Häufig gestellte Fragen zu AWS VPN

Warum AWS VPN?

AWS VPN besteht aus zwei Services: AWS Site-to-Site VPN und AWS Client VPN. Mit AWS Site-to-Site VPN können Sie Ihr lokales Netzwerk oder Ihre Zweigstelle sicher mit der eigenen Amazon Virtual Private Cloud (Amazon VPC) verbinden. Mit AWS Client VPN lassen sich Benutzer sicher mit AWS- oder lokalen Netzwerken verbinden.

Allgemeine Fragen

Der Client-VPN-Endpunkt ist ein regionales Konstrukt, das Sie für die Verwendung des Service konfigurieren. Die VPN-Sitzungen der Endbenutzer enden am Client VPN-Endpunkt. Im Rahmen der Konfiguration des Client VPN-Endpunkts geben Sie die Authentifizierungsdaten, Informationen des Serverzertifikats, die Zuteilung der Client-IP-Adresse, die Protokollierung und VPN-Optionen an.

Ein Zielnetzwerk ist ein Netzwerk, das Sie dem Client-VPN-Endpunkt zuordnen, der einen sicheren Zugriff auf Ihre AWS-Ressourcen und den Zugriff auf On-Premises-Ressourcen ermöglicht. Derzeit ist das Zielnetzwerk ein Subnetz in Ihrer Amazon VPC.

Fakturierung

VPN-Verbindungsstunden werden für die Zeiten berechnet, zu denen Ihre VPN-Verbindungen verfügbar waren. Sie können den Status einer VPN-Verbindung über die AWS Management Console, die Befehlszeilen-Schnittstelle oder die API ermitteln. Wenn Sie Ihre VPN-Verbindung nicht mehr verwenden möchten, beenden Sie sie einfach, um zu verhindern, dass Ihnen weitere VPN-Verbindungsstunden in Rechnung gestellt werden.

Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen

Einrichtung und Verwaltung von AWS Site-to-Site VPN

Ja. Mit der AWS-Managementkonsole können Sie IPSec-VPN-Verbindungen wie AWS Site-to-Site VPN verwalten.

Genaue Informationen zu Limits und Kontingenten von AWS Site-to-Site VPN finden Sie in unserer Dokumentation.

Anbindung von AWS Site-to-Site VPN

Sie können Ihre VPC mithilfe einer Hardware-VPN-Verbindung über das Virtual Private Gateway mit Ihrem Unternehmensrechenzentrum verbinden.

Instances ohne öffentliche IP-Adressen können auf eine von zwei Arten auf das Internet zugreifen:

Instances ohne öffentliche IP-Adressen können den Datenverkehr über ein NAT-Gateway oder eine NAT-Instance umleiten, um auf das Internet zuzugreifen. Diese Instances verwenden für den Internetzugriff die öffentliche IP-Adresse des NAT-Gateways oder der NAT-Instance. Das NAT-Gateway oder die NAT-Instance ermöglicht die ausgehende Kommunikation, aber nicht, dass Computer im Internet eine Verbindung zu Instances mit privaten Adressen herstellen.

Bei VPCs mit einer Hardware-VPN- oder Direct Connect-Verbindung können Instances ihren Internetdatenverkehr über das Virtual Private Gateway zu Ihrem vorhandenen Rechenzentrum leiten. Von hier kann sie über die vorhandenen Austrittspunkte und Netzwerksicherheits-/-überwachungsgeräte auf das Internet zugreifen.

Eine AWS Site-to-Site VPN-Verbindung verbindet Ihre VPC mit Ihrem Rechenzentrum. Amazon unterstützt IPsec(Internet Protocol Security)-VPN-Verbindungen. Zwischen Ihrer VPC und dem Rechenzentrum übertragene Daten werden über eine verschlüsselte VPN-Verbindung geleitet, wodurch die Vertraulichkeit und Integrität der übertragenen Daten gewährleistet wird. Zum Einrichten einer Site-to-Site VPN-Verbindung wird kein Internet-Gateway benötigt.

IPsec ist eine Protokollfamilie zur Sicherung der Internetprotokoll (IP)-Kommunikation durch Authentifizierung und Verschlüsselung jedes IP-Pakets eines Datenstroms.

