Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Configurare Windows Server come dispositivo gateway per il AWS Site-to-Site VPN cliente

PDF
RSS
Modalità Focus
Configurare Windows Server come dispositivo gateway per il AWS Site-to-Site VPN cliente - AWS Site-to-Site VPN
Configurazione dell'istanza Windows Fase 1: creazione di una connessione VPN e configurazione del VPCFase 2: download del file di configurazione per la connessione VPN Fase 3: configurazione di Window ServerFase 4: configurazione del tunnel VPNFase 5: abilitazione del rilevamento Dead GatewayFase 6: test della connessione VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

È possibile configurare il tuo server che esegue Windows Server come dispositivo gateway del cliente per il VPC. Utilizza il seguente processo sia che tu stia eseguendo Windows Server su un' EC2 istanza in un VPC o sul tuo server. Le procedure seguenti si applicano a Windows Server 2012 R2 e versioni successive.

Configurazione dell'istanza Windows

Se stai configurando Windows Server su un' EC2 istanza lanciata da un'AMI Windows, procedi come segue:

  • Disabilitare il controllo dell'origine/della destinazione per l'istanza:

    1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

    2. Selezionare l'istanza di Windows Server, scegliere Operazioni, Reti, Modifica origine/destinazione di controllo. Seleziona Aggiungi,, quindi seleziona Salva.

  • Aggiornare le impostazioni della scheda in modo da instradare il traffico da altre istanze:

    1. Connettersi all'istanza Windows. Per ulteriori informazioni, consulta Connessione all'istanza Windows.

    2. Aprire il pannello di controllo, quindi avviare Gestione dispositivi.

    3. Espandere il nodo Schede di rete.

    4. Select la scheda di rete (a seconda dell’instance type, potrebbe essere scheda di rete Elastic Amazon o Intel 82599 Virtual Function) e scegliere Azione, Proprietà.

    5. Nella scheda Avanzate, disabilita le proprietà IPv4Checksum Offload, TCP Checksum Offload (IPv4) e UDP Checksum Offload (IPv4), quindi scegli OK.

  • Allocare un indirizzo IP elastico per l'account e associarlo all'istanza. Per ulteriori informazioni, consulta gli indirizzi IP elastici nella Amazon EC2 User Guide. Prendi nota di questo indirizzo: ne hai bisogno quando crei il gateway per i clienti.

  • Assicurati che le regole del gruppo di sicurezza dell'istanza consentano il IPsec traffico in uscita. Per impostazione predefinita, un gruppo di sicurezza abilita tutto il traffico in uscita. Tuttavia, se le regole in uscita del gruppo di sicurezza sono state modificate rispetto allo stato originale, è necessario creare le seguenti regole di protocollo personalizzate in uscita per il IPsec traffico: protocollo IP 50, protocollo IP 51 e UDP 500.

Prendere nota dell'intervallo CIDR della rete in cui si trova l'istanza di Windows, ad esempio, 172.31.0.0/16.

Fase 1: creazione di una connessione VPN e configurazione del VPC

Per creare una connessione VPN dal VPC, effettuare le seguenti operazioni:

  1. Per creare un virtual private gateway e collegarlo al VPC Per ulteriori informazioni, consulta Creazione di gateway virtuale privato.

  2. Quindi, crea una connessione VPN e un nuovo customer gateway. Per il customer gateway, specificare l'indirizzo IP pubblico del server Windows. Per la connessione VPN, scegliere il routing statico e quindi inserire l'intervallo CIDR per la rete in cui si trova il server Windows, ad esempio 172.31.0.0/16. Per ulteriori informazioni, consulta Fase 5: creazione di una connessione VPN.

Dopo aver creato la connessione VPN, configurare il VPC per abilitare la comunicazione tramite la connessione VPN.

Per configurare il VPC

  • Creare una sottorete privata nel VPC (se ancora non esiste) per l'avvio delle istanze che comunicheranno con il server Windows. Per ulteriori informazioni, consultare Creazione di una sottorete nel VPC

    Nota

    Una sottorete privata è una sottorete che non dispone di una route a un Internet Gateway. Il routing per questa sottorete è descritto di seguito.

