AWS VPN besteht aus zwei Services: AWS Site-to-Site VPN und AWS Client VPN. Mit AWS Site-to-Site VPN können Sie Ihr lokales Netzwerk oder Ihre Zweigstelle sicher mit der eigenen Amazon Virtual Private Cloud (Amazon VPC) verbinden. Mit AWS Client VPN lassen sich Benutzer sicher mit AWS- oder lokalen Netzwerken verbinden.

Allgemeine Fragen

F: Was ist ein Client VPN-Endpunkt?

A: Der Client VPN-Endpunkt ist ein regionales Konstrukt, das Sie für die Verwendung des Service konfigurieren. Die VPN-Sitzungen der Endbenutzer enden am Client VPN-Endpunkt. Im Rahmen der Konfiguration des Client VPN-Endpunkts geben Sie die Authentifizierungsdaten, Informationen des Serverzertifikats, die Zuteilung der Client-IP-Adresse, die Protokollierung und VPN-Optionen an.

F: Was ist ein Zielnetzwerk?

A: Ein Zielnetzwerk ist ein Netzwerk, das Sie dem Client VPN-Endpunkt zuordnen, der einen sicheren Zugriff auf Ihre AWS-Ressourcen und den Zugriff auf lokale Ressourcen ermöglicht. Derzeit ist das Zielnetzwerk ein Subnetz in Ihrer Amazon VPC.

Abrechnung

F: Wie werden zu berechnende VPN-Verbindungsstunden definiert?

A: VPN-Verbindungsstunden werden für die Zeiten berechnet, zu denen Ihre VPN-Verbindungen verfügbar waren. Sie können den Status einer VPN-Verbindung über die AWS-Managementkonsole, die Befehlszeilenschnittstelle oder die API ermitteln. Wenn Sie Ihre VPN-Verbindung nicht mehr verwenden möchten, beenden Sie sie einfach, um zu verhindern, dass Ihnen weitere VPN-Verbindungsstunden in Rechnung gestellt werden.

F: Sind Steuern bereits in den Preisen enthalten?

A: Sofern nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer. Weitere Informationen

Einrichtung und Verwaltung von AWS Site-to-Site VPN

F: Kann ich die AWS-Managementkonsole zum Steuern und Verwalten von AWS Site-to-Site VPN verwenden?

A: Ja. Mit der AWS-Managementkonsole können Sie IPSec-VPN-Verbindungen wie AWS Site-to-Site VPN verwalten.

F: Wie viele Kunden-Gateways, Virtual Private Gateways und AWS Site-to-Site VPN-Verbindungen kann ich erstellen?

A: Sie können Folgendes erstellen:

  • Ein Internet-Gateway pro VPC
  • Fünf Virtual Private Gateways pro AWS-Konto für jede AWS-Region
  • 50 Kunden-Gateways pro AWS-Konto für jede AWS-Region
  • Zehn IPsec-VPN-Verbindungen pro Virtual Private Gateway

Weitere Informationen zu VPC-Limits finden Sie im VPC-Benutzerhandbuch.

Anbindung von AWS Site-to-Site VPN

F: Welche VPN-Anbindungsoptionen sind für meine VPC verfügbar?

A: Sie können Ihre VPC mithilfe einer Hardware-VPN-Verbindung (über das Virtual Private Gateway) mit Ihrem Unternehmensrechenzentrum verbinden.

F: Wie greifen Instances ohne öffentliche IP-Adressen auf das Internet zu?

A: Instances ohne öffentliche IP-Adressen können auf eine von zwei Arten auf das Internet zugreifen:

Instances ohne öffentliche IP-Adressen können den Datenverkehr über ein NAT-Gateway oder eine NAT-Instance umleiten, um auf das Internet zuzugreifen. Diese Instances verwenden für den Internetzugriff die öffentliche IP-Adresse des NAT-Gateways oder der NAT-Instance. Das NAT-Gateway oder die NAT-Instance ermöglicht die ausgehende Kommunikation, aber nicht, dass Computer im Internet eine Verbindung zu Instances mit privaten Adressen herstellen.

Bei VPCs mit einer Hardware-VPN- oder Direct Connect-Verbindung können Instances ihren Internetdatenverkehr über das Virtual Private Gateway zu Ihrem vorhandenen Rechenzentrum leiten. Von hier ist über die vorhandenen Austrittspunkte und Netzwerksicherheits-/Netzwerküberwachungsgeräte der Zugriff auf das Internet möglich.

