Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ihr Kunden-Gateway-Gerät
Ein Kunden-Gateway-Gerät ist eine physische oder Software-Anwendung, die Sie in Ihrem On-Premise-Netzwerk (auf Ihrer Seite einer Site-to-Site-VPN-Verbindung) besitzen oder verwalten. Sie oder Ihr Netzwerkadministrator müssen das Gerät so konfigurieren, dass es mit der Site-to-Site-VPN-Verbindung funktioniert.
Das folgende Diagramm zeigt Ihr Netzwerk, das Kunden-Gateway-Gerät und die VPN-Verbindung, die zu einem Virtual Private Gateway führt, das Ihrer VPC zugewiesen ist. Die beiden Verbindungen zwischen dem Kunden-Gateway und dem Virtual Private Gateway stellen die Tunnel für die VPN-Verbindung dar. Wenn ein Geräteausfall innerhalb von auftritt AWS, führt Ihre VPN-Verbindung automatisch ein Failover zum zweiten Tunnel durch, sodass Ihr Zugriff nicht unterbrochen wird. Von Zeit zu Zeit AWS führt routinemäßige Wartungsarbeiten an der VPN-Verbindung durch, wodurch möglicherweise einer der beiden Tunnel Ihrer VPN-Verbindung kurzzeitig deaktiviert wird. Weitere Informationen finden Sie unter Ersatz für Site-to-Site VPN-Tunnelendpunkte. Konfigurieren Sie Ihr Kunden-Gateway-Gerät daher während der Konfiguration unbedingt auf die Verwendung beider Tunnel.
Informationen zu den Schritten zum Einrichten einer VPN-Verbindung finden Sie unter Erste Schritte mit AWS Site-to-Site VPN. Während dieses Vorgangs erstellen Sie eine Kunden-Gateway-Ressource in AWS, die Informationen AWS zu Ihrem Gerät bereitstellt, z. B. seine öffentlich zugängliche IP-Adresse. Weitere Informationen finden Sie unter Optionen für das Kunden-Gateway für Ihre Site-to-Site-VPN-Verbindung. Die Kunden-Gateway- AWS Ressource in konfiguriert oder erstellt das Kunden-Gateway-Gerät nicht. Sie müssen das Gerät selbst konfigurieren.
Hier finden Sie softwarebasierte VPN-Anwendungen:AWS Marketplace
Themen
- Beispielkonfigurationsdateien
- Anforderungen für Ihr Kunden-Gateway-Gerät
- Bewährte Methoden für Ihr Kunden-Gateway-Gerät
- Firewall-Regeln
- Szenarien mit mehreren VPN-Verbindungen
- Routing für Ihr Kunden-Gateway-Gerät
- Beispielkonfigurationen für statisches Routing
- Beispielkonfigurationen für dynamisches Routing (BGP)
- Windows Server als Kunden-Gateway-Gerät
- Fehlerbehebung
Beispielkonfigurationsdateien
Nachdem Sie die VPN-Verbindung erstellt haben, haben Sie zusätzlich die Möglichkeit, eine AWS-bereitgestellte Beispielkonfigurationsdatei von der Amazon-VPC-Konsole oder mithilfe der EC2-API herunterzuladen. Weitere Informationen finden Sie unter Schritt 6: Die Endpunkt-Konfigurationsdatei herunterladen. Sie können auch Zip-Dateien mit Beispielkonfigurationen herunterladen, die speziell für statisches und dynamisches Routing geeignet sind:
Zip-Dateien herunterladen
-
Statische Konfiguration: Beispielkonfigurationsdateien
-
Dynamische Konfiguration: Beispielkonfigurationsdateien
Die von bereitgestellte Beispielkonfigurationsdatei enthält spezifische Informationen für Ihre VPN-Verbindung, mit denen Sie Ihr Kunden AWS-Gateway-Gerät konfigurieren können. Diese gerätespezifische Konfigurationsdateien sind nur für Geräte verfügbar, die AWS getestet hat. Wenn Ihr spezifisches Kunden-Gateway-Gerät nicht aufgeführt ist, können Sie zunächst eine generische Konfigurationsdatei herunterladen.