  • Aggiornare le tabelle di routing per la connessione VPN:

  • Creare una configurazione di gruppi di sicurezza per le istanze che consente la comunicazione tra il VPC e la rete:

    • Aggiungere regole che consentono l'accesso RDP o SSH in entrata dalla rete. In questo modo, è possibile connettersi alle istanze nel VPC dalla rete. Ad esempio, per consentire ai computer nella rete di accedere alle istanze Linux nel VPC, creare una regola in entrata con un tipo SSH e l'origine impostata sull'intervallo CIDR della rete (ad esempio 172.31.0.0/16). Per ulteriori informazioni, consultare Gruppi di sicurezza per il VPC nella Guida per l'utente di Amazon VPC.

    • Aggiungere una regola che consente l'accesso ICMP in entrata dalla rete. Ciò consente di testare la connessione VPN tramite il ping di un'istanza nel VPC dal server Windows.

Fase 2: download del file di configurazione per la connessione VPN

Puoi utilizzare la console Amazon VPC per scaricare una file di configurazione Windows Server per la connessione VPN.

Per scaricare il file di configurazione

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione, scegliere Site-to-Site VPN Connections (Connessioni VPN).

  3. Selezionare la connessione VPN e scegliere Download Configuration (Scarica configurazione).

  4. Selezionare Microsoft come fornitore, Windows Server come piattaforma e 2012 R2 come software. Scegli Download (Scarica). È possibile aprire il file o salvarlo.

Il file di configurazione contiene una sezione di informazioni simile all'esempio seguente. Queste informazioni vengono visualizzate due volte, una volta per ogni tunnel.

vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

L'indirizzo IP specificato per il gateway del cliente quando hai creato la connessione VPN.

Remote Tunnel Endpoint

Uno dei due indirizzi IP del gateway privato virtuale che interrompe la connessione VPN sul AWS lato della connessione.

Endpoint 1

Il prefisso IP specificato come route statica alla creazione della connessione VPN. Sono gli indirizzi IP nella rete a cui è consentito utilizzare la connessione VPN per accedere al VPC.

Endpoint 2

L'intervallo di indirizzi IP (blocco CIDR) del VPC collegato al gateway virtuale privato (ad esempio 10.0.0.0/16).

Preshared key

La chiave precondivisa utilizzata per stabilire la connessione IPsec VPN tra eLocal Tunnel Endpoint. Remote Tunnel Endpoint

Ti suggeriamo di configurare entrambi i tunnel come parte della connessione VPN. Ogni tunnel si collega a un concentratore VPN separato sul lato Amazon della connessione VPN. Sebbene sia attivo solo un tunnel alla volta, il secondo tunnel si stabilisce automaticamente se il primo tunnel si interrompe. La presenza di tunnel ridondanti garantisce una disponibilità continua in caso di guasto del dispositivo. Poiché un solo tunnel è disponibile alla volta, la console Amazon VPC indica che un tunnel è inattivo. Questo è il comportamento previsto, di conseguenza non deve Eseguire alcuna operazione.

Con due tunnel configurati, se si verifica un guasto del dispositivo all'interno AWS, la connessione VPN passa automaticamente al secondo tunnel del gateway privato virtuale nel giro di pochi minuti. Durante la configurazione del dispositivo gateway del cliente, è importante configurare Entrambi i tunnel.

Nota

Di tanto in tanto, AWS esegue la manutenzione ordinaria sul gateway privato virtuale. Questa manutenzione potrebbe disabilitare uno dei due tunnel della connessione VPN per un breve periodo di tempo. La connessione VPN esegue automaticamente il failover al secondo tunnel durante l'esecuzione di questa manutenzione.

Ulteriori informazioni su Internet Key Exchange (IKE) e IPsec Security Associations (SA) sono disponibili nel file di configurazione scaricato.

MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2
MainModeSecMethods

Gli algoritmi di crittografia e autenticazione per la SA IKE. Queste sono le impostazioni suggerite per la connessione VPN e sono le impostazioni predefinite per le connessioni IPsec VPN di Windows Server.

MainModeKeyLifetime

Il ciclo di vita della chiave SA IKE.  Questa è l'impostazione consigliata per la connessione VPN e l'impostazione predefinita per le connessioni IPsec VPN di Windows Server.

QuickModeSecMethods

Gli algoritmi di crittografia e autenticazione per la IPsec SA. Queste sono le impostazioni suggerite per la connessione VPN e sono le impostazioni predefinite per le connessioni IPsec VPN di Windows Server.

QuickModePFS

Ti consigliamo di utilizzare la chiave principale Perfect Forward Secrecy (PFS) per le tue IPsec sessioni.

