# AWS IoT Core für LoRaWAN und Schnittstellen-VPC-Endpunkte (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

Sie können sich direkt mit AWS IoT Core für LoRaWAN über einen [Schnittstellen-VPC-Endpunkt (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) in Ihrer Virtual Private Cloud (VPC) verbinden, anstatt eine Verbindung über das Internet herzustellen. Wenn Sie einen Schnittstellen-VPC-Endpunkt verwenden, erfolgt die Kommunikation zwischen der VPC und AWS IoT Core für LoRaWAN vollständig und sicher innerhalb des AWS-Netzwerks.

AWS IoT Core für LoRaWAN unterstützt Amazon Virtual Private Cloud (Amazon VPC)-Schnittstellen-Endpunkte, die von AWS PrivateLink bereitgestellt werden. Jeder VPC-Endpunkt wird durch eine oder mehrere [Elastic Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) mit privaten IP-Adressen in Ihren VPC-Subnetzen repräsentiert. Weitere Informationen finden Sie unter [Schnittstellen-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon-VPC-Benutzerhandbuch*.

Weitere Informationen zu VPC und Endpunkten finden Sie unter [Was ist Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink).

Weitere Informationen finden Sie unter AWS PrivateLink, [AWS PrivateLink und VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html). 

## Überlegungen zu AWS IoT Wireless VPC-Endpunkten
<a name="vpc-endpoint-considerations"></a>

Bevor Sie einen Schnittstellen-VPC-Endpunkt für AWS IoT Wireless einrichten, lesen Sie über die [Eigenschaften und Einschränkungen von Schnittstellenendpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) im *Amazon VPC-Benutzerhandbuch* nach.

AWS IoT Wireless unterstützt Aufrufe all seiner API-Aktionen aus der VPC. VPC-Endpunktrichtlinien werden für AWS IoT Wireless nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf AWS IoT Wireless über den Endpunkt zulässig. Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*. 

## AWS IoT Core für LoRaWAN-PrivateLink-Architektur
<a name="vpc-endpoint-architecture"></a>

Das folgende Diagramm zeigt die AWS IoT Core für LoRaWAN-Architektur. Die Architektur verwendet ein Transit Gateway und einen Route 53 Resolver, um die Endpunkte der AWS PrivateLink-Schnittstellen zwischen Ihrer VPC, der AWS IoT Core für LoRaWAN-VPC und einer On-Premises-Umgebung gemeinsam zu nutzen. Ein detaillierteres Architekturdiagramm finden Sie beim Einrichten der Verbindung zu den Endpunkten der VPC-Schnittstellen.

![\[Das Bild zeigt, wie Sie AWS PrivateLink verwenden können, um eine Verbindung zu den AWS IoT Core für LoRaWAN-Endpunkten herzustellen.\]](http://docs.aws.amazon.com/de_de/iot-wireless/latest/developerguide/images/iot-lorawan-privatelink-architecture.png)


## AWS IoT Core für LoRaWAN-Endpunkte
<a name="vpc-lorawan-endpoints"></a>

AWS IoT Core für LoRaWAN hat drei öffentliche Endpunkte. Jeder öffentliche Endpunkt hat einen entsprechenden Schnittstellen-VPC-Endpunkt. Die öffentlichen Endpunkte können in Steuerebene- und Datenebene-Endpunkte unterteilt werden. Weitere Informationen zu diesen Endpunkten finden Sie unter [AWS IoT Core für LoRaWAN-API-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-wireless_region).
+ 

**Steuerebene-API-Endpunkte**  
 Sie können Steuerebene-API-Endpunkte verwenden, um mit den AWS IoT Wireless-APIs zu interagieren. Auf diese Endpunkte kann von einem Client aus zugegriffen werden, der in Ihrer Amazon VPC gehostet wird, indem Sie AWS PrivateLink verwenden.
+ 

**Datenebene-API Endpunkte**  
Bei den Datenebene-API-Endpunkten handelt es sich um Endpunkte für LoRaWAN-Netzwerkserver (LNS) und Configuration and Update Server (CUPS), die Sie für die Interaktion mit den AWS IoT Core für LoRaWAN-LNS- und CUPS-Endpunkten verwenden können. Auf diese Endpunkte kann von Ihren On-Premises-LoRa-Gateways aus zugegriffen werden, indem Sie Site-to-Site VPN oder AWS Direct Connect verwenden. Sie erhalten diese Endpunkte, wenn Sie Ihr Gateway in AWS IoT Core für LoRaWAN einbinden. Weitere Informationen finden Sie unter [Hinzufügen eines Gateways zu AWS IoT Core für LoRaWAN](lorawan-onboard-gateway-add.md).