Wichtig
Die Konfigurationsdatei ist nur ein Beispiel und entspricht möglicherweise nicht vollständig den von Ihnen beabsichtigten Site-to-Site-VPN-Verbindungseinstellungen. Sie gibt die Mindestanforderungen für eine Site-to-Site-VPN-Verbindung von AES128, SHA1 und Diffie-Hellman-Gruppe 2 in den meisten AWS Regionen und AES128, SHA2 und Diffie-Hellman-Gruppe 14 in den AWS GovCloud Regionen an. Es legt außerdem Pre-Shared-Key für die Authentifizierung fest. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche Sicherheitsalgorithmen, Diffie-Hellman-Gruppen, private Zertifikate und IPv6-Datenverkehr zu nutzen.
Anmerkung
Diese gerätespezifischen Konfigurationsdateien werden von AWS nach bestem Wissen und Gewissen bereitgestellt. Sie wurden zwar von getestet AWS, diese Tests sind jedoch begrenzt. Wenn Sie ein Problem mit den Konfigurationsdateien haben, müssen Sie sich möglicherweise an den jeweiligen Anbieter wenden, um zusätzlichen Support zu erhalten.
Die folgende Tabelle enthält eine Liste der Geräte, für die eine Beispielkonfigurationsdatei zum Download verfügbar ist, die aktualisiert wurde, um IKEv2 zu unterstützen. Wir haben IKEv2-Support in den Konfigurationsdateien für viele gängige Kunden-Gateway-Geräte eingeführt und werden im Laufe der Zeit weitere Dateien hinzufügen. Diese Liste wird aktualisiert, wenn weitere Beispielkonfigurationsdateien hinzugefügt werden.
| Hersteller | Plattform | Software |
|---|---|---|
|
Prüfpunkt |
Gaia |
R80.10+ |
|
Cisco Meraki |
MX-Serie |
15.12+ (WebUI) |
|
Cisco Systems, Inc. |
ASA 5500 Serie |
ASA 9.7+ VTI |
|
Cisco Systems, Inc. |
CSRv AMI |
IOS 12.4+ |
|
Fortinet |
Serie Fortigate 40+ |
FortiOS 6.4.4+ (GUI) |
|
Juniper Networks, Inc. |
Router der J-Serie |
JunOS 9.5+ |
|
Juniper Networks, Inc. |
SRX-Router |
JunOS 11.0+ |
|
Mikrotik |
RouterOS |
6.44.3 |
|
Palo Alto Networks |
PA-Serie |
PANOS 7.0+ |
|
SonicWall |
NSA, TZ |
OS 6.5 |
|
Sophos |
Sophos Firewall |
v19+ |
|
Strongswan |
Ubuntu 16.04 |
Strongswan 5.5.1+ |
|
Yamaha |
RTX-Router |
Rev.10.01.16+ |
Anforderungen für Ihr Kunden-Gateway-Gerät
Wenn Sie über ein Gerät verfügen, das nicht in der vorstehenden Liste von Beispielen aufgeführt ist, beschreibt dieser Abschnitt die Anforderungen, die das Gerät erfüllen muss, damit Sie es zum Aufbau einer Site-to-Site-VPN-Verbindung verwenden können.
Die Konfiguration Ihres Kunden-Gateway-Geräts umfasst vier zentrale Elemente. Die folgenden Symbole stellen die einzelnen Teile der Konfiguration dar.
|
IKE-Sicherheitszuordnung (Internet Key Exchange). Dies ist erforderlich, um Schlüssel auszutauschen, die zum Aufbau der IPsec-Sicherheitszuordnung verwendet werden. |
|
IPsec-Sicherheitszuordnung. Damit wird die Verschlüsselung, die Authentifizierung usw. des Tunnels abgewickelt. |
|
Tunnelschnittstelle. Dadurch wird der zum und vom Tunnel gehende Datenverkehr empfangen. |
|
(Optional) BGP-Peering (Border Gateway Protocol). Bei Geräten, die BGP verwenden, tauscht dies Routen zwischen dem Kunden-Gateway-Gerät und dem Virtual Private Gateway aus. |
In der folgenden Tabelle sind die Anforderungen für das Kunden-Gateway-Gerät, der zugehörige RFC (als Referenz) und Kommentare zu den Anforderungen aufgeführt.