Fase 3: configurazione di Window Server

Prima di configurare il tunnel VPN, devi installare e configurare i servizi di Routing e Accesso remoto nel server Windows per consentire agli utenti remoti di accedere alla risorse sulla rete.

Installare i Servizi di Routing e Accesso Remoto:

  1. Accedere a Windows Server.

  2. Andare al menu Start (Inizia) e scegliere Server Manager.

  3. Installare i servizi di Routing e Accesso remoto:

    1. Dal menu Gestisci, scegliere Aggiunta guidata ruoli e funzionalità:

    2. Nella pagina Prima di iniziare, verificare che il server soddisfi i prerequisiti, quindi selezionare Avanti.

    3. Selezionare Installazione basata su ruoli o basata su funzionalità, quindi selezionare Avanti.

    4. Selezionare Select un server dal pool di server, select il server Windows, quindi selezionare Avanti.

    5. Selezionare Servizi di accesso e criteri di rete nell'elenco. Nella finestra di dialogo visualizzata, scegliere Aggiungi funzionalità per confermare le funzionalità necessarie per questo ruolo.

    6. Nello stesso elenco scegliere Accesso remoto, quindi Avanti.

    7. Nella pagina Select features (Seleziona funzionalità), scegli Next (Successivo).

    8. Nella pagina Servizi di accesso e criteri di rete, scegliere Avanti.

    9. Nella pagina Accesso remoto scegliere Avanti. Nella pagina successiva, seleziona DirectAccess and VPN (RAS). Nella finestra di dialogo visualizzata, scegliere Aggiungi funzionalità per confermare le funzionalità necessarie per questo servizio ruolo. Nello stesso elenco, selezionare Routing, quindi selezionare Avanti.

    10. Nella pagina Ruolo Server Web (IIS), scegliere Avanti. Lasciare la selezione predefinita e scegliere Avanti.

    11. Scegli Installa. Al termine dell'installazione, scegliere Chiudi.

Per configurare E abilitare il server di Routing e Accesso remoto

  1. Nel dashboard, scegliere Notifiche (l'icona a bandiera). Un'operazione deve Essere Effettuata per completare la configurazione post-distribuzione. Selezionare il collegamento Apre Attività iniziali guidate.

  2. Selezionare Distribuisci solo VPN.

  3. Nella finestra di dialogo Routing and Remote Access (Routing e Accesso remoto), scegliere il nome di server, scegliere Action (Operazione), quindi selezionare Configure and Enable Routing and Remote Access (Configura e abilita routing e accesso remoto).

  4. In Configurazione guidata server di Routing e Accesso remoto, nella prima pagina, scegliere Avanti.

  5. Nella pagina Configurazione scegliere Configurazione personalizzata, quindi Avanti.

  6. Scegliere Routing di rete locale (LAN), Avanti e Fine.

  7. Quando richiesto dalla finestra di dialogo Routing e Accesso remoto, scegliere Avvia servizio

Fase 4: configurazione del tunnel VPN

Puoi configurare il tunnel VPN eseguendo gli script netsh inclusi nel file di configurazione scaricato o utilizzando l’interfaccia utente Windows Server.

Importante

Ti suggeriamo di utilizzare la chiave principale Perfect Forward Secrecy (PFS) per le tue IPsec sessioni. Se scegliete di eseguire lo script netsh, questo include un parametro per abilitare PFS (). qmpfs=dhgroup2 Non è possibile abilitare PFS utilizzando l'interfaccia utente Windows Server, si deve abilitare utilizzando la riga di comando.

Opzione 1: Eseguire lo script netsh

Copia lo script netsh dal file di configurazione scaricato e sostituisci le variabili. Di seguito è riportato un esempio di script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: puoi sostituire il nome suggerito (vgw-1a2b3c4d Tunnel 1) con un nome di tua scelta.

LocalTunnelEndpoint: Immettete l'indirizzo IP privato di Windows Server sulla rete.

Endpoint1: il block CIDR della rete in cui si trova il server Windows, ad esempio 172.31.0.0/16. Circondare questo valore tra virgolette doppie («).

Endpoint2: il blocco CIDR del VPC o di una sottorete nel VPC, ad esempio 10.0.0.0/16. Circondare questo valore tra virgolette doppie («).