**Topics**
+ [Überlegungen zu AWS IoT Wireless VPC-Endpunkten](#vpc-endpoint-considerations)
+ [AWS IoT Core für LoRaWAN-PrivateLink-Architektur](#vpc-endpoint-architecture)
+ [AWS IoT Core für LoRaWAN-Endpunkte](#vpc-lorawan-endpoints)
+ [Einbinden eines AWS IoT Core für LoRaWAN-Steuerebene-API-Endpunkts](lorawan-onboard-control-endpoint.md)
+ [AWS IoT Core für LoRaWAN-Datenebene-API-Endpunkte einbinden](onboard-lns-cups-endpoints.md)

# Einbinden eines AWS IoT Core für LoRaWAN-Steuerebene-API-Endpunkts
<a name="lorawan-onboard-control-endpoint"></a>

Sie können AWS IoT Core für LoRaWAN-Steuerebene-API-Endpunkte verwenden, um mit den AWS IoT Wireless-APIs zu interagieren. Sie können diesen Endpunkt beispielsweise verwenden, um die [SendDataToWirelessDevice](https://docs.aws.amazon.com/iot-wireless/2020-11-22/apireference/API_SendDataToWirelessDevice.html)-API auszuführen, um Daten von AWS IoT an Ihr LoRaWAN-Gerät zu senden. Weitere Informationen finden Sie unter [AWS IoT Core für LoRaWAN-Steuerebene-API-Endpunkte](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-control-plane-endpoints).

Sie können den in Ihrer Amazon VPC gehosteten Client verwenden, um auf die Steuerebene-Endpunkte zuzugreifen, die durch AWS PrivateLink mit Strom versorgt werden. Sie können diese Endpunkte verwenden, um eine Verbindung zur AWS IoT Wireless-API über einen Schnittstellenendpunkt in Ihrer Virtual Private Cloud (VPC) herzustellen, anstatt sich über das Internet zu verbinden.

**Topics**
+ [Erstellen Sie Ihre Amazon VPC und Ihr Subnetz](#create-vpc)
+ [Starten einer Amazon-EC2-Instance in Ihrem Subnetz](#launch-ec2-instance)
+ [Amazon-VPC-Schnittstellenendpunkt erstellen](#create-vpc-endpoint)
+ [Testen Ihrer Verbindung zum Internet-Endpunkt](#connect-vpc-endpoint)

## Erstellen Sie Ihre Amazon VPC und Ihr Subnetz
<a name="create-vpc"></a>

Bevor Sie eine Verbindung zum Schnittstellenendpunkt herstellen können, müssen Sie eine VPC und ein Subnetz erstellen. Anschließend starten Sie eine EC2-Instance in Ihrem Subnetz, mit der Sie eine Verbindung zum Schnittstellenendpunkt herstellen können. 

So erstellen Sie Ihre VPC:

1. Navigieren Sie zur Seite [VPCs](https://console.aws.amazon.com/vpc/home#/vpcs) auf der Amazon VPC-Konsole und wählen Sie **VPC erstellen** aus.

1. Auf der Seite **VPC erstellen**:
   + Geben Sie einen Namen für **VPC-Names-Tag – optional** ein (z. B. **VPC-A**).
   + Geben Sie für den IPv4-CIDR-Block einen IPv4-Adressbereich für Ihre VPC ein (z. B. **10.100.0.0/16**).

1. Behalten Sie die Standardwerte für andere Felder bei und wählen Sie **VPC erstellen** aus.

So erstellen Sie Ihr Subnetz:

1. Navigieren Sie zur Seite [Subnetze](https://console.aws.amazon.com/vpc/home#/subnets) der Amazon VPC-Konsole und wählen Sie **Subnetz erstellen** aus.

1. Auf der Seite **Subnetz erstellen**:
   + Für die **VPC-ID**: Wählen Sie die VPC aus, die Sie vorher erstellt haben (z. B. `VPC-A`).
   + Geben Sie unter **Subnetz-Name** einen Namen ein (z. B. **Private subnet**).
   + Wählen Sie die **Availability Zone** für Ihr Subnetz.
   + Geben Sie den IP-Adressblock Ihres Subnetzes in den **IPv4-CIDR-Block** im CIDR-Format ein (z. B. **10.100.0.0/24**).

1. Um Ihr Subnetz zu erstellen und es Ihrer VPC hinzuzufügen, wählen Sie **Subnetz erstellen** aus.

Weitere Informationen finden Sie unter [Arbeiten mit VPCs und Subnetzen](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html).

## Starten einer Amazon-EC2-Instance in Ihrem Subnetz
<a name="launch-ec2-instance"></a>

So starten Sie Ihre EC2-Instance:

1. Navigieren Sie zur [Amazon-EC2](https://console.aws.amazon.com/ec2/home#/)-Konsole und wählen Sie **Instance starten** aus.

1. Wählen Sie für AMI **Amazon Linux 2 AMI (HVM), SSD Volume Type** und anschließend den Instance-Typ **t2 micro** aus. Wählen Sie die Option **Weiter** aus, um die Instance-Details zu konfigurieren.