Wie funktioniert eine AWS Site-to-Site VPN-Verbindung mit Amazon VPC?

A: Eine AWS Site-to-Site VPN-Verbindung verbindet Ihre VPC mit Ihrem Rechenzentrum. Amazon unterstützt IPsec(Internet Protocol Security)-VPN-Verbindungen. Zwischen Ihrer VPC und dem Rechenzentrum übertragene Daten werden über eine verschlüsselte VPN-Verbindung geleitet, wodurch die Vertraulichkeit und Integrität der übertragenen Daten gewährleistet wird. Zum Einrichten einer Site-to-Site VPN-Verbindung wird kein Internet-Gateway benötigt.

F: Was ist IPsec?

A: IPsec ist ein Sicherheitsprotokoll, das die IP-Kommunikation (Internet Protocol) durch Authentifizierung und Verschlüsselung jedes IP-Pakets eines Datenstroms schützt.

F: Welche Kunden-Gateway-Geräte kann ich für die Verbindung mit Amazon VPC verwenden?

A: Sie können zwei Arten von AWS Site-to-Site VPN-Verbindungen erstellen: Verbindungen mit statischem Routing und mit dynamischem Routing. Kunden-Gateway-Geräte, die VPN-Verbindungen mit statischem Routing unterstützen, müssen folgende Aufgaben ausführen können:

Herstellen einer IKE Security Association mit Pre-Shared Keys

Herstellen von IPsec Security Associations im Tunnel-Modus

Verwenden der AES-128- oder AES-256-Bit-Verschlüsselungsfunktion

Verwenden der SHA-1- oder SHA-2 (256)-Hashing-Funktion

Verwenden des Diffie-Hellman (DH) Perfect Forward Secrecy im "Gruppe 2“-Modus oder einer der von uns unterstützten DH-Gruppen

Durchführen der Paketfragmentierung vor der Verschlüsselung

Zu den zuvor genannten Fähigkeiten müssen Site-to-Site VPN-Verbindungen mit dynamischem Routing folgende Aufgaben ausführen können:

Herstellen von Border Gateway Protocol(BGP)-Peerings

Binden von Tunneln an logische Schnittstellen (routenbasiertes VPN)

Verwenden der Dead Peer Detection für IPsec

F: Welche Diffie-Hellman-Gruppen werden unterstützt?

A: Wir unterstützen die folgenden Diffie-Hellman(DH)-Gruppen in Phase 1 und Phase 2.

Phase 1: DH-Gruppen 2, 14–18, 22, 23, 24

Phase 2: DH-Gruppen 2, 5, 14–18, 22, 23, 24

F: Von welchen Kunden-Gateway-Geräte ist bekannt, dass sie mit Amazon VPC funktionieren?

A: Im Netzwerkadministrator-Handbuch finden Sie eine Liste der Geräte, die die oben genannten Anforderungen erfüllen, und von denen bekannt ist, dass sie für hardwaregestützte VPN-Verbindungen verwendet werden können. Die Befehlszeilen-Tools bieten Unterstützung für die automatische Erstellung von Konfigurationsdateien für das jeweilige Gerät.

F: Wo erhalte ich weitere Informationen zur Verwendung von Geräten mit Amazon VPC, wenn sie nicht aufgeführt sind?

A: Wir empfehlen, sich im Amazon VPC-Forum mit anderen Kunden über deren Erfahrungen mit Ihrem Gerät auszutauschen.

F. Welcher Durchsatz lässt sich mit einer Site-to-Site VPN-Verbindung ungefähr maximal erreichen?

A: Das virtuelle Gateway unterstützt IPsec-VPN-Durchsatz bis zu 1,25 GBit/s. Mehrere VPN-Verbindungen mit demselben VPC sind kumulativ an den Durchsatz des virtuellen Gateways von 1,25 Gbit/s gebunden.

F. Welche Faktoren beeinflussen den Durchsatz meiner VPN-Verbindung?

A: Der Durchsatz bei VPN-Verbindungen hängt von mehreren Faktoren ab: Fähigkeiten des Kunden-Gateways, Kapazität der Internetverbindung, durchschnittliche Paketgröße, verwendetes Protokoll (TCP oder UDP) und Latenz im Netzwerk zwischen dem Kunden-Gateway und dem Virtual Private Gateway.