Sie können zwei Arten von AWS-Site-to-Site-VPN-Verbindungen erstellen: Verbindungen mit statischem Routing und mit dynamischem Routing. Kunden-Gateway-Geräte, die VPN-Verbindungen mit statischem Routing unterstützt, müssen folgende Aufgaben erfüllen:

Herstellen einer IKE Security Association mit Pre-Shared Keys

Herstellen von IPsec Security Associations im Tunnel-Modus

Nutzen Sie die AES-Verschlüsselungsfunktion mit 128-Bit, 256-Bit, 128-Bit-GCM-16 oder 256-GCM-16

Verwenden Sie die Hashing-Funktion SHA-1, SHA-2 (256), SHA2 (384) oder SHA2 (512)

Verwenden des Diffie-Hellman (DH) Perfect Forward Secrecy im "Gruppe 2“-Modus oder einer der von uns unterstützten DH-Gruppen

Durchführen der Paketfragmentierung vor der Verschlüsselung

Zu den zuvor genannten Fähigkeiten müssen Site-to-Site VPN-Verbindungen mit dynamischem Routing folgende Aufgaben ausführen können:

Herstellen von Border Gateway Protocol(BGP)-Peerings

Binden von Tunnels zu logischen Schnittstellen (routenbasiertes VPN)

Verwenden der Dead Peer Detection für IPsec

Wir unterstützen die folgenden Diffie-Hellman(DH)-Gruppen in Phase 1 und Phase 2.

Phase 1: DH-Gruppen 2, 14-24.

Phase 2: DH-Gruppen 2, 5, 14-24.

Standardmäßig wird dann der VPN-Endpunkt auf der AWS-Seite AES-128, SHA-1 und DH-Gruppe 2 vorschlagen. Wenn Sie einen spezifischen Vorschlag für die Neuverschlüsselung wünschen, empfehlen wir Ihnen, die VPN-Tunneloptionen mit "Modify VPN Tunnel Options" auf die von Ihnen benötigten spezifischen VPN-Parameter zu beschränken.

Im Netzwerkadministrator-Handbuch finden Sie eine Liste der Geräte, die die oben genannten Anforderungen erfüllen, und von denen bekannt ist, dass sie für hardwaregestützte VPN-Verbindungen verwendet werden können. Die Befehlszeilen-Tools bieten Unterstützung für die automatische Erstellung von Konfigurationsdateien für das jeweilige Gerät.

Wir empfehlen Ihnen, das Amazon-VPC-Forum zu besuchen, da möglicherweise bereits andere Kunden Ihr Gerät verwenden.

Jede AWS-Site-to-Site-VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt einen maximalen Durchsatz von bis zu 1,25 Gb/s. Wenn Ihre VPN-Verbindung zu einem Virtual Private Gateway besteht, würden aggregierte Durchsatzgrenzen gelten.

Virtual Private Gateway hat ein Gesamtdurchsatzlimit pro Verbindungstyp. Mehrere VPN-Verbindungen zu demselben Virtual Private Gateway sind durch ein Gesamtdurchsatzlimit von AWS zu den On-Premises von bis zu 1,25 Gbps gebunden. Bei einer AWS Direct Connect-Verbindung auf einem Virtual Private Gateway wird der Durchsatz durch den physischen Direct Connect-Port selbst gebunden. Um eine Verbindung zu mehreren VPCs herzustellen und höhere Durchsatzgrenzen zu erreichen, verwenden Sie AWS Transit Gateway.

Der Durchsatz bei VPN-Verbindungen hängt von mehreren Faktoren ab: Fähigkeit des Kunden-Gateways, Kapazität der Internetverbindung, durchschnittliche Paketgröße, verwendetes Protokoll, TCP im Vergleich zu UDP) und Latenz im Netzwerk zwischen dem Kunden-Gateway und dem Virtual Private Gateway.

Jede AWS-Site-to-Site-VPN-Verbindung verfügt über zwei Tunnel und jeder Tunnel unterstützt maximal 140 000 Pakete pro Sekunde.  

Die DescribeVPNConnection-API zeigt den Status der VPN-Verbindung an. Hierzu zählen auch der Status ("up"/"down") der einzelnen VPN-Tunnel und die entsprechenden Fehlermeldungen, wenn ein Tunnel nicht verfügbar ("down") ist. Diese Information wird auch in der AWS Management Console angezeigt.

Durch eine Hardware-VPN-Verbindung zwischen Ihrem vorhandenen Netzwerk und Amazon VPC können Sie mit Amazon EC2-Instances in einer VPC so interagieren, als ob Sie sich in Ihrem vorhandenen Netzwerk befinden würden. AWS führt kein Network Address Translation (NAT) bei Amazon-EC2-Instances in einer VPC durch, auf die über eine Hardware-VPN-Verbindung zugegriffen wird.

Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.

Der AWS VPN-Service ist eine routenbasierte Lösung. Daher gelten bei Verwendung einer routenbasierten Konfiguration keine Einschränkungen hinsichtlich der Anzahl der Sicherheitsverbindungen. Wenn Sie jedoch eine richtlinienbasierte Lösung verwenden, ist nur eine Sicherheitsverbindung möglich, da es sich bei dem Service um eine routenbasierte Lösung handelt.

Ja, Sie können den Datenverkehr über die VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.

Ihre VPN-Verbindung wirbt für maximal 1 000 Routen zum Kunden-Gateway-Gerät. Bei VPNs auf einem Virtual Private Gateway umfassen die ausgeschriebenen Routenquellen VPC-Routen, andere VPN-Routen und Routen von virtuellen DX-Schnittstellen. Bei VPNs auf einem AWS Transit Gateway stammen die ausgeschriebenen Routen aus der dem VPN-Anhang zugeordneten Routentabelle. Wenn versucht wird, mehr als 1.000 Routen zu versenden, wird nur eine Teilmenge von 1.000 Routen ausgeschrieben.  

Sie können maximal 100 Routen zu Ihrer Site-to-Site-VPN-Verbindung auf einem virtuellen privaten Gateway von Ihrem Kunden-Gateway-Gerät oder maximal 1 000 Routen zu Ihrer Site-to-Site-VPN-Verbindung auf einem AWS Transit Gateway bekannt geben. Bei einer VPN-Verbindung mit statischen Routen können Sie nicht mehr als 100 statische Routen hinzufügen. Bei einer VPN-Verbindung mit BGP wird die BGP-Sitzung zurückgesetzt, wenn Sie versuchen, mehr als das Maximum für den Gateway-Typ zu bewerben.

Ja. VPN-Verbindungen zu einem AWS Transit Gateway können entweder IPv4- oder IPv6-Verkehr unterstützen, der beim Erstellen einer neuen VPN-Verbindung ausgewählt werden kann. Um IPv6 für den VPN-Verkehr auszuwählen, setzen Sie die VPN-Tunnel-Option für Inside IP Version auf IPv6. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.

Standardmäßig muss Ihr Kunden-Gateway (CGW) IKE initiieren. Alternativ können die AWS-VPN-Endpunkte durch Aktivierung der entsprechenden Optionen initiiert werden.

Ja. Die Funktion private IP-Site-to-Site-VPN erlaubt Ihnen die Bereitstellung von VPN-Verbindungen zu einem AWS Transit Gateway unter Verwendung privater IP-Adressen. Private IP VPN funktioniert über eine virtuelle Transitschnittstelle (VIF) von AWS Direct Connect. Sie können während des Aufbaus einer neuen VPN-Verbindung private IP-Adressen als externe Tunnel-IP-Adressen auswählen. Beachten Sie, dass die Tunnel-Endpunkt- und Kunden-Gateway-IP-Adressen nur IPv4 sind.

Nein, die IPSec-Verschlüsselung und der Schlüsselaustausch funktionieren bei privaten IP-Site-to-Site-VPN-Verbindungen genauso wie bei öffentlichen IP-VPN-Verbindungen.

Ja, Sie benötigen ein Transit-Gateway, um private IP-VPN-Verbindungen einzurichten. Außerdem erfordert ein privater IP-VPN-Anhang auf Transit Gateway einen Direct-Connect-Anhang für den Transport. Während Sie eine private IP-VPN-Verbindung zu einem Transit-Gateway konfigurieren, müssen Sie eine Direct-Connect-Anhang-ID angeben. Mehrere private IP-VPN-Verbindungen können den gleichen Direct-Connect-Anhang für den Transport verwenden.

Ja, private IP-VPNs unterstützen sowohl statisches Routing als auch dynamisches Routing mit BGP. Wenn Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt, geben Sie bei der Konfiguration Ihrer Site-to-Site-VPN-Verbindung dynamisches Routing an. Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, geben Sie statisches Routing an. Es wird empfohlen, BGP-fähige Geräte zu verwenden, wenn diese verfügbar sind, da das BGP-Protokoll robuste Prüfungen zur Erkennung der Lebensfähigkeit bietet, die den Failover zum zweiten VPN-Tunnel unterstützen können, wenn der erste Tunnel ausfällt.

