Bandbreite, die gleichen Tunnel- und Routingoptionen und die gleichen Authentifizierungstypen.

F: Bietet Accelerated Site-to-Site VPN zwei Netzwerkzonen für Hochverfügbarkeit?

A: Ja, wir wählen globale AWS Global Accelerator-Internetprotokolladressen (IPs) aus unabhängigen Netzwerkzonen für die beiden Tunnelendpunkte aus.

F: Ist Accelerated Site-to-Site VPN eine Option in AWS Global Accelerator?

A: Nein, Accelerated Site-to-Site VPN kann nur über AWS Site-to-Site VPN erstellt werden. Accelerated Site-to-Site VPNs können nicht über die AWS Global Accelerator-Konsole oder -API erstellt werden.

F: Kann ich Accelerated VPN über öffentliche virtuelle AWS Direct Connect-Schnittstellen nutzen?

A: Nein, Accelerated Site-to-Site VPN über öffentliche virtuelle Direct Connect-Schnittstellen ist nicht verfügbar. In den meisten Fällen gibt es keinen Beschleunigungsvorteil von Accelerated Site-to-Site VPN bei der Verwendung über öffentliches Direct Connect.

F: In welchen AWS-Regionen ist Accelerated Site-to-Site VPN verfügbar?

A: Ein beschleunigtes Site-to-Site VPN ist derzeit in diesen AWS Regionen verfügbar: USA West (Oregon), USA West (Nordkalifornien), USA Ost (Ohio), USA Ost (Nord-Virginia), Südamerika (São Paulo), Naher Osten (Bahrain), Europa (Stockholm), Europa (Paris), Europa (Mailand), Europa (London), Europa (Irland), Europa (Frankfurt), Kanada (Zentral), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Singapur), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai), Asien-Pazifik (Hongkong), Afrika (Kapstadt).

Einrichtung und Verwaltung von AWS Client VPN

F: Wie richte ich AWS Client VPN ein?

A: Der IT-Administrator erstellt einen Client VPN-Endpunkt, ordnet diesem Endpunkt ein Zielnetzwerk zu und richtet die Zugriffsrichtlinien für die Endbenutzerkonnektivität ein. Der IT-Administrator verteilt die Client VPN-Konfigurationsdatei an die Endbenutzer. Endbenutzer müssen einen OpenVPN-Client herunterladen und die Client VPN-Konfigurationsdatei verwenden, um ihre VPN-Sitzung zu erstellen.

F: Welche Schritte umfasst die Einrichtung einer Verbindung für Endbenutzer?

A: Der Endbenutzer muss einen OpenVPN-Client auf sein Gerät herunterladen. Anschließend importiert der Benutzer die AWS Client VPN-Konfigurationsdatei in den OpenVPN-Client und initiiert eine VPN-Verbindung.

Anbindung von AWS Client VPN

F: Wie aktiviere ich die Konnektivität zu anderen Netzwerken?

A: Sie können die Konnektivität zu anderen Netzwerken wie über Peering verbundene Amazon VPCs, lokale Netzwerke über ein virtuelles Gateway oder AWS-Services wie S3 über Endpunkte, Netzwerke über AWS PrivateLink oder andere Ressourcen über ein Internet-Gateway aktivieren. Zum Aktivieren der Konnektivität fügen Sie in der Routentabelle des Client VPN eine Route zum jeweiligen Netzwerk hinzu und fügen dann eine Berechtigungsregel hinzu, die den Zugriff auf das jeweilige Netzwerk ermöglicht.

F: Kann der Client VPN-Endpunkt zu einem anderen Konto gehören als das zugehörige Subnetz?

A: Nein, das zugeordnete Subnetz muss sich im gleichen Konto wie der Client VPN-Endpunkt befinden.

F: Kann ich über eine private IP-Adresse auf Ressourcen in einer VPC zugreifen, die sich in einer anderen Region befindet, als die TLS-Sitzung, die ich einrichte?

