Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Fangen Sie an mit AWS Site-to-Site VPN

PDF
RSS
Fokusmodus
Fangen Sie an mit AWS Site-to-Site VPN - AWS Site-to-Site VPN
VoraussetzungenErstellen eines Kunden-GatewaysErstellen Sie ein Ziel-GatewayRouting konfigurierenAktualisieren Ihrer SicherheitsgruppeEine VPN-Verbindung erstellenKonfigurationsdatei herunterladenKonfigurieren Sie das Kunden-Gateway-Gerät.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gehen Sie wie folgt vor, um eine AWS Site-to-Site VPN Verbindung einzurichten. Bei der Erstellung geben Sie ein Virtual Private Gateway, ein Transit-Gateway oder „Nicht zugeordnet“ als den Typ des Ziel-Gateways an. Wenn Sie „Nicht zugeordnet“ angeben, können Sie den Ziel-Gateway-Typ zu einem späteren Zeitpunkt auswählen oder ihn als VPN-Anhang für AWS Cloud WAN verwenden. Dieses Tutorial hilft Ihnen dabei, eine VPN-Verbindung mithilfe eines Virtual Private Gateway herzustellen. Es wird davon ausgegangen, dass Sie über eine vorhandene VPC mit mindestens einem Subnetz verfügen.

Um eine VPN-Verbindung mit einem Virtual Private Gateway einzurichten, gehen Sie wie folgt vor:

Verwandte Aufgaben

Voraussetzungen

Sie benötigen die folgenden Informationen, um die Komponenten einer VPN-Verbindung einzurichten und zu konfigurieren.

Item Informationen
Kunden-Gateway-Gerät Das physische Gerät oder das Software-Gerät auf Ihrer Seite der VPN-Verbindung. Sie benötigen den Hersteller (z. B. Cisco), die Plattform (beispielsweise ISR Series Router) und die Softwareversion (z. B. IOS 12.4)
Kunden-Gateway Um die Kunden-Gateway-Ressource in zu erstellen AWS, benötigen Sie die folgenden Informationen:

  • Die über das Internet routbare IP-Adresse für die externe Schnittstelle des Geräts

  • Der Routing-Typ: statisch oder dynamisch

  • Für dynamisches Routing die Border Gateway Protocol (BGP) Autonomous System Number (ASN)

  • (Optional) Privates Zertifikat von AWS Private Certificate Authority zur Authentifizierung Ihres VPN

Weitere Informationen finden Sie unter Kunden-Gateway-Optionen.

(Optional) Die ASN für die AWS Seite der BGP-Sitzung

Sie geben dies an, wenn Sie ein Virtual Private Gateway oder Transit-Gateway erstellen. Wenn Sie keinen Wert angeben, wird die Standard-ASN übernommen. Weitere Informationen finden Sie unter Virtual Private Gateway.
VPN-Verbindung Um die VPN-Verbindung anzulegen, benötigen Sie die folgenden Informationen:

Schritt 1: Kunden-Gateway erstellen

Ein Kunden-Gateway stellt Informationen AWS über Ihr Kunden-Gateway-Gerät oder Ihre Softwareanwendung bereit. Weitere Informationen finden Sie unter Kunden-Gateway.

Wenn Sie beabsichtigen, ein privates Zertifikat zur Authentifizierung Ihres VPN zu verwenden, erstellen Sie mithilfe von. AWS Private Certificate Authority Für Informationen zum Erstellen eines privaten Zertifikats siehe Eine private CA erstellen und verwalten im AWS Private Certificate Authority -Benutzerhandbuch.

Anmerkung

Sie müssen entweder eine IP-Adresse oder den Amazon-Ressourcennamen des privaten Zertifikats angeben.

So erstellen Sie ein Kunden-Gateway mithilfe der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Kunden-Gateways aus.