Jede VPN-Verbindung besteht aus zwei separaten Tunneln. Jeder Tunnel umfasst eine IKE-Sicherheitsaushandlung, eine IPsec-Sicherheitsaushandlung und ein BGP-Peering. Sie sind auf ein Sicherheitszuordnungspaar (SA) pro Tunnel (ein eingehendes und ein ausgehendes) und somit auf zwei eindeutige SA-Paare für insgesamt zwei Tunnel (vier SAs) beschränkt. Einige Geräte nutzen eine richtlinienbasierte VPN und erstellen so viele SAs, wie ACL-Einträge vorhanden sind. Daher müssen Sie möglicherweise Ihre Regeln konsolidieren und dann filtern, damit Sie keinen unerwünschten Datenverkehr zulassen.
Standardmäßig wird der VPN-Tunnel bei der Generierung von Datenverkehr gestartet und die IKE-Aushandlung von Ihrer Seite der VPN-Verbindung initiiert wird. Sie können die VPN-Verbindung so konfigurieren, dass die IKE-Aushandlung stattdessen von der - AWS Seite der Verbindung aus initiiert wird. Weitere Informationen finden Sie unter Initiierungsoptionen für Site-to-Site-VPN-Tunnel.
VPN-Endpunkte unterstützen die Erstellung neuer Schlüssel und können kurz vor Ablauf von Phase 1 Neuverhandlungen starten, wenn das Kunden-Gateway-Gerät keinen Neuverhandlungsdatenverkehr gesendet hat.
| Anforderung | RFC | Kommentare |
|---|---|---|
|
IKE-Sicherheitszuordnung herstellen
|
Die IKE-Sicherheitszuordnung wird zuerst zwischen dem Virtual Private Gateway und dem Kunden-Gateway-Gerät unter Verwendung eines vorinstallierten Schlüssels oder eines privaten Zertifikats, das AWS Private Certificate Authority als Authentifikator verwendet, hergestellt. Wenn es eingerichtet ist, handelt IKE einen kurzlebigen Schlüssel aus, um zukünftige IKE-Nachrichten zu sichern. Die Parameter müssen vollständig übereinstimmen, einschließlich der Verschlüsselungs- und Authentifizierungsparameter. Wenn Sie eine VPN-Verbindung in erstellen AWS, können Sie Ihren eigenen vorinstallierten Schlüssel für jeden Tunnel angeben oder einen Schlüssel für Sie AWS generieren lassen. Alternativ können Sie das private Zertifikat mit angeben AWS Private Certificate Authority , um es für Ihr Kunden-Gateway-Gerät zu verwenden. Weitere Informationen zum Konfigurieren von VPN-Tunneln finden Sie unter Tunnel-Optionen für Ihre Site-to-Site-VPN-Verbindung. Die folgenden Versionen werden unterstützt: IKEv1 und IKEv2. Wir unterstützen den Hauptmodus nur mit IKEv1. Der Site-to-Site VPN-Service ist eine routenbasierte Lösung. Wenn Sie eine richtlinienbasierte Konfiguration verwenden, müssen Sie Ihre Konfiguration auf eine einzelne Sicherheitszuordnung beschränken. |
|
|
Herstellen von IPsec Sicherheitsaushandlungs im Tunnel-Modus
|
Mit dem temporären IKE-Schlüssel werden Schlüssel für eine IPsec-Sicherheitsaushandlung (SA) zwischen dem Virtual Private Gateway und dem Kunden-Gateway-Gerät ausgetauscht. Der Datenverkehr zwischen den Gateways wird über diese SA ver- und entschlüsselt. Die zur Verschlüsselung des Datenverkehrs in der IPsec-SA verwendeten temporären Schlüssel werden automatisch regelmäßig von IKE rotiert. So ist die Vertraulichkeit der Kommunikation sichergestellt. |
|
|
Verwenden der AES 128-Bit- oder AES 256-Bit-Verschlüsselungsfunktion |
Die Verschlüsselungsfunktion wird zum Schutz der Daten zwischen IKE- und IPsec-Sicherheitsaushandlungen verwendet. |
|
|
Verwenden Sie die SHA-1- oder SHA-2 (256)-Hash-Funktion |
Diese Hash-Funktion wird zur Authentifizierung der Daten zwischen IKE- und IPsec-Sicherheitsaushandlungen verwendet. |
|
|
Verwenden von Diffie-Hellman Perfect Forward Secrecy. |