Die Routing-Tabellen-Zuordnung und das Propagierungsverhalten ist für einen privaten IP-VPN-Anhang das gleiche wie für jeden anderen Transit-Gateway-Anhang. Sie können eine Transit-Gateway-Routing-Tabelle mit dem privaten IP-VPN-Anhang verknüpfen und Routen vom privaten IP-VPN-Anhang an eine der Transit-Gateway-Routing-Tabellen weiterleiten.

Genau wie reguläre Site-to-Site-VPN-Verbindungen unterstützt jede private IP-VPN-Verbindung eine Bandbreite von 1,25 Gbit/s. Sie können ECMP (Equal Cost Multi-path) über mehrere private IP-VPN-Verbindungen verwenden, um die effektive Bandbreite zu erhöhen. Um zum Beispiel 10 Gbit/s DX-Verkehr über ein privates IP-VPN zu senden, können Sie 4 private IP-VPN-Verbindungen (4 Verbindungen x 2 Tunnel x 1,25 Gbit/s Bandbreite) mit ECMP zwischen einem Paar aus Transit-Gateway und Kunden-Gateway verwenden.

Nein, Sie können keinen ECMP-Datenverkehr über private und öffentliche IP-VPN-Verbindungen durchführen. ECMP für private IP-VPNs funktioniert nur bei VPN-Verbindungen mit privaten IP-Adressen.

Private IP-VPN-Verbindungen unterstützen eine MTU von 1 500 Byte.

Nein, sowohl Transit-Gateway als auch Site-to-Site-VPN-Verbindungen müssen zum selben AWS-Konto gehören.

Der Service AWS Site-to-Site VPN ist in allen kommerziellen Regionen verfügbar, außer in den AWS-Regionen Asien-Pazifik (Peking) und Asien-Pazifik (Ningxia). Die Funktion Private IP-VPN wird in allen AWS-Regionen unterstützt, in denen der AWS-Site-to-Site-VPN-Service verfügbar ist.

AWS Accelerated Site-to-Site VPN

Bei VPN-Verbindungen sind Verfügbarkeit und Leistung nicht konsistent, da der Datenverkehr über mehrere öffentliche Netzwerke im Internet läuft, bevor er den VPN-Endpunkt in AWS erreicht. Diese öffentlichen Netzwerke können überlastet sein. Jeder Hop kann Verfügbarkeits- und Leistungsrisiken mit sich bringen. Accelerated Site-to-Site VPN sorgt durch die Nutzung des hochverfügbaren und überlastungsfreien globalen AWS-Netzwerks für eine konsistentere Benutzererfahrung.

Legen Sie beim Erstellen einer VPN-Verbindung die Option „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ fest.

In der Beschreibung Ihrer VPN-Verbindung sollte der Wert für „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ festgelegt sein.

Erstellen Sie ein neues beschleunigtes Site-to-Site-VPN, aktualisieren Sie Ihr Kunden-Gateway-Gerät, um eine Verbindung mit dieser neuen VPN-Verbindung herzustellen, und löschen Sie dann Ihre vorhandene VPN-Verbindung. Sie erhalten neue Tunnelendpunkt-Internetprotokoll(IP)-Adressen, da beschleunigte VPNs andere IP-Adressbereiche als nicht beschleunigte VPN-Verbindungen verwenden.

Nur Transit Gateway unterstützt beschleunigtes Site-to-Site-VPN. Beim Erstellen einer VPN-Verbindung muss ein Transit Gateway angegeben werden. Der VPN-Endpunkt auf der AWS-Seite wird auf dem Transit Gateway erstellt.

Ja, jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit.

NAT-T ist erforderlich und für beschleunigte Site-to-Site-VPN-Verbindungen standardmäßig aktiviert. Darüber hinaus unterstützen beschleunigte und nicht beschleunigte VPN-Tunnel die gleichen IP-Sicherheits(IPSec)- und Internet Key Exchange(IKE)-Protokolle und bieten die gleiche Bandbreite, die gleichen Tunnel- und Routingoptionen und die gleichen Authentifizierungstypen.

Ja, wir wählen globale AWS Global Accelerator-Internetprotokolladressen (IPs) aus unabhängigen Netzwerk-Zones für die beiden Tunnelendpunkte aus.