F: Welche Tools stehen mir zur Verfügung, um Probleme mit meiner Site-to-Site VPN-Konfiguration zu lösen?

A: Die DescribeVPNConnection-API zeigt den Status der VPN-Verbindung an. Hierzu zählen auch der Status („up“/„down“) der einzelnen VPN-Tunnel und die entsprechenden Fehlermeldungen, wenn ein Tunnel nicht verfügbar („down“) ist. Diese Information wird auch in der AWS-Managementkonsole angezeigt.

F: Wie verbinde ich eine VPC mit meinem Unternehmensrechenzentrum?

A: Durch eine Hardware-VPN-Verbindung zwischen Ihrem vorhandenen Netzwerk und Amazon VPC können Sie mit Amazon EC2-Instances in einer VPC so interagieren, als ob Sie sich in Ihrem vorhandenen Netzwerk befinden würden. AWS führt kein Network Address Translation (NAT) bei Amazon EC2-Instances in einer VPC durch, auf die über eine Hardware-VPN-Verbindung zugegriffen wird.

F: Kann ich NAT für mein Kunden-Gateway hinter einem Router oder einer Firewall anwenden?

A: Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

F: Welche IP-Adresse muss ich für meine Kunden-Gateway-Adresse verwenden?

A: Sie verwenden die öffentliche IP-Adresse Ihres NAT-Geräts.

F: Wie deaktiviere ich NAT-T für meine Verbindung?

A: Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP-Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.

F: Ich möchte mehrere Kunden-Gateways hinter einem NAT verwenden. Wie kann ich das konfigurieren?

A: Sie müssen NAT-T auf Ihrem Gerät deaktivieren. Wenn Sie nicht vorhaben, NAT-T zu verwenden, und es auf Ihrem Gerät nicht deaktiviert ist, versuchen wir, über UDP-Port 4500 einen Tunnel einzurichten. Wenn dieser Port nicht offen ist, wird der Tunnel nicht eingerichtet.

F: Wie viele IPsec-Sicherheitsverbindungen können pro Tunnel gleichzeitig eingerichtet werden?

A: Der AWS VPN-Service ist eine routenbasierte Lösung. Daher gelten bei Verwendung einer routenbasierten Konfiguration keine Einschränkungen hinsichtlich der Anzahl der Sicherheitsverbindungen. Wenn Sie jedoch eine richtlinienbasierte Lösung verwenden, ist nur eine Sicherheitsverbindung möglich, da es sich bei dem Service um eine routenbasierte Lösung handelt.

F: Kann ich den öffentlichen IP-Adressbereich meiner VPC im Internet verbreiten und den Datenverkehr durch mein Rechenzentrum über das Site-to-Site VPN zu meiner VPC weiterleiten?

A: Ja, Sie können den Datenverkehr über die Hardware-VPN-Verbindung leiten und den Adressbereich aus Ihrem Netzwerk verbreiten.

AWS Accelerated Site-to-Site VPN

F: Was spricht für die Verwendung von Accelerated Site-to-Site VPN?

A: Bei VPN-Verbindungen sind Verfügbarkeit und Leistung nicht konsistent, da der Datenverkehr über mehrere öffentliche Netzwerke im Internet läuft, bevor er den VPN-Endpunkt in AWS erreicht. Diese öffentlichen Netzwerke können überlastet sein. Jeder Hop kann Verfügbarkeits- und Leistungsrisiken mit sich bringen. Accelerated Site-to-Site VPN sorgt durch die Nutzung des hochverfügbaren und überlastungsfreien globalen AWS-Netzwerks für eine konsistentere Benutzererfahrung.

F: Wie kann ich ein Accelerated Site-to-Site VPN erstellen?

A: Legen Sie beim Erstellen einer VPN-Verbindung die Option „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ fest.

F: Wie finde ich heraus, ob meine vorhandene VPN-Verbindung ein Accelerated Site-to-Site VPN ist?

A: In der Beschreibung Ihrer VPN-Verbindung sollte der Wert für „Enable Acceleration“ (Beschleunigung aktivieren) auf „true“ festgelegt sein.