A: Dies ist durch Ausführung der folgenden beiden Schritten möglich: Richten Sie zunächst eine überregionale Peering-Verbindung zwischen Ihrer Ziel-VPC (in der anderen Region) und der mit dem Client VPN verbundenen VPC ein. Zweitens müssen Sie im Client VPN-Endpunkt eine Route und Zugriffsregel für die Ziel-VPC hinzufügen. Ihre Benutzer können nun auf die Ressourcen in der Ziel-VPC zugreifen, die sich in einer anderen Region als Ihr Client VPN-Endpunkt befindet.

F: Welche Transportprotokolle werden von Client VPN unterstützt?

A: Sie können entweder TCP oder UDP für die VPN-Sitzung wählen.

F: Unterstützt AWS Client VPN geteilte Tunnel?

A: Ja. Sie können einen Endpunkt mit aktiviertem oder deaktiviertem Split-Tunnel erstellen. Wenn Sie zuvor einen Endpunkt mit deaktiviertem Split-Tunnel erstellt haben, können Sie ihn ändern, um den Split-Tunnel zu aktivieren. Wenn der geteilte Tunnel aktiviert ist, wird der Verkehr, der für auf dem Endpunkt konfigurierte Routen bestimmt ist, über den VPN-Tunnel weitergeleitet. Der gesamte andere Datenverkehr wird über Ihre lokale Netzwerkschnittstelle weitergeleitet. Wenn der geteilte Tunnel deaktiviert ist, wird der gesamte Datenverkehr vom Gerät durch den VPN-Tunnel geleitet.

Authentifizierung und Autorisierung mit AWS Client VPN

F: Welche Authentifizierungsmechanismen unterstützt AWS Client VPN?

A: AWS Client VPN unterstützt die Authentifizierung mit Active Directory über AWS Directory Services, zertifikatsbasierte Authentifizierung und föderierte Authentifizierung über SAML-2.0.

F: Kann ich einen lokalen Active Directory-Service zur Authentifizierung von Benutzern verwenden?

A: Ja. AWS Client VPN lässt sich in AWS Directory Service integrieren, sodass das Herstellen einer Verbindung mit einer lokalen Active Directory-Instanz möglich ist.

F: Unterstützt AWS Client VPN die gegenseitige Authentifizierung?

A: Ja, AWS Client VPN unterstützt die gegenseitige Authentifizierung. Wenn die gegenseitige Authentifizierung aktiviert ist, muss der Kunde das Stammzertifikat hochladen, das zur Ausstellung des Clientzertifikats auf dem Server verwendet wird.

F: Kann ich Client-Zertifikate auf die Blacklist setzen?

A: Ja, AWS Client VPN unterstützt eine statisch konfigurierte Zertifikatsperrliste (Certificate Revocation List, CRL).

F: Unterstützt AWS Client VPN die Möglichkeit für einen Kunden, sein eigenes Zertifikat zu verwenden?

A: Ja. Sie müssen das Zertifikat, das Stammzertifikat der Zertifizierungsstelle (Certification Authority, CA) und den privaten Schlüssel des Servers hochladen. Diese werden in AWS Certificate Manager hochgeladen.

F: Lässt sich AWS Client VPN mit AWS Certificate Manager (ACM) integrieren, um Serverzertifikate zu generieren?

A: Ja. Sie können ACM als untergeordnete Zertifizierungsstelle verwenden, die mit einer externen Stammzertifizierungsstelle verkettet ist. ACM generiert dann das Serverzertifikat. In diesem Szenario übernimmt der ACM auch die Rotation des Serverzertifikats.

F: Unterstützt AWS Client VPN die Statusbewertung?

A: Nein. AWS Client VPN unterstützt keine Statusbewertung. Andere AWS-Services, z. B. Amazon Inspectors, unterstützen die Statusbewertung.

F: Unterstützt AWS Client VPN Multi-Factor Authentication (MFA)?