  3. Wählen Sie Kunden-Gateway erstellen aus.

  4. (Optional) Geben Sie bei Name tag (Name-Tag) einen Namen für Ihr Kunden-Gateway ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

  5. Geben Sie unter BGP ASN eine Border Gateway Protocol (BGP) Autonomous System Number (ASN) für Ihr Kunden-Gateway ein.

  6. (Optional) Geben Sie für IP adress (IP-Adresse) die statische, über das Internet routbare IP-Adresse für Ihr Kunden-Gateway-Gerät ein. Wenn sich Ihr Kunden-Gateway-Gerät hinter einem NAT-Gerät befindet, das für NAT-T aktiviert ist, verwenden Sie die öffentliche IP-Adresse des NAT-Geräts.

  7. (Optional) Wenn Sie ein privates Zertifikat verwenden möchten, wählen Sie für Certificate ARN (Zertifikat ARN) den Amazon-Ressourcennamen des privaten Zertifikats.

  8. (Optional) Geben Sie als Gerät einen Namen für das Kunden-Gateway-Gerät ein, das diesem Kunden-Gateway zugeordnet ist.

  9. Wählen Sie Kunden-Gateway erstellen aus.

So erstellen Sie ein Kunden-Gateway über die Befehlszeile oder API

Schritt 2: Ein Ziel-Gateway erstellen

Um eine VPN-Verbindung zwischen Ihrer VPC und Ihrem lokalen Netzwerk herzustellen, müssen Sie auf der AWS Seite der Verbindung ein Ziel-Gateway einrichten. Das Ziel-Gateway kann ein Virtual Private Gateway oder ein Transit-Gateway sein.

Erstellen eines Virtual Private Gateways

Während der Erstellung eines Virtual Private Gateway können Sie die benutzerdefinierte private autonome Systemnummer (ASN) für die Amazon-Seite des Gateways angeben, oder Sie verwenden die Standard-ASN von AWS. Diese ASN muss sich von der ASN unterscheiden, den Sie für den Kunden-Gateway angegeben haben.

Nachdem Sie das Virtual Private Gateway erstellt haben, müssen Sie es Ihrer VPC zuweisen.

So erstellen Sie ein Virtual Private Gateway und weisen Sie es Ihrer VPC zu

  1. Wählen Sie im Navigationsbereich Virtual Private Gateways aus.

  2. Wählen Sie Create virtual private gateway (Virtual Private Gateway erstellen) aus.

  3. (Optional) Geben Sie bei Name-Tag einen Namen für Ihr Virtual Private Gateway ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

  4. Übernehmen Sie die Standardauswahl Amazon-Standard-ASN bei Autonome Systemnummer (ASN) , um die standardmäßige Amazon ASN zu verwenden. Andernfalls wählen Sie Custom ASN (Benutzerdefinierte ASN) und geben Sie einen Wert ein. Für eine 16-Bit-ASN muss der Wert im Bereich zwischen 64512 und 65534 liegen. Für eine 32-Bit-ASN muss der Wert im Bereich zwischen 4200000000 und 4294967294 liegen.

  5. Wählen Sie Create virtual private gateway (Virtual Private Gateway erstellen) aus.

  6. Wählen Sie das Virtual Private Gateway aus, das Sie erstellt haben. Wählen Sie anschließend Actions (Aktionen), Attach to VPC (An VPC anfügen) aus.

  7. Wählen Sie für Verfügbar VPCs Ihre VPC und dann Attach to VPC aus.

So erstellen Sie ein Virtual Private Gateway über die Befehlszeile oder API
So fügen Sie ein Virtual Private Gateway unter Verwendung der Befehlszeile oder API einer VPC an

Erstellen eines Transit-Gateways

Weitere Informationen zum Erstellen eines Transit-Gateways finden Sie unter Transit-Gateways in Amazon VPC-Transit-Gateways.

Schritt 3: Routing konfigurieren

Damit Instances in Ihrer VPC Ihr Kunden-Gateway erreichen, müssen Sie Ihre Routing-Tabelle so konfigurieren, dass sie die Routen, die von Ihrer VPC-Verbindung verwendet werden, enthält und diese Routen zu Ihrem Virtual Private Gateway oder Transit-Gateway leitet.