Esegui lo script aggiornato in una finestra del prompt dei comandi sul server Windows. (il carattere ^ ti consente di tagliare E incollare testo con ritorno a capo nella riga di comando). Per configurare il secondo tunnel VPN per questa connessione VPN, ripeti la procedura utilizzando il secondo script netsh nel file di configurazione.

Al termine, vai a Configurare Windows Firewall.

Per ulteriori informazioni sui parametri netsh, vedere Comandi Netsh AdvFirewall Consec nella libreria Microsoft. TechNet

Opzione 2: utilizzo dell'interfaccia utente di Windows Server

Per configurare il tunnel VPN, puoi anche utilizzare l'interfaccia utente di Windows Server.

Importante

Non puoi abilitare PFS (Perfect Forward Secrecy) chiave master utilizzando l'interfaccia utente di Windows Server. Devi abilitare PFS utilizzando la riga di comando, come descritto in Abilitazione di PFS (Perfect Forward Secrecy) chiave master.

Configurare una regola di sicurezza per un tunnel VPN

In questa sezione, configuri un ruolo di sicurezza sul server Windows per creare un tunnel VPN.

Per configurare una regola di sicurezza per un tunnel VPN

  1. Aprire Server Manager, scegliere Tools (Strumenti), quindi select Windows Firewall with Advanced Security (Windows Firewall con sicurezza avanzata).

  2. Selezionare Regole di sicurezza delle connessioni, scegliere Azione, quindi Nuova regola.

  3. In Creazione guidata nuova regola di sicurezza della connessione, nella pagina Tipo di regola, scegliere Tunnel, quindi selezionare Avanti.

  4. Nella pagina Tipo di tunnel, in Selezionare il tipo di tunnel che si desidera creare, scegliere Configurazione personalizzata. In Desideri esentare le connessioni IPsec protette da questo tunnel, lascia selezionato il valore predefinito (No. Invia tutto il traffico di rete che corrisponde a questa regola di sicurezza della connessione (attraverso il tunnel), quindi scegli Avanti.

  5. Nella pagina Requisiti, scegli Richiedi l'autenticazione per le connessioni in entrata. Non stabilire tunnel per le connessioni in uscita, quindi scegli Avanti.

  6. Nella pagina Tunnel Endpoints (Endpoint del tunnel), in Which computers are in Endpoint 1 (Selezionare i computer inclusi nell'endpoint 1), scegliere Add (Aggiungi). Immettere l'intervallo di CIDR della rete (dietro il dispositivo customer gateway del server Windows, ad esempio, 172.31.0.0/16), quindi selezionare OK. L'intervallo può includere l'indirizzo IP del dispositivo gateway del cliente.

  7. In Endpoint del tunnel locale più vicino ai computer nell'endpoint 1, scegliere Modifica. Nel campo dell'IPv4 indirizzo, inserisci l'indirizzo IP privato di Windows Server, quindi scegli OK.

  8. In Endpoint del tunnel remoto più vicino ai computer nell'endpoint 2, scegliere Modifica. Nel campo dell'IPv4 indirizzo, inserisci l'indirizzo IP del gateway privato virtuale per Tunnel 1 dal file di configurazione (vediRemote Tunnel Endpoint), quindi scegli OK.

    Importante

    Se si ripete questa procedura per Tunnel 2, assicurarsi di selezionare l'endpoint per Tunnel 2.

  9. In Selezionare i computer inclusi nell'endpoint 2, scegliere Aggiungi. Nel campo Subnet o indirizzo IP, immettere il blocco CIDR del VPC, quindi selezionare OK.

    Importante

    Scorrere la finestra di dialogo fino a trovare Selezionare i computer inclusi nell'endpoint 2. Non scegliere Avanti fino al completamento di questa fase altrimenti non sarà possibile connettersi al server.

    Creazione guidata nuova regola di protezione della connessione: endpoint del tunnel

  10. Confermare che tutte le impostazioni specificate siano corrette, quindi selezionare Next (Avanti).

  11. Nella pagina Metodo di autenticazione selezionare Avanzate e scegliere Personalizza.

  12. In Metodi per prima autenticazione, scegliere Aggiungi.

  13. Selezionare Preshared key (Chiave precondivisa), immettere il valore della chiave precondivisa del file di configurazione e scegliere OK.

    Importante

    Se si ripete questa procedura per Tunnel 2, assicurarsi di selezionare la chiave già condivisa per Tunnel 2.