IKE nutzt Diffie-Hellman zur Etablierung der temporären Schlüssel zur Absicherung der gesamten Kommunikation zwischen Kunden-Gateway-Geräten und Virtual Private Gateways. Folgende Gruppen werden unterstützt:
|
|
|
(Dynamisch geroutete VPN-Verbindungen) Verwenden Sie IPsec Dead Peer Detection |
Die Nutzung von Dead Peer Detection ermöglicht den VPN-Geräten die schnelle Erkennung von Netzwerkbedingungen, die verhindern, dass Pakete über das Internet zugestellt werden können. Wenn dies auftritt, löschen die Gateways die Sicherheitsaushandlungen und versuchen, neue Aushandlungen zu erstellen. Während dieses Prozesses wird, wenn möglich, der alternative IPsec-Tunnel verwendet. |
|
|
(Dynamisch geroutete VPN-Verbindungen) Binden Sie den Tunnel an die logische Schnittstelle (routenbasiertes VPN)
|
None |
Ihr Gerät muss in der Lage sein, den IPsec-Tunnel an eine logische Schnittstelle zu binden. Die logische Schnittstelle umfasst eine IP-Adresse, die zur Etablierung des BGP-Peerings mit dem Virtual Private Gateway verwendet wird. Die logische Schnittstelle sollte keine zusätzliche Kapselung durchführen (z. B. GRE oder IP in IP). Die Schnittstelle sollte mit einer MTU (Maximum Transmission Unit) von 1399 Byte konfiguriert sein. |
|
(Dynamisch geroutete VPN-Verbindungen) Richten Sie BGP-Peerings ein
|
BGP wird zum Austausch von Routen zwischen dem Kunden-Gateway-Gerät und dem Virtual Private Gateway verwendet. Der gesamte BGP-Datenverkehr wird über die IPsec-Sicherheitsaushandlung verschlüsselt und übertragen. Zum Austausch der über die IPsec-SA erreichbaren IP-Präfixe ist für beide Gateways BGP erforderlich. |
Eine AWS VPN-Verbindung unterstützt Path MTU Discovery (RFC 1191
Wenn sich eine Firewall zwischen Ihrem Kunden-Gateway-Gerät und dem Internet befindet, vgl. Konfigurieren einer Firewall zwischen dem Internet und Ihrem Kunden-Gateway-Gerät.
Bewährte Methoden für Ihr Kunden-Gateway-Gerät
Zurücksetzen des "Don't Fragment"-Flags (DF) von Paketen
Einige Pakete verfügen über ein Flag namens "Don't Fragment" (DF). Dieses Flag zeigt an, dass das Paket nicht fragmentiert werden soll. Bei Paketen mit dem Flag generieren die Gateways die ICMP-Nachricht "Path MTU Exceeded". In einigen Fällen verfügen Anwendungen nicht über die entsprechenden Mechanismen zur Verarbeitung dieser ICMP-Nachrichten und reduzieren die in jedem Paket übertragene Datenmenge. Einige VPN-Geräte können das DF-Flag übergehen und Pakete bei Bedarf fragmentieren. Wenn Ihr Kunden-Gateway-Gerät über eine solche Möglichkeit verfügt, sollten Sie diese bei Bedarf nutzen. Siehe .RFC 791
Fragmentierung von IP-Paketen vor der Verschlüsselung
Wenn Pakete, die über Ihre Site-to-Site-VPN-Verbindung an gesendet werden, die MTU-Größe überschreiten, müssen sie fragmentiert werden. Um Leistungseinbußen zu vermeiden, empfehlen wir Ihnen, Ihr Kunden-Gateway-Gerät so zu konfigurieren, dass die Pakete fragmentiert werden, bevor sie verschlüsselt werden. Site-to-Site VPN führt dann alle fragmentierten Pakete erneut zusammen, bevor sie an das nächste Ziel weitergeleitet werden, um höhere packet-per-second Flows durch das AWS Netzwerk zu erreichen. Siehe RFC 4459
Sicherstellen, dass die Paketgröße die MTU für Zielnetzwerke nicht überschreitet
Da Site-to-Site VPN alle fragmentierten Pakete, die von Ihrem Kunden-Gateway-Gerät empfangen werden, vor der Weiterleitung an das nächste Ziel erneut zusammenführt, sollten Sie berücksichtigen, dass es Überlegungen zur Paketgröße/MTU für Zielnetzwerke geben kann, in denen diese Pakete als Nächstes weitergeleitet werden, z. B. über AWS Direct Connect.