A: Ja, AWS Client VPN unterstützt MFA über Active Directory unter Verwendung von AWS Directory Services und über externe Identitätsanbieter (z. B. Okta).

F: Wie unterstützt AWS Client VPN die Autorisierung?

A: Sie konfigurieren Berechtigungsregeln, die die Benutzer einschränken, die auf ein Netzwerk zugreifen können. Für ein angegebenes Zielnetzwerk können Sie die Active Directory-Gruppe/Identity Provider-Gruppe konfigurieren, der der Zugriff gestattet ist. Nur Benutzer, die zu dieser Active Directory-Gruppe/Identity Provider-Gruppe gehören, können auf das angegebene Netzwerk zugreifen.

F: Unterstützt AWS Client VPN Sicherheitsgruppen?

A: Client VPN unterstützt Sicherheitsgruppen. Sie können eine Sicherheitsgruppe für die Gruppe der Zuordnungen angeben. Wenn ein Subnetz zugeordnet ist, wenden wir automatisch die Standard-Sicherheitsgruppe der VPC des Subnetzes an.

F: Wie verwende ich die Sicherheitsgruppe, um den Zugriff auf meine Anwendungen nur für Client VPN-Verbindungen zu beschränken?

A: Für Ihre Anwendung können Sie festlegen, dass der Zugriff nur von den Sicherheitsgruppen gewährt wird, die auf das zugehörige Subnetz angewendet wurden. Jetzt beschränken Sie den Zugriff auf Benutzer, die über Client VPN verbunden sind.

F: Kann ich bei der föderierten Authentifizierung das IDP-Metadatendokument ändern?

A: Ja, Sie können ein neues Metadatendokument in den IAM-Identitätsanbieter hochladen, der dem Client-VPN-Endpunkt zugeordnet ist. Aktualisierte Metadaten werden in 2 bis 4 Stunden wiedergegeben.

F: Kann ich einen OpenVPN-Client eines Drittanbieters verwenden, um eine Verbindung zu einem Client-VPN-Endpunkt herzustellen, der mit föderaler Authentifizierung konfiguriert ist?

A: Nein, Sie müssen den AWS Client VPN-Software-Client verwenden, um eine Verbindung mit dem Endpunkt herzustellen.

Transparenz und Überwachung mit AWS Client VPN

F: Welche Protokolle werden für AWS Client VPN unterstützt?

A: Client VPN exportiert das Verbindungsprotokoll nach besten Kräften in CloudWatch Logs. Diese Protokolle werden regelmäßig im Abstand von 15 Minuten exportiert. Die Verbindungsprotokolle enthalten Details zu erstellten und abgebrochenen Verbindungsanforderungen.

F: Unterstützt Client VPN Amazon VPC Flow Logs im Endpunkt?

A: Nein. Sie können Amazon VPC Flow Logs in der zugehörigen VPC verwenden.

F: Kann ich aktive Verbindungen überwachen?

A: Ja, über die CLI oder Konsole können Sie die aktuellen aktiven Verbindungen für einen Endpunkt anzeigen und aktive Verbindungen beenden.

F: Kann ich mit CloudWatch nach Endpunkten überwachen?

A: Ja. Mit der CloudWatch-Überwachung können Sie für jeden Client VPN-Endpunkt die ein- und ausgehenden Bytes sowie aktive Verbindungen sehen.

VPN-Clients

F: Wie stelle ich den kostenlosen Software-Client für AWS Client VPN bereit?

A: Der Software-Client für AWS Client VPN ist mit bestehenden AWS Client VPN-Konfigurationen kompatibel. Der Client unterstützt das Hinzufügen von Profilen mit Hilfe der OpenVPN-Konfigurationsdatei, die vom AWS-Client-VPN-Dienst generiert wird. Sobald das Profil erstellt ist, stellt der Client eine Verbindung zu Ihrem Endpunkt basierend auf Ihren Einstellungen her.

F: Wie hoch ist der zusätzliche Preis für die Nutzung des Software-Clients von AWS Client VPN?