F: Wie kann ich mein vorhandenes Site-to-Site VPN in ein Accelerated Site-to-Site VPN umwandeln?

A: Erstellen Sie ein neues Accelerated Site-to-Site VPN, aktualisieren Sie Ihr Kunden-Gateway-Gerät, um eine Verbindung mit dieser neuen VPN-Verbindung herzustellen, und löschen Sie dann Ihre vorhandene VPN-Verbindung. Sie erhalten neue Tunnelendpunkt-Internetprotokoll(IP)-Adressen, da beschleunigte VPNs andere IP-Adressbereiche als nicht beschleunigte VPN-Verbindungen verwenden.

F: Wird Accelerated Site-to-Site VPN sowohl für das virtuelle Gateway als auch für das AWS Transit Gateway unterstützt?

A: Nur Transit Gateway unterstützt Accelerated Site-to-Site VPN. Beim Erstellen einer VPN-Verbindung muss ein Transit Gateway angegeben werden. Der VPN-Endpunkt auf der AWS-Seite wird auf dem Transit Gateway erstellt.

F: Bietet eine Accelerated Site-to-Site VPN-Verbindung zwei Tunnel für Hochverfügbarkeit?

A: Ja, jede VPN-Verbindung bietet zwei Tunnel für Hochverfügbarkeit.

F: Gibt es Protokollunterschiede zwischen beschleunigten und nicht beschleunigten Site-to-Site VPN-Tunneln?

A: NAT-T ist erforderlich und für Accelerated Site-to-Site VPN-Verbindungen standardmäßig aktiviert. Darüber hinaus unterstützen beschleunigte und nicht beschleunigte VPN-Tunnel die gleichen IP-Sicherheits(IPSec)- und Internet Key Exchange(IKE)-Protokolle und bieten die gleiche Bandbreite, die gleichen Tunnel- und Routingoptionen und die gleichen Authentifizierungstypen.

F: Bietet Accelerated Site-to-Site VPN zwei Netzwerkzonen für Hochverfügbarkeit?

A: Ja, wir wählen globale AWS Global Accelerator-Internetprotokolladressen (IPs) aus unabhängigen Netzwerkzonen für die beiden Tunnelendpunkte aus.

F: Ist Accelerated Site-to-Site VPN eine Option in AWS Global Accelerator?

A: Nein, Accelerated Site-to-Site VPN kann nur über AWS Site-to-Site VPN erstellt werden. Accelerated Site-to-Site VPNs können nicht über die AWS Global Accelerator-Konsole oder -API erstellt werden.

F: Kann ich Accelerated VPN über öffentliche virtuelle AWS Direct Connect-Schnittstellen nutzen?

A: Nein, Accelerated Site-to-Site VPN über öffentliche virtuelle Direct Connect-Schnittstellen ist nicht verfügbar. In den meisten Fällen gibt es keinen Beschleunigungsvorteil von Accelerated Site-to-Site VPN bei der Verwendung über öffentliches Direct Connect.

F: In welchen AWS-Regionen ist Accelerated Site-to-Site VPN verfügbar?

A: Accelerated Site-to-Site VPN ist derzeit in folgenden AWS-Regionen verfügbar: USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), USA West (Nordkalifornien), EU (Irland), EU (Frankfurt), EU (London), EU (Paris), Asien-Pazifik (Singapur), Asien-Pazifik (Hongkong), Asien-Pazifik (Tokio), Asien-Pazifik (Sydney), Asien-Pazifik (Seoul), Asien-Pazifik (Mumbai) und Kanada (Zentral).

 

Einrichtung und Verwaltung von AWS Client VPN

F: Wie richte ich AWS Client VPN ein?

A: Der IT-Administrator erstellt einen Client VPN-Endpunkt, ordnet diesem Endpunkt ein Zielnetzwerk zu und richtet die Zugriffsrichtlinien für die Endbenutzerkonnektivität ein. Der IT-Administrator verteilt die Client VPN-Konfigurationsdatei an die Endbenutzer. Endbenutzer müssen einen OpenVPN-Client herunterladen und die Client VPN-Konfigurationsdatei verwenden, um ihre VPN-Sitzung zu erstellen.

F: Welche Schritte umfasst die Einrichtung einer Verbindung für Endbenutzer?