1. Gehen Sie auf der Seite **Instance-Details konfigurieren** wie folgt vor:
   + Wählen Sie für **Netzwerk** die VPC aus, die Sie vorher erstellt haben (z. B. `VPC-A`).
   + Wählen Sie für **Subnetz** das Subnetz aus, das Sie zuvor erstellt haben (z. B.**Private subnet**).
   + Wählen Sie für **IAM-Rolle** die Rolle **AWSIoTWirelessFullAccess** aus, um AWS IoT Core für LoRaWAN die vollen Zugriffsrichtlinie zu gewähren. Weitere Informationen finden Sie unter [`AWSIoTWirelessFullAccess` Richtlinienübersicht](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullAccess$serviceLevelSummary).
   + Verwenden Sie für **Angenommene private IP** eine IP-Adresse (**z. B. 10.100.0.42**).

1. Klicken Sie auf **Weiter: Speicher hinzufügen** und anschließend auf **Weiter: Tags hinzufügen**. Sie können optional beliebige Tags hinzufügen, die Ihrer EC2-Instance zugeordnet werden sollen. Wählen Sie **Weiter: Sicherheitsgruppe konfigurieren** aus.

1. Konfigurieren Sie auf der Seite **Sicherheitsgruppe konfigurieren** die Sicherheitsgruppe so, dass sie Folgendes zulässt:
   + Öffnen Sie **Alle TCP** für Source als `10.200.0.0/16`.
   + Öffnen Sie **Alle ICMP - IPV4** für Source als `10.200.0.0/16`.

1. Wenn Sie die Instance-Details überprüfen und Ihre EC2-Instance starten, wählen Sie **Überprüfen und starten**.

Weitere Informationen finden Sie unter [Erste Schritte mit Amazon-EC2-Linux-Instancen](https://docs.aws.amazon.com/AWSEC2/latest/userguide/EC2_GetStarted.html).

## Amazon-VPC-Schnittstellenendpunkt erstellen
<a name="create-vpc-endpoint"></a>

Sie können einen VPC-Endpunkt für Ihre VPC erstellen, auf den Sie dann über die EC2-API zugreifen können. So erstellen Sie den Endpunkt:

1. Navigieren Sie zur Konsole [VPC](https://console.aws.amazon.com/vpc/home#/endpoints)-**Endpunkte** und wählen Sie **Endpunkt erstellen** aus.

1. Geben Sie auf der Seite **Endpunkt erstellen** die folgenden Informationen an.
   + Wählen Sie **AWS-Services** als **Servicekategorie** aus.
   + Suchen Sie nach **Service-Name**, indem Sie das Schlüsselwort **iotwireless** eingeben. Wählen Sie in der Liste der angezeigten `iotwireless`-Services den Steuerebene-API-Endpunkt für Ihre Region aus. Der Endpunkt hat das Format `com.amazonaws.region.iotwireless.api`.
   + Wählen Sie für **VPC** und **Subnetze** die VPC aus, in der Sie den Endpunkt erstellen möchten, sowie die Availability Zones (AZs), in denen Sie das Endpunkt-Netzwerk erstellen möchten.
**Anmerkung**  
Der `iotwireless`-Service unterstützt möglicherweise nicht alle Availability Zones.
   + Wählen Sie für **DNS-Namen aktivieren** die Option **Für diesen Endpunkt aktivieren** aus. 

     Wenn Sie diese Option wählen, wird die DNS automatisch aufgelöst und eine Route in Amazon Route 53 Public Data Plane erstellt, sodass die APIs, die Sie später zum Testen der Verbindung verwenden, über die PrivateLink-Endpunkte laufen.
   + Wählen Sie für **Sicherheitsgruppe** die Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen zugeordnet werden sollen.
   + Optional können Sie Tags hinzufügen oder entfernen. Tags sind Name-Wert-Paare, die Sie verwenden, um sie Ihrem Endpunkt zuzuordnen. 

1. Um Ihren VPC-Endpunkt zu erstellen, wählen Sie **Endpunkt erstellen** aus.

## Testen Ihrer Verbindung zum Internet-Endpunkt
<a name="connect-vpc-endpoint"></a>

Sie können ein SSH verwenden, um auf Ihre Amazon-EC2-Instance zuzugreifen und dann AWS CLI verwenden, um eine Verbindung zu den PrivateLink-Schnittstellen-Endpunkten herzustellen.

Bevor Sie eine Verbindung zum Schnittstellen-Endpunkt herstellen, laden Sie die neueste AWS CLI-Version herunter, indem Sie den Anweisungen unter [Installation, Aktualisierung und Deinstallation der AWS CLI-Version 2 unter Linux](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2-linux.html) folgen.