  14. Assicurarsi che l'opzione Prima autenticazione facoltativa non sia selezionata, quindi selezionare OK.

  15. Scegli Next (Successivo).

  16. Nella pagina Profilo selezionare tutte e tre le caselle di controllo: Dominio, Privato e Pubblico. Scegli Next (Successivo).

  17. Nella pagina Name (Nome), immettere un nome per la regola di connessione, ad esempio VPN to Tunnel 1, quindi selezionare Finish (Fine).

Ripeti la procedura precedente, specificando i dati per Tunnel 2 dal file di configurazione.

Al termine, avrai due tunnel configurati per la connessione VPN.

Confermare la configurazione dei tunnel

Per confermare la configurazione dei tunnel

  1. Aprire Server Manager, scegliere Strumenti, selezionare Windows Firewall con sicurezza avanzata, quindi selezionare Regole di sicurezza delle connessioni.

  2. Verificare quanto segue per entrambi i tunnel:

    • Abilitato è Yes

    • Endpoint 1 è il blocco CIDR per la rete.

    • Endpoint 2 è il blocco CIDR del VPC.

    • Modalità di autenticazione è Require inbound and clear outbound

    • Metodo di autenticazione è Custom.

    • Porta endpoint 1 è Any.

    • Porta endpoint 2 è Any.

    • Protocollo è Any.

  3. Selezionare la prima regola, quindi selezionare Proprietà.

  4. Nella scheda Authentication (Autenticazione) in Method (Metodo), scegliere Customize (Personalizza). Verificare che First authentication methods (Metodi per prima autenticazione) contenga la chiave precondivisa corretta del file di configurazione per il tunnel, quindi scegliere OK.

  5. Nella scheda Avanzate, verificare che le caselle di controllo Dominio, Privato e Pubblico siano tutte selezionate.

  6. In IPsec tunneling, scegli Personalizza. Verificate le seguenti impostazioni di IPsec tunneling, quindi scegliete nuovamente OK e OK per chiudere la finestra di dialogo.

    • L'opzione Usa IPsec tunneling è selezionata.

    • Endpoint del tunnel locale (il più vicino all'endpoint 1) contiene l'indirizzo IP del Server Windows. Se il dispositivo gateway del cliente è un' EC2 istanza, questo è l'indirizzo IP privato dell'istanza.

    • Endpoint del tunnel remoto più vicino all'endpoint 2 contiene l'indirizzo IP del gateway virtuale privato per questo tunnel.

  7. Visualizzare le proprietà del secondo tunnel. Ripetere le fasi da 4 a 7 per questo tunnel.

Abilitazione di PFS (Perfect Forward Secrecy) chiave master

Puoi abilitare PFS (Perfect Forward Secrecy) chiave master utilizzando la riga di comando. Non puoi abilitare questa funzionalità tramite l'interfaccia utente.

Per abilitare PFS (Perfect Forward Secrecy) chiave master

  1. Nel server Windows, aprire una finestra del prompt dei comandi.

  2. Immettere il comando seguente sostituendo rule_name con il nome assegnato alla prima regola di connessione.

    netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

  3. Ripetere la fase 2 per il secondo tunnel, questa volta sostituendo rule_name con il nome assegnato alla seconda regola di connessione.

Configurare Windows Firewall

Dopo aver impostato le regole di sicurezza sul server, configura alcune IPsec impostazioni di base per lavorare con il gateway privato virtuale.

Per configurare Windows Firewall

  1. Aprire Server Manager, scegliere Strumenti, select Windows Firewall con Sicurezza Advanced, quindi selezionare Proprietà.

  2. Nella scheda IPsec Impostazioni, in IPsecEsenzioni, verifica che Exempt ICMP from IPsec sia impostato su No (impostazione predefinita). Verificate che l'autorizzazione IPsec del tunnel sia impostata su Nessuno.

  3. In IPsec Impostazioni predefinite, scegli Personalizza.

  4. In Scambio di chiavi (modalità principale), selezionare Avanzate, quindi selezionare Personalizza.

  5. In Customize Advanced Key Exchange Settings (Personalizza impostazioni avanzate scambio chiavi), sotto Security methods (Metodi di sicurezza), verificare che i seguenti valori predefiniti siano utilizzati per la prima voce.

    • Integrità: SHA-1

    • Crittografia: AES-CBC 128

    • Algoritmo di scambio chiavi: Gruppo Diffie-Hellman 2

    • In Durata chiavi, verificare che Minuti sia 480 e Sessioni sia 0.