A: Der Endbenutzer muss einen OpenVPN-Client auf sein Gerät herunterladen. Anschließend importiert der Benutzer die AWS Client VPN-Konfigurationsdatei in den OpenVPN-Client und initiiert eine VPN-Verbindung.


Anbindung von AWS Client VPN

F: Wie aktiviere ich die Konnektivität zu anderen Netzwerken?

A: Sie können die Konnektivität zu anderen Netzwerken wie über Peering verbundene Amazon VPCs, lokale Netzwerke über ein virtuelles Gateway oder AWS-Services wie S3 über Endpunkte, Netzwerke über AWS PrivateLink oder andere Ressourcen über ein Internet-Gateway aktivieren. Zum Aktivieren der Konnektivität fügen Sie in der Routentabelle des Client VPN eine Route zum jeweiligen Netzwerk hinzu und fügen dann eine Berechtigungsregel hinzu, die den Zugriff auf das jeweilige Netzwerk ermöglicht.

F: Kann der Client VPN-Endpunkt zu einem anderen Konto gehören als das zugehörige Subnetz?

A: Nein, das zugeordnete Subnetz muss sich im gleichen Konto wie der Client VPN-Endpunkt befinden.

F: Kann ich über eine private IP-Adresse auf Ressourcen in einer VPC zugreifen, die sich in einer anderen Region befindet, als die TLS-Sitzung, die ich einrichte?

A: Dies ist durch Ausführung der folgenden beiden Schritten möglich: Richten Sie zunächst eine überregionale Peering-Verbindung zwischen Ihrer Ziel-VPC (in der anderen Region) und der mit dem Client VPN verbundenen VPC ein. Zweitens müssen Sie im Client VPN-Endpunkt eine Route und Zugriffsregel für die Ziel-VPC hinzufügen. Ihre Benutzer können nun auf die Ressourcen in der Ziel-VPC zugreifen, die sich in einer anderen Region als Ihr Client VPN-Endpunkt befindet.

F: Welche Transportprotokolle werden von Client VPN unterstützt?

A: Sie können entweder TCP oder UDP für die VPN-Sitzung wählen.

F: Unterstützt AWS Client VPN geteilte Tunnel?

A: Ja. Sie können einen Endpunkt mit aktiviertem oder deaktiviertem Split-Tunnel erstellen. Wenn Sie zuvor einen Endpunkt mit deaktiviertem Split-Tunnel erstellt haben, können Sie ihn ändern, um den Split-Tunnel zu aktivieren. Wenn der geteilte Tunnel aktiviert ist, wird der Verkehr, der für auf dem Endpunkt konfigurierte Routen bestimmt ist, über den VPN-Tunnel weitergeleitet. Der gesamte andere Datenverkehr wird über Ihre lokale Netzwerkschnittstelle weitergeleitet. Wenn der geteilte Tunnel deaktiviert ist, wird der gesamte Datenverkehr vom Gerät durch den VPN-Tunnel geleitet.

Authentifizierung und Autorisierung mit AWS Client VPN

F: Welche Authentifizierungsmechanismen unterstützt AWS Client VPN?

A: Client VPN unterstützt die Authentifizierung bei Active Directory über AWS Directory Services und zertifikatbasierte Authentifizierung.

F: Kann ich einen lokalen Active Directory-Service zur Authentifizierung von Benutzern verwenden?

A: Ja. AWS Client VPN lässt sich in AWS Directory Service integrieren, sodass das Herstellen einer Verbindung mit einer lokalen Active Directory-Instanz möglich ist.

F: Unterstützt AWS Client VPN die gegenseitige Authentifizierung?

A: Ja, AWS Client VPN unterstützt die gegenseitige Authentifizierung. Wenn die gegenseitige Authentifizierung aktiviert ist, muss der Kunde das Stammzertifikat hochladen, das zur Ausstellung des Clientzertifikats auf dem Server verwendet wird.

F: Kann ich Client-Zertifikate auf die Blacklist setzen?

A: Ja, AWS Client VPN unterstützt eine statisch konfigurierte Zertifikatsperrliste (Certificate Revocation List, CRL).

F: Unterstützt AWS Client VPN die Möglichkeit für einen Kunden, sein eigenes Zertifikat zu verwenden?