In den folgenden Beispielen wird gezeigt, wie Sie Ihre Verbindung zum Schnittstellen-Endpunkt mithilfe der CLI testen.

```
aws iotwireless create-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  \ 
    --name='test-privatelink'
```

Das folgende Beispiel zeigt die Ausführung des Befehls.

```
Response:
{
 "Arn": "arn:aws:iotwireless:region:acct_number:ServiceProfile/1a2345ba-4c5d-67b0-ab67-e0c8342f2857",
 "Id": "1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
}
```

In ähnlicher Weise können Sie die folgenden Befehle ausführen, um die Serviceprofil-Informationen abzurufen oder alle Serviceprofile aufzulisten.

```
aws iotwireless get-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  
    --id="1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
```

Nachstehend finden Sie ein Beispiel für den Befehl list-device-profiles.

```
aws iotwireless list-device-profiles \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com
```

# AWS IoT Core für LoRaWAN-Datenebene-API-Endpunkte einbinden
<a name="onboard-lns-cups-endpoints"></a>

AWS IoT Core für LoRaWAN-Datenebenen-Endpunkte bestehen aus den folgenden Endpunkten. Sie erhalten diese Endpunkte, wenn Sie Ihr Gateway zu AWS IoT Core für LoRaWAN hinzufügen. Weitere Informationen finden Sie unter [Hinzufügen eines Gateways zu AWS IoT Core für LoRaWAN](lorawan-onboard-gateway-add.md).
+ 

**Endpunkte LoRaWAN-Netzwerkserver (LNS)**  
Die LNS-Endpunkte haben das Format `account-specific-prefix.lns.lorawan.region.amazonaws.com`. Sie können diesen Endpunkt verwenden, um eine Verbindung für den Austausch von LoRa-Uplink- und LoRa-Downlink-Nachrichten herzustellen.
+ 

**Endpunkte für Konfiguration und Update Server (CUPS)**  
Die CUPS-Endpunkte haben das Format `account-specific-prefix.cups.lorawan.region.amazonaws.com`. Sie können diesen Endpunkt für die Verwaltung von Anmeldeinformationen, Fernkonfiguration und Firmware-Aktualisierung von Gateways verwenden.

Weitere Informationen finden Sie unter [Verwendung von CUPS- und LNS-Protokollen](lorawan-manage-gateways.md#lorawan-cups-lns-protocols).

Um den Datenebene-API-Endpunkt für Ihr AWS-Konto und Ihre Region zu finden, verwenden Sie den hier gezeigten [**get-service-endpoint**-CLI-Befehl](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html) oder die [`GetServiceEndpoint`-REST-API](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html). Weitere Informationen finden Sie unter [AWS IoT Core für LoRaWAN-Datenebene-API Endpunkte](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-data-plane-endpoints).

Sie können Ihr LoRaWAN-Gateway On-Premises verbinden, um mit AWS IoT Core für LoRaWAN-Endpunkten zu kommunizieren. Um diese Verbindung herzustellen, verbinden Sie zunächst Ihr On-Premises-Gateway mit Ihrem AWS-Konto in Ihrer VPC, indem Sie eine VPN-Verbindung verwenden. Sie können dann mit den Endpunkten der Datenebene-Schnittstelle in der AWS IoT Core für LoRaWAN-VPC kommunizieren, die über PrivateLink betrieben werden.

**Topics**
+ [VPC-Schnittstellenendpunkt und private gehostete Zone erstellen](create-vpc-lns-cups.md)
+ [Verwenden Sie VPN, um LoRa-Gateways mit Ihrem AWS-Konto zu verbinden](lorawan-vpc-vpn-connection.md)

# VPC-Schnittstellenendpunkt und private gehostete Zone erstellen
<a name="create-vpc-lns-cups"></a>

AWS IoT Core für LoRaWAN hat zwei Datenebene-Endpunkte, den Endpunkt des Configuration and Update Server (CUPS) und den Endpunkt des LoRaWAN Network Server (LNS). Der Einrichtungsprozess zum Herstellen einer PrivateLink-Verbindung zu beiden Endpunkten ist derselbe, sodass wir den LNS-Endpunkt zur Veranschaulichung verwenden können.

Für Ihre Datenebene-Endpunkte stellen die LoRa-Gateways zunächst eine Verbindung zu Ihrem AWS-Konto in Ihrer Amazon-VPC her, die dann eine Verbindung zum VPC-Endpunkt in der VPC herstellt. AWS IoT Core für LoRaWAN

Wenn eine Verbindung zu den Endpunkten hergestellt wird, können die DNS-Namen innerhalb einer VPC aufgelöst werden, jedoch nicht über mehrere VPCs hinweg. Zum Deaktivieren der privaten DNS bei der Erstellung des Endpunkts deaktivieren Sie die Einstellung **DNS-Namen aktivieren**. Sie können eine privat gehostete Zone verwenden, um Informationen darüber bereitzustellen, wie Route 53 auf DNS-Abfragen für Ihre VPCs antworten soll. Um Ihre VPC mit einer On-Premises-Umgebung gemeinsam zu nutzen, können Sie einen Route 53-Resolver verwenden, um Hybrid-DNS zu ermöglichen.