    Queste impostazioni corrispondono a queste voci nel file di configurazione.

    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sec

  6. In Opzioni di scambio chiavi, selezionare Utilizza Diffie-Hellman per una sicurezza avanzata, quindi selezionare OK.

  7. In Protezione dati (modalità rapida), selezionare Avanzate, quindi selezionare Personalizza.

  8. Selezionare Richiedi crittografia per le tutte le regole di sicurezza di connessione che utilizzano queste impostazioni.

  9. In Integrità e crittografia dei dati, mantenere i valori predefiniti:

    • Protocollo: ESP

    • Integrità: SHA-1

    • Crittografia: AES-CBC 128

    • Durata: 60 minuti

    Questi valori corrispondono alla voce seguente del file di configurazione.

    QuickModeSecMethods: 
ESP:SHA1-AES128+60min+100000kb

  10. Scegliete OK per tornare alla finestra di dialogo Personalizza IPsec impostazioni e scegliete nuovamente OK per salvare la configurazione.

Fase 5: abilitazione del rilevamento Dead Gateway

Ora devi configurare TCP per rilevare quando un gateway diventa indisponibile. A questo proposito, modifica questa chiave di registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Non effettuare questa procedura se non hai completato le sezioni precedenti. Dopo la modifica della chiave di registro, devi riavviare il server.

Per abilitare il rilevamento Dead Gateway

  1. Da Windows Server, avvia il prompt dei comandi o una PowerShell sessione e digita regedit per avviare l'editor del registro.

  2. Espandi HKEY_LOCAL_MACHINE, espandi SYSTEM, espandi, espandi Servizi, espandi CurrentControlSetTcpip, quindi espandi Parametri.

  3. Dal menu Modifica, selezionare Nuovo, quindi selezionare Valore DWORD (32 bit).

  4. EnableDeadGWDetectImmettete il nome.

  5. Seleziona EnableDeadGWDetecte scegli Modifica, Modifica.

  6. In Dati valore, immettere 1, quindi selezionare OK.

  7. Chiudere l'editor del Registro di sistema e riavviare il server.

Per ulteriori informazioni, vedere EnableDeadGWDetectMicrosoft TechNet Library.

Fase 6: test della connessione VPN

Per assicurare il corretto funzionamento della connessione VPN, avvia un'istanza nel VPC e accertati che non sia associata ad alcuna connessione Internet. Dopo l'avvio dell'istanza, esegui il ping del relativo indirizzo IP privato per il Server Windows. Il tunnel VPN viene visualizzato quando il traffico viene generato dal dispositivo gateway del cliente. Pertanto, il comando ping avvia anche la connessione VPN.

Per le fasi di test della connessione VPN, consulta Test di una AWS Site-to-Site VPN connessione.

Se il comando ping non riesce, procedi come descritto di seguito:

  • Assicurati di aver configurato le regole di gruppo di sicurezza per consentire il traffico ICMP all'istanza nel VPC. Se Windows Server è un' EC2 istanza, assicurati che le regole in uscita del relativo gruppo di sicurezza consentano IPsec il traffico. Per ulteriori informazioni, consulta Configurazione dell'istanza Windows.

  • Assicurati che il sistema operativo sull'istanza di cui stai eseguendo il ping sia configurato per rispondere a ICMP. Ti consigliamo di utilizzare uno dei sistemi Amazon Linux AMIs.

  • Se l'istanza su cui stai eseguendo il ping è un'istanza Windows, connettiti all'istanza e abilita l'inbound ICMPv4 sul firewall di Windows.

  • Assicurati di aver configurato correttamente le tabelle di routing per il VPC o la sottorete. Per ulteriori informazioni, consulta Fase 1: creazione di una connessione VPN e configurazione del VPC.

  • Se il tuo dispositivo Customer Gateway è un' EC2 istanza, assicurati di aver disabilitato il controllo di origine/destinazione per l'istanza. Per ulteriori informazioni, consulta Configurazione dell'istanza Windows.

Nella console Amazon VPC, nella pagina VPN Connections (Connessioni VPN), seleziona la connessione VPN. Il primo tunnel è attivo (stato UP). Il secondo tunnel deve essere configurato, ma verrà utilizzato solo se il primo tunnel diventa inattivo. È possibile che siano necessari alcuni secondi per impostare i tunnel crittografati.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.