A: Ja. Sie müssen das Zertifikat, das Stammzertifikat der Zertifizierungsstelle (Certification Authority, CA) und den privaten Schlüssel des Servers hochladen. Diese werden in AWS Certificate Manager hochgeladen.

F: Lässt sich AWS Client VPN mit AWS Certificate Manager (ACM) integrieren, um Serverzertifikate zu generieren?

A: Ja. Sie können ACM als untergeordnete Zertifizierungsstelle verwenden, die mit einer externen Stammzertifizierungsstelle verkettet ist. ACM generiert dann das Serverzertifikat. In diesem Szenario übernimmt der ACM auch die Rotation des Serverzertifikats.

F: Unterstützt AWS Client VPN die Statusbewertung?

A: Nein. AWS Client VPN unterstützt keine Statusbewertung. Andere AWS-Services, z. B. Amazon Inspectors, unterstützen die Statusbewertung.

F: Unterstützt AWS Client VPN Multi-Factor Authentication (MFA)?

A: Ja, AWS Client VPN unterstützt MFA über Active Directory mit AWS Directory Services.

F: Wie unterstützt AWS Client VPN die Autorisierung?

A: Sie konfigurieren Berechtigungsregeln, die die Benutzer einschränken, die auf ein Netzwerk zugreifen können. Sie konfigurieren die Active Directory-Gruppe für ein bestimmtes Netzwerk, auf welches der Zugriff zulässig ist. Nur Benutzer, die zu dieser Active Directory-Gruppe gehören, können auf das festgelegte Netzwerk zugreifen.

F: Unterstützt AWS Client VPN Sicherheitsgruppen?

A: Client VPN unterstützt Sicherheitsgruppen. Sie können eine Sicherheitsgruppe für die Gruppe der Zuordnungen angeben. Wenn ein Subnetz zugeordnet ist, wenden wir automatisch die Standard-Sicherheitsgruppe der VPC des Subnetzes an.

F: Wie verwende ich die Sicherheitsgruppe, um den Zugriff auf meine Anwendungen nur für Client VPN-Verbindungen zu beschränken?

A: Für Ihre Anwendung können Sie festlegen, dass der Zugriff nur von den Sicherheitsgruppen gewährt wird, die auf das zugehörige Subnetz angewendet wurden. Jetzt beschränken Sie den Zugriff auf Benutzer, die über Client VPN verbunden sind.

 

Transparenz und Überwachung mit AWS Client VPN

F: Welche Protokolle werden für AWS Client VPN unterstützt?

A: Client VPN exportiert das Verbindungsprotokoll nach besten Kräften in CloudWatch Logs. Diese Protokolle werden regelmäßig im Abstand von 15 Minuten exportiert. Die Verbindungsprotokolle enthalten Details zu erstellten und abgebrochenen Verbindungsanforderungen.

F: Unterstützt Client VPN Amazon VPC Flow Logs im Endpunkt?

A: Nein. Sie können Amazon VPC Flow Logs in der zugehörigen VPC verwenden.

F: Kann ich aktive Verbindungen überwachen?

A: Ja, über die CLI oder Konsole können Sie die aktuellen aktiven Verbindungen für einen Endpunkt anzeigen und aktive Verbindungen beenden.

F: Kann ich mit CloudWatch nach Endpunkten überwachen?

A: Ja. Mit der CloudWatch-Überwachung können Sie für jeden Client VPN-Endpunkt die ein- und ausgehenden Bytes sowie aktive Verbindungen sehen.

VPN-Clients

F: Welche Client-Geräte werden unterstützt?

A: Wir unterstützen OpenVPN-basierte Clients, einschließlich Windows, MAC, iOS, Android und Linux.

Virtual Private Gateway

F: Was ist das für eine Funktion?

A: Für alle neuen virtuellen Gateways ermöglicht die konfigurierbare Private Autonomous System Number (ASN) es den Kunden, die ASN auf der Amazon-Seite der BGP-Sitzung für VPNs und private VIFs für AWS Direct Connect festzulegen.

F: Was kostet diese Funktion?

A: Für diese Funktion fallen keine zusätzlichen Gebühren an.

F: Wie kann ich meine ASN konfigurieren bzw. zuweisen, damit sie auf Amazon-Seite als ASN angezeigt wird?

A: Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können über die VPC-Konsole oder einen EC2/CreateVpnGateway API-Aufruf ein virtuelles Gateway erstellen.