(Virtual Private Gateway) Aktivieren Sie die Routenverbreitung in Ihrer Routing-Tabelle

Sie können die Route-Propagierung für Ihre Routing-Tabelle aktivieren, um Site-to-Site VPN-Routen automatisch weiterzuleiten.

Für das statisches Routing werden die statischen IP-Präfixe, die Sie in der VPN-Konfiguration angegeben haben, an die Routing-Tabelle weitergeleitet, wenn der Status der VPN-Verbindung UP ist. Gleichzeitig werden beim dynamischen Routing die durch BGP angekündigten Routen von Ihrem Kunden-Gateway an die Routing-Tabelle weitergeleitet, wenn der Status der VPN-Verbindung UP ist.

Anmerkung

Wenn Ihre Verbindung unterbrochen wird, die VPN-Verbindung jedoch BESTEHEN bleibt, werden die verbreiteten Routen in Ihrer Routing-Tabelle nicht automatisch entfernt. Beachten Sie dies, wenn Sie z. B. Datenverkehr als Failover über eine statische Route routen möchten. In diesem Fall müssen Sie möglicherweise die Routenverbreitung deaktivieren, um die verbreiteten Routen zu entfernen.

So aktivieren Sie die Routing-Verbreitung in der Konsole

  1. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  2. Wählen Sie die Routing-Tabelle aus, die dem Subnetz zugewiesen ist.

  3. Wählen Sie in der Registerkarte Routing-Verbreitung die Option Routing-Verteilung bearbeiten aus. Wählen Sie das Virual Private Gateway aus, das Sie im vorherigen Verfahren erstellt haben, und klicken Sie auf Speichern.

Anmerkung

Wenn Sie die Routing-Verbreitung nicht aktivieren, müssen Sie die statischen Routen, die von der VPN-Verbindung verwendet werden, manuell eingeben. Hierzu wählen Sie Ihre Routing-Tabelle und anschließend Routes, Edit aus. Fügen Sie für Destination die statische Route hinzu, die von Ihrer Site-to-Site VPN-Verbindung verwendet wird. Wählen Sie unter Target die ID des Virtual Private Gateway aus, und wählen Sie dann Save.

Deaktivieren der Routing-Verbreitung mithilfe der Konsole

  1. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  2. Wählen Sie die Routing-Tabelle aus, die dem Subnetz zugewiesen ist.

  3. Wählen Sie in der Registerkarte Routing-Verbreitung die Option Routing-Verteilung bearbeiten aus. Deaktivieren Sie das Kontrollkästchen Verteilen für das Virtual Private Gateway.

  4. Wählen Sie Save (Speichern) aus.

So aktivieren Sie die Routing-Verbreitung unter Verwendung der Befehlszeile oder API
So deaktivieren Sie die Routing-Verbreitung über die Befehlszeile oder API

(Transit-Gateway) Fügen Sie eine Route zu Ihrer Routing-Tabelle hinzu.

Wenn Sie die Übermittlung der Routing-Tabelle für Ihr Transit-Gateway aktiviert haben, werden die Routen für den VPN-Anhang an die Routing-Tabelle des Transit-Gateways übermittelt. Weitere Informationen finden Sie unter Routing in Amazon VPC-Transit-Gateways.

Wenn Sie eine VPC mit Ihrem Transit-Gateway verbinden und Ressourcen in der VPC in die Lage versetzen möchten, Ihr Kunden-Gateway zu erreichen, müssen Sie eine Route zu Ihrer Subnetz-Routing-Tabelle hinzufügen, die auf das Transit-Gateway verweist.