Passen Sie die MTU- und MSS-Größen entsprechend den verwendeten Algorithmen an
TCP-Pakete sind oft der häufigste Pakettyp über IPsec-Tunnel. Site-to-Site VPN unterstützt eine maximale Übertragungseinheit (MTU) von 1446 Byte und eine entsprechende maximale Segmentgröße (MSS) von 1406 Byte. Verschlüsselungsalgorithmen haben jedoch unterschiedliche Header-Größen und können verhindern, dass diese Maximalwerte erreicht werden können. Um eine optimale Leistung durch Vermeidung von Fragmentierung zu erzielen, empfehlen wir Ihnen, die MTU und MSS speziell auf den verwendeten Algorithmen basierend einzustellen.
Verwenden Sie die folgende Tabelle, um Ihre MTU/MSS festzulegen, sodass eine Fragmentierung vermieden und eine optimale Leistung erzielt wird:
| Verschlüsselungsalgorithmus | Hash-Algorithmus | NAT-Traversierung | MTU | MSS (IPv4) | MSS (IPv6-in-IPv4) |
|---|---|---|---|---|---|
|
AES-GCM-16 |
N/A |
disabled |
1446 |
1406 |
1386 |
|
AES-GCM-16 |
N/A |
aktiviert |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
disabled |
1438 |
1398 |
1378 |
|
AES-CBC |
SHA1/SHA2-256 |
aktiviert |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-384 |
aktiviert |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
disabled |
1422 |
1382 |
1362 |
|
AES-CBC |
SHA2-512 |
aktiviert |
1406 |
1366 |
1346 |
Anmerkung
Die AES-GCM-Algorithmen decken sowohl die Verschlüsselung als auch die Authentifizierung ab, sodass es keine eindeutige Wahl des Authentifizierungsalgorithmus gibt, die sich auf die MTU auswirken würde.
Konfigurieren einer Firewall zwischen dem Internet und Ihrem Kunden-Gateway-Gerät
Sie müssen über eine statische IP-Adresse verfügen, die als Endpunkt für die IPsec-Tunnel verwendet werden kann, die Ihr Kunden-Gateway-Gerät mit AWS Site-to-Site VPN Endpunkten verbinden. Wenn zwischen AWS und Ihrem Kunden-Gateway-Gerät eine Firewall vorhanden ist, müssen die Regeln in den folgenden Tabellen vorhanden sein, um die IPsec-Tunnel einzurichten. Die IP-Adressen für die AWS-Seite befinden sich in der Konfigurationsdatei.
|
Eingangsregel I1 |
|
|---|---|
|
Quell-IP |
Tunnel1 Externe IP |
|
Ziel-IP |
Kunden-Gateway |
|
Protokoll |
UDP |
|
Quell-Port |
500 |
|
Zielbereich |
500 |
|
Eingangsregel I2 |
|
|
Quell-IP |
Tunnel2 Externe IP |
|
Ziel-IP |
Kunden-Gateway |
|
Protokoll |
UDP |
|
Quell-Port |
500 |
|
Ziel-Port |
500 |
|
Eingangsregel I3 |
|
|
Quell-IP |
Tunnel1 Externe IP |
|
Ziel-IP |
Kunden-Gateway |
|
Protokoll |
IP 50 (ESP) |
|
Eingangsregel I4 |
|
|
Quell-IP |
Tunnel2 Externe IP |
|
Ziel-IP |
Kunden-Gateway |
|
Protokoll |
IP 50 (ESP) |
|
Ausgangsregel O1 |
|
|---|---|
|
Quell-IP |
Kunden-Gateway |
|
Ziel-IP |
Tunnel1 Externe IP |
|
Protokoll |
UDP |
|
Quell-Port |
500 |
|
Ziel-Port |
500 |
|
Ausgangsregel O2 |
|
|
Quell-IP |
Kunden-Gateway |
|
Ziel-IP |
Tunnel2 Externe IP |
|
Protokoll |
UDP |
|
Quell-Port |
500 |
|
Ziel-Port |
500 |
|
Ausgangsregel O3 |
|
|
Quell-IP |
Kunden-Gateway |
|
Ziel-IP |
Tunnel1 Externe IP |
|
Protokoll |
IP 50 (ESP) |
|
Ausgangsregel O4 |
|
|
Quell-IP |
Kunden-Gateway |
|
Ziel-IP |
Tunnel2 Externe IP |
|
Protokoll |
IP 50 (ESP) |
Die Regeln I1, I2, O1 und O2 ermöglichen die Übertragung von IKE-Paketen. Die Regeln I3, I4, O3 und O4 ermöglichen die Übertragung von IPsec-Paketen mit verschlüsseltem Netzwerkverkehr.