A: Der Software-Client wird kostenlos zur Verfügung gestellt. Ihnen wird nur die Nutzung des AWS Client VPN-Dienstes in Rechnung gestellt.

F: Welche Gerätetypen und Betriebssystemversionen werden unterstützt?

A: Wir unterstützen derzeit Desktop-Geräte mit Windows 10 (64-Bit-Version) und MacOS (High Sierra, Mojave und Catalina). Sobald neue Betriebssysteme veröffentlicht werden, werden wir schnell Unterstützung für diese hinzufügen.

F: Werden meine Verbindungsprofile zwischen all meinen Geräten synchronisiert?

A: Nein, aber IT-Administratoren können Konfigurationsdateien für ihre Software-Client-Bereitstellung zur Vorkonfiguration von Einstellungen bereitstellen.

F: Benötige ich auf meinem Gerät eine Admin-Berechtigung, um den Software-Client von AWS Client VPN auszuführen?

A: Ja. Sie benötigen Admin-Zugang, um die Anwendung sowohl unter Windows als auch unter Mac zu installieren. Danach ist kein Admin-Zugang mehr erforderlich.

F: Welches VPN-Protokoll wird vom Client von AWS Client VPN verwendet?

A: AWS Client VPN, einschließlich des Software-Clients, unterstützt das OpenVPN-Protokoll.

F: Werden alle vom AWS-Client-VPN-Dienst unterstützten Funktionen durch den Software-Client unterstützt?

A: Ja. Der Client unterstützt alle Funktionen, die der AWS Client VPN-Dienst bietet.

F: Ermöglicht der Software-Client von AWS Client VPN den LAN-Zugriff, wenn er angeschlossen ist?

A: Ja, Sie können auf Ihr lokales Netzwerk zugreifen, wenn Sie mit AWS VPN Client verbunden sind.

F: Welche Authentifizierungsfunktionen unterstützt der Software-Client?

A: Der AWS Client VPN Software-Client unterstützt alle vom AWS Client VPN-Dienst angebotenen Authentifizierungsmechanismen - Authentifizierung mit Active Directory über AWS Directory Services, zertifikatsbasierte Authentifizierung und föderierte Authentifizierung über SAML-2.0.

F: Welche Art der Client-Protokollierung wird von AWS Client VPN unterstützt?

A: Wenn ein Benutzer versucht, eine Verbindung herzustellen, werden die Details des Verbindungsaufbaus protokolliert. Verbindungsversuche werden bis zu 30 Tage mit einer maximalen Dateigröße von 90 MB gespeichert.

F: Kann ich den Software-Client von AWS Client VPN und standardbasierten OpenVPN-Clients, die sich mit dem AWS Client VPN-Endpunkt verbinden, mischen?

A: Ja, vorausgesetzt, dass der auf dem AWS-Client-VPN-Endpunkt definierte Authentifizierungstyp vom standardbasierten OpenVPN-Client unterstützt wird.

F: Wo kann ich den Software-Client von AWS Client VPN herunterladen?

A: Sie können den generischen Client ohne jegliche Anpassungen von der AWS Client VPN-Produktseite herunterladen. IT-Administratoren können sich dafür entscheiden, den Download in ihrem eigenen System zu hosten.

F: Kann ich mehrere Arten von VPN-Clients auf einem Gerät ausführen?

A: Wir raten davon ab, mehrere VPN-Clients auf einem Gerät auszuführen. Dies kann zu Konflikten führen oder die VPN-Clients können sich gegenseitig stören und zu erfolglosen Verbindungen führen. Das AWS-Client-VPN kann jedoch neben einem anderen VPN-Client installiert werden.

Virtual Private Gateway

F: Was ist das für eine Funktion?

A: Für alle neuen virtuellen Gateways ermöglicht die konfigurierbare Private Autonomous System Number (ASN) es den Kunden, die ASN auf der Amazon-Seite der BGP-Sitzung für VPNs und private VIFs für AWS Direct Connect festzulegen.