Hinzufügen einer Route zu einer VPC-Routing-Tabelle

  1. Wählen Sie im Navigationsbereich Routing-Tabellen aus.

  2. Wählen Sie die Routing-Tabelle aus, die Ihrer VPC zugeordnet ist.

  3. Klicken Sie auf der Registerkarte Routes (Routen) auf Edit routes (Routen bearbeiten).

  4. Wählen Sie Add Route (Route hinzufügen) aus.

  5. Geben Sie als Ziel den Ziel-IP-Adressbereich ein. Wählen Sie bei Ziel das Transit-Gateway aus.

  6. Wählen Sie Änderungen speichern.

Schritt 4: Ihre Sicherheitsgruppe aktualisieren

Wenn Sie möchten, dass Computer in Ihrem Netzwerk Zugriff auf die Instances in Ihrer VPC haben, müssen Sie die Regeln Ihrer Sicherheitsgruppen aktualisieren, um eingehenden SSH-, RDP- und ICMP-Zugriff zu ermöglichen.

So aktualisieren Sie Ihre Sicherheitsgruppe, um Zugriff zu ermöglichen

  1. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  2. Wählen Sie die Sicherheitsgruppe für die Instances in Ihrer VPC aus, für die Sie Zugriff gewähren möchten.

  3. Wählen Sie auf der Registerkarte Inbound rules (Regeln für eingehenden Datenverkehr) die Option Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.

  4. Fügen Sie Regeln hinzu, die den eingehenden SSH-, RDP- und ICMP-Zugriff auf Ihr Netzwerk erlauben und klicken Sie anschließend auf Regeln speichern. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppenregeln im Amazon-VPC-Benutzerhandbuch.

Schritt 5: Eine VPN-Verbindung erstellen

Erstellen Sie die VPN-Verbindung unter Verwendung des Kunden-Gateways zusammen mit dem Virtual Private Gateway oder Transit-Gateway, das Sie zuvor erstellt haben.

So erstellen Sie eine VPN-Verbindung

  1. Wählen Sie im Navigationsbereich Site-to-Site VPN-Verbindungen aus.

  2. Wählen Sie Create VPN connection (VPN-Verbindung erstellen) aus.

  3. (Optional) Geben Sie als Name-Tag einen Namen für Ihr VPN ein. Auf diese Weise wird ein Tag mit dem Schlüssel Name und dem von Ihnen angegebenen Wert erstellt.

  4. Wählen Sie für Target gateway type (Ziel-Gateway-Typ) entweder Virtual private gateway (Virtual Private Gateway) oder Transit gateway (Transit-Gateway) aus. Wählen Sie dann das Virtual Private Gateway oder Transit-Gateway, das Sie zuvor angelegt haben.

  5. Wählen Sie bei Kunden-Gateway die Option Vorhanden und das zuvor erstellte Kunden-Gateway unter Kunden-Gateway-ID aus.

  6. Wählen Sie eine der Routing-Optionen aus, je nachdem, ob Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt:

    • Wenn Ihr Kunden-Gateway-Gerät BGP unterstützt, wählen Sie Dynamic (requires BGP) (Dynamisch (erfordert BGP)) aus.

    • Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, wählen Sie Static (Statisch) aus. Geben Sie unter Static IP Prefixes (Statische IP-Präfixe) alle IP-Präfixe für das private Netzwerk Ihrer VPN-Verbindung an.

  7. Wenn Ihr Ziel-Gateway-Typ Transit-Gateway ist, geben Sie für Tunnel-interne IP-Version an, ob die VPN-Tunnel IPv6 Datenverkehr IPv4 oder -Verkehr unterstützen. IPv6 Datenverkehr wird nur für VPN-Verbindungen auf einem Transit-Gateway unterstützt.

  8. Wenn Sie die IP-Version IPv4für Tunnel angegeben haben, können Sie optional die IPv4 CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Der Standardwert ist 0.0.0.0/0.

    Wenn Sie die IP-Version IPv6für Tunnel angegeben haben, können Sie optional die IPv6 CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Die Standardeinstellung für beide Bereiche lautet ::/0.