F: Welche ASN hat Amazon vor dem Einsetzen dieser Funktion verwendet?

A: Amazon hat die folgenden ASNs zugewiesen: EU West (Dublin) 9059; Asien-Pazifik (Singapur) 17493 und Asien-Pazifik (Tokio) 10124. Allen weiteren Regionen wurde die ASN 7224 zugewiesen; diese ASNs werden als „vorhandene öffentliche ASN“ der Region bezeichnet.

F: Kann ich eine ASN verwenden – öffentlich und privat?

A: Sie können der Amazon-Seite jede private ASN zuweisen. Sie können die „vorhandene öffentliche ASN“ der Region bis zum 30. Juni 2018 zuweisen; die Zuweisung einer anderen öffentlichen ASN ist nicht möglich. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Warum kann ich der Amazon-Seite der BGP-Sitzung keine öffentliche ASN zuweisen?

A: Die Eigentumsverhältnisse der ASNs werden von Amazon nicht validiert. Aus diesem Grund ist die Amazon-seitige ASN auf private ASNs begrenzt. Wir möchten die Kunden vor BGP-Spoofing schützen.

F: Welche ASN kann ich wählen?

A: Sie können jede beliebige private ASN wählen. Die privaten 16-Bit-ASNs reichen von 64512 bis 65534. Zusätzlich können Sie auch 32-Bit-ASNs zwischen 4200000000 und 4294967294 bereitstellen.

Amazon stellt eine Standard-ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Was passiert, wenn ich versuche, eine öffentliche ASN für die Amazon-Hälfte der BGP-Sitzung zuweisen?

A: In diesem Fall fordern wir Sie auf, eine ASN einzugeben, wenn Sie versuchen, das virtuelle Gateway zu erstellen, wenn es sich nicht um die „vorhandene öffentliche ASN“ der Region handelt.

F: Welche ASN weist Amazon mir voraussichtlich zu, wenn ich keine ASN für die Amazon-Seite der BGP-Sitzung bereitstelle?

A: Amazon stellt eine ASN für das virtuelle Gateway bereit, wenn Sie keine auswählen. Bis zum 30. Juni 2018 stellt Amazon die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Wo kann ich die ASN der Amazon-Seite anzeigen?

A: Sie können die ASN auf Amazon-Seite auf der Seite des virtuellen Gateways der VPC-Konsole und in der Antwort von EC2/DescribeVpnGateways API anzeigen.

F: Wenn ich eine öffentliche ASN verwende, funktioniert diese mit einer privaten ASN auf der AWS-Seite?

A: Ja, Sie können die Amazon-Seite der BGP-Sitzung mit einer privaten ASN und Ihre Seite mit einer öffentlichen ASN konfigurieren.

F: Ich habe bereits private VIFs konfiguriert und möchte eine andere ASN auf Amazon-Seite für die BGP-Sitzung auf einer vorhandenen VIF festlegen. Wie kann ich diese Änderung durchführen?

A: Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und eine neue VIF mit dem neu erstellten virtuellen Gateway einrichten. Ihre Gerätekonfiguration muss auch entsprechend geändert werden.

F: Ich habe bereits VPN-Verbindungen konfiguriert und möchte die ASN auf Amazon-Seite für die BGP-Sitzungen dieser VPNs ändern. Wie kann ich diese Änderung durchführen?

A: Sie müssen ein neues virtuelles Gateway mit der gewünschten ASN erstellen und Ihre VPN-Verbindungen zwischen Ihren Kunden-Gateways und dem neu erstellten virtuellen Gateway neu einrichten.

F: Ich verfüge bereits über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für das neue private virtuelle Gateway automatisch generiert, welche ASN auf Amazon-Seite wird zugewiesen?

A: Amazon weist die ASN 64512 auf Amazon-Seite für das neue virtuelle Gateway zu.

F: Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit einer von Amazon zugewiesenen öffentlichen ASN konfiguriert wurde. Ich möchte dieselbe von Amazon zugewiesene öffentliche ASN für die neue private VIF/VPN-Verbindung nutzen, die ich gerade erstelle. Wie gehe ich dazu vor?