Nein, beschleunigtes Site-to-Site-VPN kann nur über AWS Site-to-Site VPN erstellt werden. Accelerated Site-to-Site VPNs können nicht über die AWS Global Accelerator-Konsole oder -API erstellt werden.

Nein, beschleunigtes Site-to-Site-VPN ist über öffentliche virtuelle Direct-Connect-Schnittstellen nicht verfügbar. In den meisten Fällen gibt es keinen Beschleunigungsvorteil von Accelerated Site-to-Site VPN bei der Verwendung über öffentliches Direct Connect.

Beschleunigtes Site-to-Site-VPN ist derzeit in diesen AWS-Regionen verfügbar: USA West (Oregon), USA West (Nordkalifornien), USA Ost (Ohio), USA Ost (Nordvirginia), Südamerika (Sao Paulo), Naher Osten (Bahrain), Europa (Stockholm), Europa (Paris), Europa (Mailand), Europa (London), Europa (Irland), Europa (Frankfurt), Kanada (Zentral), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Singapur), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai), Asien-Pazifik (Hongkong), Afrika (Kapstadt).

Transparenz und Überwachung mit AWS Site-to-Site VPN

Site-to-Site-VPN-Verbindungsprotokolle enthalten Details zu IP Security (IPsec) Tunnelaufbauaktivitäten, einschließlich Internet-Key-Exchange-Verhandlungen (IKE) und Dead-Peer-Detection-Protokollnachrichten (DPD). Diese Protokolle werden regelmäßig in 5-Minuten-Intervallen exportiert und nach bestem Bemühen an die CloudWatch-Protokolle geliefert.

Ja, Sie können Site-to-Site-VPN-Protokolle sowohl für Transit-Gateway- als auch für Virtual-Gateway-basierte VPN-Verbindungen aktivieren.

Ja, Sie können die Site-to-Site-VPN-Protokolle über die Tunneloptionen aktivieren, wenn Sie Ihre Verbindung erstellen oder ändern.

Wenn Sie Site-to-Site-VPN-Protokolle für eine bestehende VPN-Verbindung aktivieren, indem Sie die Optionen zum Ändern des Tunnels verwenden, wird Ihre Verbindung über den Tunnel für bis zu mehrere Minuten unterbrochen. Jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit. Sie können die Protokollierung jeweils für einen Tunnel aktivieren und nur der geänderte Tunnel ist davon betroffen. Weitere Informationen finden Sie unter Ersetzen von Site-to-Site VPN-Tunnelendpunkten im Benutzerhandbuch für AWS Site-to-Site VPN.

Einrichtung und Verwaltung von AWS Client VPN

Der IT-Administrator erstellt einen Client-VPN-Endpunkt, ordnet diesem Endpunkt ein Zielnetzwerk zu und richtet die Zugriffsrichtlinien für die Endbenutzerkonnektivität ein. Der IT-Administrator verteilt die Client VPN-Konfigurationsdatei an die Endbenutzer. Endbenutzer müssen einen OpenVPN-Client herunterladen und die Client VPN-Konfigurationsdatei verwenden, um ihre VPN-Sitzung zu erstellen.

Endbenutzer müssen einen OpenVPN-Client auf ihr Gerät herunterladen. Anschließend importiert der Benutzer die AWS Client VPN-Konfigurationsdatei in den OpenVPN-Client und initiiert eine VPN-Verbindung.

Anbindung von AWS Client VPN

Sie können die Konnektivität zu anderen Netzwerken wie über Peering verbundene Amazon VPCs, On-Premises Netzwerke über ein virtuelles Gateway oder AWS-Services wie S3 über Endpunkte, Netzwerke über AWS PrivateLink oder andere Ressourcen über ein Internet-Gateway aktivieren. Zum Aktivieren der Konnektivität fügen Sie in der Routentabelle des Client VPN eine Route zum jeweiligen Netzwerk hinzu und fügen dann eine Berechtigungsregel hinzu, die den Zugriff auf das jeweilige Netzwerk ermöglicht.

Nein, das zugeordnete Subnetz muss sich im gleichen Konto wie der Client-VPN-Endpunkt befinden.

Dies ist durch Ausführung der folgenden beiden Schritten möglich: Richten Sie zunächst eine überregionale Peering-Verbindung zwischen Ihrer Ziel-VPC (in der anderen Region) und der mit dem Client VPN verbundenen VPC ein. Zweitens müssen Sie im Client VPN-Endpunkt eine Route und Zugriffsregel für die Ziel-VPC hinzufügen. Ihre Benutzer können nun auf die Ressourcen in der Ziel-VPC zugreifen, die sich in einer anderen Region als Ihr Client VPN-Endpunkt befindet.