**Topics**
+ [Erstellen einer Amazon VPC und eines Subnetzes](#lns-create-vpc)
+ [Erstellen eines Schnittstellenendpunkts für Amazon VPC](#lns-create-vpc-endpoint)
+ [Konfigurieren einer privat gehosteten Zone](#create-phz-lns)
+ [Konfigurieren des Route 53-Inbound-Resolver](#configure-route53-resolver)
+ [Nächste Schritte](#lns-cups-next-steps)

## Erstellen einer Amazon VPC und eines Subnetzes
<a name="lns-create-vpc"></a>

Sie können Ihre Amazon VPC und Ihr Subnetz wiederverwenden, die Sie beim Einbinden Ihres Steuerebene-Endpunkts erstellt haben. Weitere Informationen finden Sie unter [Erstellen Sie Ihre Amazon VPC und Ihr Subnetz](lorawan-onboard-control-endpoint.md#create-vpc).

## Erstellen eines Schnittstellenendpunkts für Amazon VPC
<a name="lns-create-vpc-endpoint"></a>

Sie können einen VPC-Endpunkt für Ihre VPC erstellen, welcher der Erstellung eines Endpunkts für Ihren Steuerebene-Endpunkt ähnelt.

1. Navigieren Sie zur Konsole [VPC](https://console.aws.amazon.com/vpc/home#/endpoints)-**Endpunkte** und wählen Sie **Endpunkt erstellen** aus.

1. Geben Sie auf der Seite **Endpunkt erstellen** die folgenden Informationen an.
   + Wählen Sie **AWS-Services** als **Servicekategorie** aus.
   + Suchen Sie nach **Service-Name**, indem Sie das Schlüsselwort **lns** eingeben. Wählen Sie in der Liste der angezeigten `lns` Services den LNS-Datenebene-API-Endpunkt für Ihre Region aus. Der Endpunkt entspricht dem Format `com.amazonaws.region.lorawan.lns`.
**Anmerkung**  
Wenn Sie dieses Verfahren für Ihren CUPS-Endpunkt anwenden, suchen Sie nach `cups`. Der Endpunkt entspricht dem Format `com.amazonaws.region.lorawan.cups`.
   + Wählen Sie für **VPC** und **Subnetze** die VPC aus, in der Sie den Endpunkt erstellen möchten, sowie die Availability Zones (AZs), in denen Sie das Endpunkt-Netzwerk erstellen möchten.
**Anmerkung**  
Der `iotwireless`-Service unterstützt möglicherweise nicht alle Availability Zones.
   + Stellen Sie sicher, dass für **DNS-Namen aktivieren** die Option **Für diesen Endpunkt aktivieren** nicht ausgewählt ist.

     Wenn Sie diese Option nicht auswählen, können Sie privates DNS für den VPC-Endpunkt deaktivieren und stattdessen eine private gehostete Zone verwenden.
   + Wählen Sie für **Sicherheitsgruppe** die Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen zugeordnet werden sollen.
   + Optional können Sie Tags hinzufügen oder entfernen. Tags sind Name-Wert-Paare, die Sie verwenden, um sie Ihrem Endpunkt zuzuordnen. 

1. Um Ihren VPC-Endpunkt zu erstellen, wählen Sie **Endpunkt erstellen** aus.

## Konfigurieren einer privat gehosteten Zone
<a name="create-phz-lns"></a>

Nachdem Sie den PrivateLink-Endpunkt erstellt haben, sehen Sie auf der Registerkarte **Details** Ihres Endpunkts eine Liste mit DNS-Namen. Sie können einen dieser DNS-Namen verwenden, um Ihre private gehostete Zone zu konfigurieren. Der DNS Name entspricht dem Format `vpce-xxxx.lns.lorawan.region.vpce.amazonaws.com`.

**Erstellen einer privat gehosteten Zone**  
So wird eine privat gehostete Zone erstellt:

1. Navigieren Sie zur Konsole [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) **Gehostete Zonen** und wählen Sie **Gehostete Zone erstellen** aus.

1. Geben Sie auf der Seite **Gehostete Zone erstellen** die folgenden Informationen an.
   + Geben Sie unter **Domain-Name** den vollständigen Service-Namen für Ihren LNS-Endpunkt **lns.lorawan.region.amazonaws.com** ein.
**Anmerkung**  
Wenn Sie dieses Verfahren für Ihren CUPS-Endpunkt befolgen, geben Sie **cups.lorawan.region.amazonaws.com** ein.
   + Wählen Sie für **Type** die Option **Privat gehostete Zone** aus.
   + Optional können Sie Tags hinzufügen oder entfernen, um sie Ihrer gehosteten Zone zuzuordnen.

1. Wählen Sie **Gehostete Zone erstellen**, um Ihre private gehostete Zone zu erstellen.

Weitere Informationen finden Sie unter [Erstellen einer privat gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).