A: Sie können eine ASN während der Erstellung des neuen Virtual Private Gateway (virtuelles Gateway) für die Anzeige als ASN auf Amazon-Seite konfigurieren/zuweisen. Sie können das virtuelle Gateway über die Konsole oder einen EC2/CreateVpnGateway API-Aufruf erstellen. Wie bereits angekündigt, stellt Amazon bis zum 30. Juni 2018 die „vorhandene öffentliche ASN“ der Region bereit. Nach dem 30. Juni 2018 stellt Amazon die ASN 64512 bereit.

F: Ich verfüge über ein virtuelles Gateway und eine private VIF/VPN-Verbindung, die mit der von Amazon zugewiesenen öffentlichen ASN 7224 konfiguriert wurde. Wenn Amazon die ASN für die neue private VIF/VPN-Verbindung mit demselben virtuellen Gateway automatisch generiert, welche ASN wird mir dann auf Amazon-Seite zugewiesen?

A: Amazon weist die ASN 7224 als ASN auf Amazon-Seite für die neue VIF/VPN-Verbindung zu. Die ASN auf Amazon-Seite für Ihre neue private VIF/VPN-Verbindung wird von Ihrem vorhandenen virtuellen Gateway übernommen und standardmäßig auf diese ASN festgelegt.

F: Ich hänge mehrere private VIFs an ein einzelnes virtuelles Gateway an. Kann jede VIF eine separate ASN auf Amazon-Seite erhalten?

A: Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede virtuelle Schnittstelle (VIF) verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VIF wird von der ASN auf Amazon-Seite des angehängten virtuellen Gateways übernommen.

F: Ich bin dabei, mehrere VPN-Verbindungen mit einem einzelnen virtuellen Gateway zu erstellen. Kann jede VPN-Verbindung über eine eigene ASN auf Amazon-Seite verfügen?

A: Nein. Auf Amazon-Seite können Sie zwar für jedes virtuelle Gateway, nicht aber für jede VPN-Verbindung verschiedene ASNs zuweisen bzw. konfigurieren. Die ASN auf Amazon-Seite für die VPN-Verbindung wird von der ASN auf Amazon-Seite des virtuellen Gateways übernommen.

F: Wo kann ich meine eigene ASN auswählen?

A: Deaktivieren Sie bei der Erstellung eines virtuellen Gateways in der VPC-Konsole die Option, bei der Sie gefragt werden, ob Sie eine automatisch generierte Amazon BGP ASN wünschten, und geben Sie Ihre eigene private ASN für die Amazon-Seite der BGP-Sitzung an. Sobald das virtuelle Gateway mit der ASN auf Amazon-Seite konfiguriert wurde, verwenden die privaten VIFs oder VPN-Verbindungen, die mit dem virtuellen Gateway erstellt wurden, Ihre ASN auf Amazon-Seite.

F: Ich verwende CloudHub. Muss ich meine Konfigurationen in Zukunft anpassen?

A: Sie müssen keinerlei Änderungen vornehmen.

F: Ich möchte eine 32-Bit-ASN auswählen. Welchen Bereich umfassen die privaten 32-Bit-ASNs?

A: Wir unterstützen 32-Bit-ASNs im Bereich 4200000000 bis 4294967294.

F: Kann ich nach der Erstellung des virtuellen Gateways die ASN auf Amazon-Seite ändern oder modifizieren?

A: Nein, nach der Erstellung können Sie die ASN auf Amazon-Seite nicht mehr modifizieren. Sie können das virtuelle Gateway löschen und ein neues virtuelles Gateway mit der gewünschten ASN erstellen.

F: Gibt es eine neue API zum Konfigurieren/Zuweisen der ASN auf Amazon-Seite?

A: Nein. Sie können diesen Vorgang mit derselben API wie zuvor durchführen (EC2/CreateVpnGateway). Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

F: Gibt es eine neue API zum Anzeigen der ASN auf Amazon-Seite?

A: Nein. Sie können die ASN auf Amazon-Seite mit derselben EC2/DescribeVpnGateways-API anzeigen. Wir haben nur einen neuen Parameter (amazonSideAsn) zu dieser API hinzugefügt.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Weitere Informationen zu Preisen

Einfache Preisgestaltung, sodass leicht erkennbar ist, was für Sie das Richtige ist.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Mit der Entwicklung in der Konsole beginnen

Unternehmen Sie die ersten Entwicklungsschritte mit AWS VPN in der AWS-Konsole.

Erste Schritte