Sie können entweder TCP oder UDP für die VPN-Sitzung wählen.

Ja. Sie können einen Endpunkt mit aktiviertem oder deaktiviertem Split-Tunnel erstellen. Wenn Sie zuvor einen Endpunkt mit deaktiviertem Split-Tunnel erstellt haben, können Sie ihn ändern, um den Split-Tunnel zu aktivieren. Wenn der geteilte Tunnel aktiviert ist, wird der Verkehr, der für auf dem Endpunkt konfigurierte Routen bestimmt ist, über den VPN-Tunnel weitergeleitet. Der gesamte andere Datenverkehr wird über Ihre lokale Netzwerkschnittstelle weitergeleitet. Wenn der geteilte Tunnel deaktiviert ist, wird der gesamte Datenverkehr vom Gerät durch den VPN-Tunnel geleitet.

Authentifizierung und Autorisierung mit AWS Client VPN

AWS Client VPN unterstützt die Authentifizierung mit Active Directory über AWS Directory Services, zertifikatsbasierte Authentifizierung und Verbundauthentifizierung über SAML-2.0.

Ja. AWS Client VPN lässt sich in AWS Directory Service integrieren, sodass das Herstellen einer Verbindung mit einer lokalen Active Directory-Instanz möglich ist.

Ja, AWS Client VPN unterstützt die gegenseitige Authentifizierung. Wenn die gegenseitige Authentifizierung aktiviert ist, muss der Kunde das Stammzertifikat hochladen, das zur Ausstellung des Clientzertifikats auf dem Server verwendet wird.

Ja, AWS Client VPN unterstützt eine statisch konfigurierte Zertifikatsperrliste (Certificate Revocation List, CRL).

Ja. Sie müssen das Zertifikat, das Stammzertifikat der Zertifizierungsstelle (Certification Authority, CA) und den privaten Schlüssel des Servers hochladen. Diese werden in AWS Certificate Manager hochgeladen.

Ja. Sie können ACM als untergeordnete Zertifizierungsstelle verwenden, die mit einer externen Stammzertifizierungsstelle verkettet ist. ACM generiert dann das Serverzertifikat. In diesem Szenario übernimmt der ACM auch die Rotation des Serverzertifikats.

Nein. AWS Client VPN unterstützt keine Statusbewertung. Andere AWS-Services, z. B. Amazon Inspectors, unterstützen die Statusbewertung.

Ja, AWS Client VPN unterstützt MFA über Active Directory unter Verwendung von AWS Directory Services und über externe Identitätsanbieter (z. B. Okta).

Sie konfigurieren Berechtigungsregeln, die die Benutzer einschränken, die auf ein Netzwerk zugreifen können. Für ein angegebenes Zielnetzwerk können Sie die Active Directory-Gruppe/Identity Provider-Gruppe konfigurieren, der der Zugriff gestattet ist. Nur Benutzer, die zu dieser Active Directory-Gruppe/Identity Provider-Gruppe gehören, können auf das angegebene Netzwerk zugreifen.

Client VPN unterstützt Sicherheitsgruppen. Sie können eine Sicherheitsgruppe für die Gruppe der Zuordnungen angeben. Wenn ein Subnetz zugeordnet ist, wenden wir automatisch die Standard-Sicherheitsgruppe der VPC des Subnetzes an.

Für Ihre Anwendung können Sie festlegen, dass der Zugriff nur von den Sicherheitsgruppen gewährt wird, die auf das zugehörige Subnetz angewendet wurden. Jetzt beschränken Sie den Zugriff auf Benutzer, die über Client VPN verbunden sind.

Ja, Sie können ein neues Metadatendokument in den IAM-Identitätsanbieter hochladen, der dem Client-VPN-Endpunkt zugeordnet ist. Aktualisierte Metadaten werden in 2 bis 4 Stunden wiedergegeben.

Nein, Sie müssen den Software-Client von AWS Client VPN verwenden, um eine Verbindung mit dem Endpunkt herzustellen.

Transparenz und Überwachung mit AWS Client VPN

Client-VPN exportiert das Verbindungsprotokoll bestmöglich in CloudWatch-Protokolle. Diese Protokolle werden regelmäßig im Abstand von 15 Minuten exportiert. Die Verbindungsprotokolle enthalten Details zu erstellten und abgebrochenen Verbindungsanforderungen.