Nachdem Sie eine privat gehostete Zone erstellt haben, können Sie einen Eintrag erstellen, der dem DNS mitteilt, wie der Datenverkehr zu dieser Domain weitergeleitet werden soll.

**Erstellen eines Datensatzes**  
Nachdem Sie eine privat gehostete Zone erstellt haben, können Sie einen Eintrag erstellen, der dem DNS mitteilt, wie der Datenverkehr zu dieser Domain weitergeleitet werden soll. So wird ein Datensatz erstellt:

1. Wählen Sie in der angezeigten Liste der gehosteten Zonen die zuvor erstellte privat gehostete Zone aus und klicken Sie auf **Datensatz erstellen**.

1. Erstellen Sie den Datensatz mithilfe des Assistenten. Wenn Ihnen in der Konsole die Methode **Schnelle Erstellung** angezeigt wird, wählen Sie **Zum Assistenten wechseln** aus.

1. Wählen Sie **Einfaches Routing** für **Routing-Richtlinie** und klicken Sie auf **Weiter**.

1. Wählen Sie unter **Datensätze konfigurieren** die Option **Einfachen Datensatz definieren**.

1. Gehen Sie auf der Seite **Einfachen Datensatz definieren** wie folgt vor:
   + Geben Sie unter **Datensatz-Name** den Alias Ihrer AWS-Konto-Nummer ein. Sie erhalten diesen Wert beim Einbinden Ihres Gateways oder mithilfe der [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html)-REST-API.
   + Behalten Sie für **Datensatztyp** den Wert `A - Routes traffic to an IPv4 address and some AWS resources` bei.
   + Wählen Sie unter **Wert/Weiterleiten von Datenverkehr an** die Option **Alias zu VPC-Endpunkt**. Wählen Sie wie unter [Erstellen eines Schnittstellenendpunkts für Amazon VPC](#lns-create-vpc-endpoint) beschrieben Ihre **Region** und dann den Endpunkt aus, den Sie zuvor erstellt haben, aus der angezeigten Liste der Endpunkte aus.

1. Wählen Sie **Einfachen Datensatz definieren** aus, um Ihren Datensatz zu erstellen.

## Konfigurieren des Route 53-Inbound-Resolver
<a name="configure-route53-resolver"></a>

Um einen VPC-Endpunkt mit einer On-Premises-Umgebung gemeinsam zu nutzen, kann ein Route 53-Resolver verwendet werden, um Hybrid-DNS zu ermöglichen. Mit dem Inbound-Resolver können Sie den Datenverkehr vom On-Premises-Netzwerk zu den Datenebene-Endpunkten weiterleiten, ohne das öffentliche Internet nutzen zu müssen. Um die privaten IP-Adresswerte für Ihren Service zurückzugeben, erstellen Sie den Route 53-Resolver in derselben VPC wie den VPC-Endpunkt.

Wenn Sie den Inbound-Resolver erstellen, müssen Sie nur Ihre VPC und die Subnetze angeben, die Sie zuvor in Ihren Availability Zones (AZs) erstellt haben. Der Route 53 Resolver verwendet diese Informationen, um automatisch eine IP-Adresse zuzuweisen, um den Verkehr zu den einzelnen Subnetzen weiterzuleiten.

So erstellen Sie den Inbound-Resolver:

1. **Navigieren Sie zur Konsole [Route 53](https://console.aws.amazon.com/route53/v2/inbound-endpoints#/) für **eingehende Endpunkte** und wählen Sie Eingehenden Endpunkt erstellen** aus.
**Anmerkung**  
Stellen Sie sicher, dass Sie dieselbe AWS-Region verwenden, die Sie beim Erstellen des Endpunkts und der privat gehosteten Zone verwendet haben.

1. Geben Sie auf der Seite **Eingehenden Endpunkt erstellen** die folgenden Informationen an.
   + Geben Sie unter **Endpunkt-Name** einen Namen ein (z. B. **VPC\$1A\$1Test**).
   + Wählen Sie für **VPC in der Region** dieselbe VPC aus, die Sie bei der Erstellung des VPC-Endpunkts verwendet haben.
   + Konfigurieren Sie die **Sicherheitsgruppe für diesen Endpunkt** so, dass eingehender Datenverkehr aus dem On-Premises-Netzwerk zugelassen wird.
   + Wählen Sie für die IP-Adresse die Option **Eine IP-Adresse verwenden, die automatisch ausgewählt wird.**

1. Wählen Sie **Absenden**, um Ihren Inbound-Resolver zu erstellen.

Gehen wir für dieses Beispiel davon aus, dass die IP-Adressen `10.100.0.145` und `10.100.192.10` für den eingehenden Route 53-Resolver für das Routing des Datenverkehrs zugewiesen wurden.