F: Was kostet diese Funktion?

A: Für diese Funktion fallen keine zusätzlichen Gebühren an.

F: Wie kann ich meine ASN konfigurieren bzw. zuweisen, damit sie auf Amazon-Seite als ASN angezeigt wird?

A: Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können über die VPC-Konsole oder einen EC2/CreateVpnGateway API-Aufruf ein virtuelles Gateway erstellen.

F: Welche ASN hat Amazon vor dem Einsetzen dieser Funktion verwendet?

A: Amazon hat die folgenden ASNs zugewiesen: EU West (Dublin) 9059; Asien-Pazifik (Singapur) 17493 und Asien-Pazifik (Tokio) 10124. Allen weiteren Regionen wurde die ASN 7224 zugewiesen; diese ASNs werden als „vorhandene öffentliche ASN“ der Region bezeichnet.

F: Kann ich eine ASN verwenden – öffentlich und privat?

A: Sie können der Amazon-Seite jede private ASN zuweisen. Sie können die „vorhandene öffentliche ASN“ der Region bis zum 30. Juni 2018 zuweisen; die Zuweisung einer anderen öffentlichen ASN ist nicht möglich. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Warum kann ich der Amazon-Seite der BGP-Sitzung keine öffentliche ASN zuweisen?

A: Die Eigentumsverhältnisse der ASNs werden von Amazon nicht validiert. Aus diesem Grund ist die Amazon-seitige ASN auf private ASNs begrenzt. Wir möchten die Kunden vor BGP-Spoofing schützen.

F: Welche ASN kann ich wählen?

A: Sie können jede beliebige private ASN wählen. Die privaten 16-Bit-ASNs reichen von 64512 bis 65534. Zusätzlich können Sie auch 32-Bit-ASNs zwischen 4200000000 und 4294967294 bereitstellen.

Amazon stellt eine Standard-ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Was passiert, wenn ich versuche, eine öffentliche ASN für die Amazon-Hälfte der BGP-Sitzung zuweisen?

A: In diesem Fall fordern wir Sie auf, eine ASN einzugeben, wenn Sie versuchen, das virtuelle Gateway zu erstellen, wenn es sich nicht um die „vorhandene öffentliche ASN“ der Region handelt.

F: Welche ASN weist Amazon mir voraussichtlich zu, wenn ich keine ASN für die Amazon-Seite der BGP-Sitzung bereitstelle?

A: Amazon stellt eine ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Wo kann ich die ASN der Amazon-Seite anzeigen?

A: Sie können die ASN auf Amazon-Seite auf der Seite des virtuellen Gateways der VPC-Konsole und in der Antwort von EC2/DescribeVpnGateways API anzeigen.

F: Wenn ich eine öffentliche ASN verwende, funktioniert diese mit einer privaten ASN auf der AWS-Seite?

A: Ja, Sie können die Amazon-Seite der BGP-Sitzung mit einer privaten ASN und Ihre Seite mit einer öffentlichen ASN konfigurieren.

F: Ich habe bereits private VIFs konfiguriert und möchte eine andere ASN auf Amazon-Seite für die BGP-Sitzung auf einer vorhandenen VIF festlegen. Wie kann ich diese Änderung durchführen?

A: Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und eine neue VIF mit dem neu erstellten virtuellen Gateway einrichten. Ihre Gerätekonfiguration muss auch entsprechend geändert werden.

F: Ich habe bereits VPN-Verbindungen konfiguriert und möchte die ASN auf Amazon-Seite für die BGP-Sitzungen dieser VPNs ändern. Wie kann ich diese Änderung durchführen?

A: Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und Ihre VPN-Verbindungen zwischen Ihren Kunden-Gateways und dem neu erstellten virtuellen Gateway neu einrichten.

F: Ich verfüge bereits über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für das neue private virtuelle Gateway automatisch generiert, welche ASN auf Amazon-Seite wird zugewiesen?