Nein. Sie können Amazon-VPC-Flow-Protokolle in der zugehörigen VPC verwenden.

Ja, über die CLI oder Konsole können Sie die aktuellen aktiven Verbindungen für einen Endpunkt anzeigen und aktive Verbindungen beenden.

Ja. Mit der CloudWatch-Überwachung können Sie für jeden Client VPN-Endpunkt die ein- und ausgehenden Bytes sowie aktive Verbindungen sehen.

VPN-Clients

Der Software-Client für AWS Client VPN ist mit bestehenden AWS-Client-VPN-Konfigurationen kompatibel. Der Client unterstützt das Hinzufügen von Profilen mit Hilfe der OpenVPN-Konfigurationsdatei, die vom AWS-Client-VPN-Dienst generiert wird. Sobald das Profil erstellt ist, stellt der Client eine Verbindung zu Ihrem Endpunkt basierend auf Ihren Einstellungen her.

Der Software-Client wird kostenlos zur Verfügung gestellt. Ihnen wird nur die Nutzung des AWS Client VPN-Dienstes in Rechnung gestellt.

Der Desktop-Client unterstützt aktuell Geräte mit 64-Bit Windows 10, macOS (Mojave, Catalina und Big Sur) und Ubuntu Linux (18.04 und 20.04). 

Nein, aber IT-Administratoren können Konfigurationsdateien für ihre Software-Client-Bereitstellung zur Vorkonfiguration von Einstellungen bereitstellen.

Ja. Sie benötigen Admin-Zugang, um die Anwendung sowohl unter Windows als auch unter Mac zu installieren. Danach ist kein Admin-Zugang mehr erforderlich.

AWS Client VPN, einschließlich des Software-Clients, unterstützt das OpenVPN-Protokoll.

Ja. Der Client unterstützt alle Funktionen, die der AWS Client VPN-Dienst bietet.

Ja, Sie können auf Ihr lokales Netzwerk zugreifen, wenn Sie mit AWS VPN Client verbunden sind.

Der Software-Client AWS Client VPN unterstützt alle vom AWS-Client-VPN-Service angebotenen Authentifizierungsmechanismen – Authentifizierung mit Active Directory über AWS Directory Services, zertifikatsbasierte Authentifizierung und Verbundauthentifizierung über SAML-2.0.

Wenn ein Benutzer versucht, eine Verbindung herzustellen, werden die Details des Verbindungsaufbaus protokolliert. Verbindungsversuche werden bis zu 30 Tage mit einer maximalen Dateigröße von 90 MB gespeichert.

Ja, vorausgesetzt, dass der auf dem AWS-Client-VPN-Endpunkt definierte Authentifizierungstyp vom standardbasierten OpenVPN-Client unterstützt wird.

Sie können den generischen Client ohne jegliche Anpassungen von der Produktseite für AWS Client VPN herunterladen. IT-Administratoren können sich dafür entscheiden, den Download in ihrem eigenen System zu hosten.

Wir raten davon ab, mehrere VPN-Clients auf einem Gerät auszuführen. Dies kann zu Konflikten führen oder die VPN-Clients können sich gegenseitig stören und zu erfolglosen Verbindungen führen. Das AWS-Client-VPN kann jedoch neben einem anderen VPN-Client installiert werden.

Virtual Private Gateway

Für alle neuen virtuellen Gateways ermöglicht die konfigurierbare private autonome Systemnummer (ASN) es den Kunden, die ASN auf der Amazon-Seite der BGP-Sitzung für VPNs und private VIFs für AWS Direct Connect festzulegen.

Für diese Funktion fallen keine zusätzlichen Gebühren an.

Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können über die VPC-Konsole oder einen EC2/CreateVpnGateway API-Aufruf ein virtuelles Gateway erstellen.

Amazon hat die folgenden ASNs zugewiesen: EU West (Dublin) 9059; Asien-Pazifik (Singapur) 17493 und Asien-Pazifik (Tokio) 10124. Allen weiteren Regionen wurde die ASN 7224 zugewiesen; diese ASNs werden als „vorhandene öffentliche ASN“ der Region bezeichnet.