## Nächste Schritte
<a name="lns-cups-next-steps"></a>

Sie haben die privat gehostete Zone und einen Resolver für eingehende Anrufe erstellt, um den Datenverkehr für Ihre DNS-Einträge weiterzuleiten. Sie können jetzt entweder einen VPN-Endpunkt mit Site-to-Site-VPN oder Client-VPN verwenden. Weitere Informationen finden Sie unter [Verwenden Sie VPN, um LoRa-Gateways mit Ihrem AWS-Konto zu verbinden](lorawan-vpc-vpn-connection.md). 

# Verwenden Sie VPN, um LoRa-Gateways mit Ihrem AWS-Konto zu verbinden
<a name="lorawan-vpc-vpn-connection"></a>

Wenn Sie Ihre On-Premises-Gateways mit Ihrem AWS-Konto verbinden, können Sie entweder eine VPN-Verbindung mit Site-to-Site-VPN oder einen Client-VPN-Endpunkt verwenden.

Bevor Sie Ihre On-Premises-Gateways verbinden können, müssen Sie den VPC-Endpunkt erstellt und eine privat gehostete Zone und einen Inbound-Resolver konfiguriert haben, sodass der Datenverkehr von den Gateways nicht über das öffentliche Internet übertragen wird. Weitere Informationen finden Sie unter [VPC-Schnittstellenendpunkt und private gehostete Zone erstellen](create-vpc-lns-cups.md).

## Endpunkt für Site-to-Site-VPN
<a name="vpc-site-vpn"></a>

Wenn Sie nicht über die Gateway-Hardware verfügen oder die VPN-Verbindung mit einem anderen AWS-Konto testen möchten, können Sie eine Site-to-Site-VPN-Verbindung verwenden. Sie können Site-to-Site-VPN verwenden, um sich mit den VPC-Endpunkten vom demselben AWS-Konto oder einem anderen AWS-Konto zu verbinden, das Sie möglicherweise in einem anderen AWS-Region verwenden.

**Anmerkung**  
Wenn Sie die Gateway-Hardware dabei haben und eine VPN-Verbindung einrichten möchten, empfehlen wir Ihnen, stattdessen Client VPN zu verwenden. Detaillierte Anweisungen finden Sie unter [Client-VPN-Endpunkt](#vpc-client-vpn).

So richten Sie ein Site-to-Site-VPN ein:

1. Erstellen Sie eine weitere VPC auf dem Standort, von dem aus Sie die Verbindung einrichten möchten. Für `VPC-A` können Sie die zuvor erstellte VPC wiederverwenden. Um eine weitere VPC zu erstellen (z. B. `VPC-B`), verwenden Sie einen CIDR-Block, der sich nicht mit dem CIDR-Block der zuvor erstellten VPC überschneidet.

   Informationen zur Einrichtung der VPCs finden Sie in den Anweisungen unter [AWS Einrichten einer Site-to-Site-VPN-Verbindung](samples/Setup_Site_to_Site_VPN.zip).
**Anmerkung**  
Die im Dokument beschriebene VPN-Methode für Site-to-Site-VPN verwendet OpenSWAN für die VPN-Verbindung, die nur einen VPN-Tunnel unterstützt. Wenn Sie für VPN eine andere kommerzielle Software verwenden, können Sie eventuell zwei Tunnel zwischen den Standorten einrichten.

1. Nachdem Sie die VPN-Verbindung eingerichtet haben, aktualisieren Sie die `/etc/resolv.conf`-Datei, indem Sie die IP-Adresse des eingehenden Resolvers von Ihrem AWS-Konto hinzufügen. Sie verwenden diese IP-Adresse für den Nameserver. Informationen darüber, wie Sie diese IP-Adresse erhalten, finden Sie unter [Konfigurieren des Route 53-Inbound-Resolver](create-vpc-lns-cups.md#configure-route53-resolver). In diesem Beispiel können wir die IP-Adresse `10.100.0.145` verwenden, die Ihnen bei der Erstellung des Route 53-Resolvers zugewiesen wurde.

   ```
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver 10.100.0.145
   ```

1. Wir können jetzt testen, ob die VPN-Verbindung den AWS PrivateLink-Endpunkt verwendet, anstatt über das öffentliche Internet zu gehen, indem wir den `nslookup`-Befehl verwenden. Das folgende Beispiel zeigt die Ausführung des Befehls.

   ```
   nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com
   ```

   Im Folgenden wird ein Beispiel für die Ausführung des Befehls angezeigt. Darin wird eine private IP-Adresse angezeigt, die angibt, dass die Verbindung zum AWS PrivateLink-LNS-Endpunkt hergestellt wurde.

   ```
   Server: 10.100.0.145
   Address: 10.100.0.145
   
   Non-authoritative answer:
   Name: https://xxxxx.lns.lorawan.region.amazonaws.com
   Address: 10.100.0.204
   ```

Informationen zur Verwendung einer VPN-Verbindung für Site-to-Site-VPN finden Sie unter [So funktioniert Site-to-Site-VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html).