A: Amazon weist die ASN 64512 auf Amazon-Seite für das neue virtuelle Gateway zu.

F: Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN konfiguriert wurde. Ich möchte dieselbe von Amazon zugewiesene öffentliche ASN für die neue private VIF/VPN-Verbindung nutzen, die ich gerade erstelle. Wie gehe ich dazu vor?

A: Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können das virtuelle Gateway über die Konsole oder einen EC2/CreateVpnGateway API-Aufruf erstellen. Wie bereits angekündigt, stellt Amazon bis zum 30. Juni 2018 die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit der von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für die neue private VIF/VPN-Verbindung mit demselben virtuellen Gateway automatisch generiert, welche ASN wird mir dann auf Amazon-Seite zugewiesen?

A: Amazon weist die ASN 7224 als ASN auf Amazon-Seite für die neue VIF/VPN-Verbindung zu. Die ASN auf Amazon-Seite für Ihre neue private VIF/VPN-Verbindung wird von Ihrem vorhandenen virtuellen Gateway übernommen und standardmäßig auf diese ASN festgelegt.

F: Ich hänge mehrere private VIFs an ein einzelnes virtuelles Gateway an. Kann jede VIF eine separate ASN auf Amazon-Seite erhalten?

A: Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede virtuelle Schnittstelle (VIF) verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VIF wird von der ASN auf Amazon-Seite des angehängten virtuellen Gateways übernommen.

F: Ich bin dabei, mehrere VPN-Verbindungen mit einem einzelnen virtuellen Gateway zu erstellen. Kann jede VPN-Verbindung über eine eigene ASN auf Amazon-Seite verfügen?

A: Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede VPN-Verbindung verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VPN-Verbindung wird von der ASN auf Amazon-Seite des virtuellen Gateways übernommen.

F: Wo kann ich meine eigene ASN auswählen?

A: Deaktivieren Sie bei der Erstellung eines virtuellen Gateways in der VPC-Konsole die Option, bei der Sie gefragt werden, ob Sie eine automatisch generierte Amazon BGP ASN wünschten, und geben Sie Ihre eigene private ASN für die Amazon-Seite der BGP-Sitzung an. Sobald das virtuelle Gateway mit der ASN auf Amazon-Seite konfiguriert wurde, verwenden die privaten VIFs oder VPN-Verbindungen, die mit dem virtuellen Gateway erstellt wurden, Ihre ASN auf Amazon-Seite.

F: Ich verwende CloudHub. Muss ich meine Konfigurationen in Zukunft anpassen?

A: Sie müssen keinerlei Änderungen vornehmen.

F: Ich möchte eine 32-Bit-ASN auswählen. Welchen Bereich umfassen die privaten 32-Bit-ASNs?

A: Wir unterstützen 32-Bit-ASNs im Bereich 4200000000 bis 4294967294.

F: Kann ich nach der Erstellung des virtuellen Gateways die ASN auf Amazon-Seite ändern oder modifizieren?

A: Nein, nach der Erstellung können Sie die ASN auf Amazon-Seite nicht mehr modifizieren. Sie können das virtuelle Gateway löschen und ein neues virtuelles Gateway mit der gewünschten ASN erstellen.

F: Gibt es eine neue API zum Konfigurieren/Zuweisen der ASN auf Amazon-Seite?

A: Nein. Sie können diesen Vorgang mit derselben API wie zuvor durchführen (EC2/CreateVpnGateway). Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

F: Gibt es eine neue API zum Anzeigen der ASN auf Amazon-Seite?

A: Nein. Sie können die ASN auf Amazon-Seite mit derselben EC2/DescribeVpnGateways-API anzeigen. Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Weitere Informationen zu Preisen

Einfache Preisgestaltung, sodass leicht erkennbar ist, was für Sie das Richtige ist.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Mit der Entwicklung in der Konsole beginnen

Unternehmen Sie die ersten Entwicklungsschritte mit AWS VPN in der AWS-Konsole.

Erste Schritte