Sie können der Amazon-Seite jede private ASN zuweisen. Sie können die "vorhandene öffentliche ASN" der Region bis zum 30. Juni 2018 zuweisen; die Zuweisung einer anderen öffentlichen ASN ist nicht möglich. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

Die Eigentumsverhältnisse der ASNs werden von Amazon nicht validiert; aus diesem Grund ist die ASN auf Amazon-Seite auf private ASNs begrenzt. Wir möchten die Kunden vor BGP-Spoofing schützen.

Sie können jede beliebige private ASN wählen. Die privaten 16-Bit-ASNs reichen von 64512 bis 65534. Zusätzlich können Sie auch 32-Bit-ASNs zwischen 4200000000 und 4294967294 bereitstellen.

Amazon stellt eine Standard-ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

In diesem Fall fordern wir Sie auf, eine ASN einzugeben, wenn Sie versuchen, das virtuelle Gateway zu erstellen, wenn es sich nicht um die „vorhandene öffentliche ASN“ der Region handelt.

Amazon stellt eine ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

Sie können die ASN auf Amazon-Seite auf der Seite des virtuellen Gateways der VPC-Konsole und in der Antwort der EC2/DescribeVpnGateways-API anzeigen.

Ja, Sie können die Amazon-Seite der BGP-Sitzung mit einer privaten ASN und Ihre Seite mit einer öffentlichen ASN konfigurieren.

Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und eine neue VIF mit dem neu erstellten virtuellen Gateway einrichten. Ihre Gerätekonfiguration muss auch entsprechend geändert werden.

Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und Ihre VPN-Verbindungen zwischen Ihren Kunden-Gateways und dem neu erstellten virtuellen Gateway neu einrichten.

Amazon weist die ASN 64512 auf Amazon-Seite für das neue virtuelle Gateway zu.

Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können das virtuelle Gateway über die Konsole oder einen EC2/CreateVpnGateway API-Aufruf erstellen. Wie bereits angekündigt, stellt Amazon bis zum 30. Juni 2018 die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

Amazon weist die ASN 7224 als ASN auf Amazon-Seite für die neue VIF/VPN-Verbindung zu. Die ASN auf Amazon-Seite für Ihre neue private VIF/VPN-Verbindung wird von Ihrem vorhandenen virtuellen Gateway übernommen und standardmäßig auf diese ASN festgelegt.

Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede virtuelle Schnittstelle (VIF) verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VIF wird von der ASN auf Amazon-Seite des angehängten virtuellen Gateways übernommen.

Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede VPN-Verbindung verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VPN-Verbindung wird von der ASN auf Amazon-Seite des virtuellen Gateways übernommen.

Deaktivieren Sie bei der Erstellung eines virtuellen Gateways in der VPC-Konsole die Option, bei der Sie gefragt werden, ob Sie eine automatisch generierte Amazon-BGP-ASN wünschten, und geben Sie Ihre eigene private ASN für die Amazon-Seite der BGP-Sitzung an. Sobald das virtuelle Gateway mit der ASN auf Amazon-Seite konfiguriert wurde, verwenden die privaten VIFs oder VPN-Verbindungen, die mit dem virtuellen Gateway erstellt wurden, Ihre ASN auf Amazon-Seite.

Sie müssen keinerlei Änderungen vornehmen.

Wir unterstützen 32-Bit-ASNs im Bereich 4200000000 bis 4294967294.

Nein, nach der Erstellung können Sie die ASN auf Amazon-Seite nicht mehr modifizieren. Sie können das virtuelle Gateway löschen und ein neues virtuelles Gateway mit der gewünschten ASN erstellen.

Nein. Sie können diesen Vorgang mit derselben API wie zuvor durchführen (EC2/CreateVpnGateway). Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

Nein. Sie können die ASN auf Amazon-Seite mit derselben EC2/DescribeVpnGateways-API anzeigen. Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

ASN im Bereich 1 – 2147483647 mit den angegebenen Ausnahmen können verwendet werden. Bitte lesen Sie den Abschnitt Kunden-Gateway-Optionen für Ihre AWS-Site-to-Site-VPN-Verbindung im AWS-VPN-Benutzerhandbuch.   

Ja. Bitte beachten Sie, dass private ASN im Bereich von (4200000000 bis 4294967294) derzeit NICHT für die Kunden-Gateway-Konfiguration unterstützt wird. Bitte lesen Sie den Abschnitt Kunden-Gateway-Optionen für Ihre AWS-Site-to-Site-VPN-Verbindung im AWS-VPN-Benutzerhandbuch.