## Client-VPN-Endpunkt
<a name="vpc-client-vpn"></a>

AWS Client VPN ist ein verwalteter Client-basierter VPN-Service, der Ihnen den sicheren Zugriff auf AWS-Ressourcen sowie Ressourcen in Ihrem On-Premises-Netzwerk ermöglicht. Im Folgenden wird die Architektur für den Client-VPN-Service dargestellt.

![\[Das Bild zeigt, wie Sie AWS Client VPN verwenden können, um Ihren LoRa-Gateway On-Premises zu verbinden.\]](http://docs.aws.amazon.com/de_de/iot-wireless/latest/developerguide/images/lorawan-privatelink-client-vpn.png)


So stellen Sie eine VPN-Verbindung zu einem für Client-VPN-Endpunkt her:

1. Erstellen Sie einen Client-VPN-Endpunkt, indem Sie den Anweisungen unter [Erste Schritte mit AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html) folgen.

1. Melden Sie sich mit der Zugriffs-URL für diesen Router (z. B. `192.168.1.1`) bei Ihrem lokalen Netzwerk (z. B. einem Wi-Fi-Router) an und suchen Sie den Root-Namen und das Passwort.

1. Richten Sie Ihr LoRaWAN-Gateway ein, indem Sie den Anweisungen in der Dokumentation des Gateways folgen, und fügen Sie dann Ihr Gateway zu AWS IoT Core für LoRaWAN hinzu. Weitere Informationen darüber, wie Sie ein Gateway hinzufügen, finden Sie unter [Einbinden Ihrer Gateways in AWS IoT Core für LoRaWAN](lorawan-onboard-gateways.md).

1. Überprüfen Sie, ob die Firmware Ihres Gateways auf dem aktuellen Stand ist. Wenn die Firmware veraltet ist, können Sie den Anweisungen im On-Premises-Netzwerk folgen, um die Firmware Ihres Gateways zu aktualisieren. Weitere Informationen finden Sie unter [Aktualisieren der Gateway-Firmware mithilfe des CUPS-Dienstes mit AWS IoT Core für LoRaWAN](lorawan-update-firmware.md).

1. Prüfen Sie, ob OpenVPN aktiviert wurde. Wenn es aktiviert wurde, fahren Sie mit dem nächsten Schritt fort, um den OpenVPN-Client im On-Premises-Netzwerk zu konfigurieren. Wenn es nicht aktiviert wurde, folgen Sie den Anweisungen im [Leitfaden zur Installation von OpenVPN für OpenWrt](https://www.ovpn.com/en/guides/openwrt).
**Anmerkung**  
In diesem Beispiel verwenden wir OpenVPN. Sie können andere VPN-Clients wie Site-to-Site VPN oder AWS Direct Connect verwenden, um Ihre Client-VPN-Verbindung einzurichten.

1. Konfigurieren Sie den OpenVPN-Client auf der Grundlage von Informationen aus der Client-Konfiguration und wie Sie den [OpenVPN-Client mit LuCi](https://openwrt.org/docs/guide-user/services/vpn/openvpn/client-luci) verwenden können.

1. Stellen Sie per SSH eine Verbindung zu Ihrem On-Premises-Netzwerk her und aktualisieren Sie die `/etc/resolv.conf`-Datei, indem Sie die IP-Adresse des eingehenden Resolvers zu Ihrem AWS-Konto (`10.100.0.145`) hinzufügen.

1. Damit für den Gateway-Verkehr für die Verbindung zum Endpunkt AWS PrivateLink verwendet wird, ersetzen Sie den ersten DNS-Eintrag für Ihr Gateway durch die IP-Adresse des eingehenden Resolvers.

Informationen zur Verwendung einer VPN-Verbindung mit Site-to-Site-VPN finden Sie unter [Erste Schritte mit Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html).

## Verbinden mit LNS- und CUPS-VPC-Endpunkten
<a name="vpc-vpn-connect"></a>

Im Folgenden wird gezeigt, wie Sie Ihre Verbindung zu den VPC-Endpunkten von LNS und CUPS testen können.

**Testen des CUPS-Endpunkts**  
Führen Sie den folgenden Befehl aus, um Ihre AWS PrivateLink-Verbindung zum CUPS-Endpunkt von Ihrem LoRa-Gateway aus zu testen:

```
curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info 
     --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" 
     --data '{ 
              "router": "xxxxxxxxxxxxx", 
              "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443",
              "cupsCredCrc":1234, "tcCredCrc":552384314
             }' 
      —output cups.out
```

**Testen des LNS-Endpunkts**  
Um Ihren LNS-Endpunkt zu testen, stellen Sie zunächst ein LoRaWAN-Gerät bereit, das mit Ihrem drahtlosen Gateway funktioniert. Anschließend können Sie Ihr Gerät hinzufügen und die Verfahren für *Beitreten* durchführen. Danach können Sie mit dem Senden von Uplink-Nachrichten beginnen.