  9. Behalten Sie für den Typ der externen IP-Adresse die Standardoption PublicIpv4 bei.

  10. (Optional) Für Tunneloptionen können Sie für jeden Tunnel die folgenden Informationen angeben:

    • Ein IPv4 CIDR-Block der Größe /30 aus dem 169.254.0.0/16 Bereich für interne IPv4 Tunneladressen.

    • Wenn Sie IPv6für die Version Tunnel inside IP einen IPv6 CIDR-Block /126 aus dem fd00::/8 Bereich für interne Tunneladressen angegeben haben. IPv6

    • Den vorinstallierten IKE-Schlüssel (PSK). Die folgenden Versionen werden unterstützt: IKEv1 oder. IKEv2

    • Um die erweiterten Optionen für Ihren Tunnel zu bearbeiten, wählen Sie Tunneloptionen bearbeiten aus. Weitere Informationen finden Sie unter VPN-Tunneloptionen.

  11. Wählen Sie Create VPN connection (VPN-Verbindung erstellen) aus. Der Aufbau der VPN-Verbindung kann einige Minuten dauern.

So erstellen Sie eine VPN-Verbindung über die Befehlszeile oder API

Schritt 6: Die Endpunkt-Konfigurationsdatei herunterladen

Nachdem Sie die VPN-Verbindung erstellt haben, können Sie eine Beispielkonfigurationsdatei herunterladen, die zur Konfiguration des Kunden-Gateway-Geräts verwendet wird.

Wichtig

Die Konfigurationsdatei ist nur ein Beispiel und entspricht möglicherweise nicht genau den von Ihnen beabsichtigten VPN-Verbindungseinstellungen. Es spezifiziert die Mindestanforderungen für eine VPN-Verbindung von AES128 SHA1, und Diffie-Hellman-Gruppe 2 in den meisten AWS Regionen und, AES128 SHA2, und Diffie-Hellman-Gruppe 14 in den Regionen. AWS GovCloud Es legt außerdem Pre-Shared-Key für die Authentifizierung fest. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche SicherheitsalGORITHmen, Diffie-Hellman-Gruppen, private Zertifikate und Datenverkehr zu nutzen. IPv6

Wir haben IKEv2 Unterstützung in den Konfigurationsdateien für viele beliebte Kunden-Gateway-Geräte eingeführt und werden im Laufe der Zeit weitere Dateien hinzufügen. Eine Liste der IKEv2 unterstützten Konfigurationsdateien finden Sie unterAWS Site-to-Site VPN Kunden-Gateway-Geräte.

Berechtigungen

Um den Download-Konfigurationsbildschirm von korrekt zu laden, müssen Sie sicherstellen AWS Management Console, dass Ihre IAM-Rolle oder Ihr IAM-Benutzer über Berechtigungen für das folgende Amazon verfügt EC2 APIs: GetVpnConnectionDeviceTypes undGetVpnConnectionDeviceSampleConfiguration.

So laden Sie die Konfigurationsdatei mit der Konsole herunter

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Site-to-Site VPN-Verbindungen aus.

  3. Wählen Sie erst Ihre VPN-Verbindung und dann Konfiguration herunterladen aus.

  4. Wählen Sie den Anbieter, die Plattform, die Software und die IKE-Version aus, die dem Kunden-Gateway-Gerät entsprechen. Wenn Ihr Gerät nicht aufgeführt ist, wählen Sie Generic (Generisch) aus.

  5. Wählen Sie Herunterladen aus.

Beispielkonfigurationsdatei mit der -Befehlszeile oder -API herunterladen

Schritt 7: Das Kunden-Gateway-Gerät konfigurieren

Verwenden Sie die Beispielkonfigurationsdatei, um Ihr Kunden-Gateway-Gerät zu konfigurieren. Das Kunden-Gateway-Gerät ist das physische Gerät oder die Software-Anwendung auf Ihrer Seite der VPN-Verbindung. Weitere Informationen finden Sie unter AWS Site-to-Site VPN Kunden-Gateway-Geräte.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.