Anmerkung
Wenn Sie NAT Traversal (NAT-T) auf Ihrem Gerät verwenden, stellen Sie sicher, dass der UDP-Datenverkehr auf Port 4500 auch zwischen Ihrem Netzwerk und den AWS Site-to-Site VPN Endpunkten übertragen werden darf. Überprüfen Sie, ob Ihr Gerät NAT-T ankündigt.
Szenarien mit mehreren VPN-Verbindungen
Im Folgenden sind Szenarien aufgeführt, in denen Sie mehrere VPN-Verbindungen mit einem oder mehreren Kunden-Gateway-Geräten erstellen könnten.
Mehrere VPN-Verbindungen unter Verwendung desselben Kunden-Gateway-Geräts
Sie können zusätzliche VPN-Verbindungen von Ihrem On-Premise-Standort zu anderen VPCs unter Verwendung desselben Kunden-Gateway-Geräts erstellen. Sie können auf dem Kunden-Gateway eine einzige IP-Adresse für alle VPN-Verbindungen verwenden.
Redundante VPN-Verbindung mit einem zweiten Kunden-Gateway-Gerät
Zum Schutz vor einem Verbindungsverlust, wenn Ihr Kunden-Gateway-Gerät nicht mehr verfügbar ist, können Sie eine zweite VPN-Verbindung mit einem zweiten Kunden-Gateway-Gerät einrichten. Weitere Informationen finden Sie unter Verwenden redundanter Site-to-Site-VPN-Verbindungen zur Bereitstellung von Failover. Wenn Sie redundante Kunden-Gateway-Geräte an einem Standort einrichten, sollten beide Geräte dieselben IP-Bereiche ankündigen.
Mehrere Kunden-Gateway-Geräte zu einem einzigen Virtual Private Gateway (AWS VPN CloudHub)
Sie können mehrere VPN-Verbindungen von mehreren Kunden-Gateway-Geräten mit einem einzelnen Virtual Private Gateway einrichten. Auf diese Weise können Sie mehrere Standorte mit dem AWS VPN verbinden CloudHub. Weitere Informationen finden Sie unter Ermöglichen einer sicheren Kommunikation zwischen Standorten über VPN CloudHub. Wenn Sie über Kunden-Gateway-Geräte an mehreren geografischen Standorten verfügen, sollte jedes Gerät einen eindeutigen Satz IP-Bereiche für den jeweiligen Standort ankündigen.
Routing für Ihr Kunden-Gateway-Gerät
AWS empfiehlt, bestimmte BGP-Routen zu bewerben, um Routing-Entscheidungen im Virtual Private Gateway zu beeinflussen. Überprüfen Sie in der Herstellerdokumentation die Befehle, die für Ihr Gerät spezifisch sind.
Wenn Sie mehrere VPN-Verbindungen erstellen, sendet das Virtual Private Gateway Datenverkehr mithilfe von statisch zugewiesenen Routen oder BGP-Routenankündigungen an die passende VPN-Verbindung. Die Route hängt davon ab, wie die VPN-Verbindung konfiguriert wurde. Wenn identische Routen im virtuellen privaten Gateway vorhanden sind, werden statisch zugewiesene Routen gegenüber per BGP angekündigten Routen bevorzugt. Wenn Sie BGP-Ankündigungen verwenden, können Sie keine statischen Routen angeben.
Weitere Informationen zur Routenpriorität finden Sie unter Routing-Tabellen und VPN-Routenpriorität.
