Windows Server als AWS Site-to-Site VPN Kunden-Gatewaygerät konfigurieren

Sie können einen Server, auf dem Windows Server ausgeführt wird, als Kunden-Gateway-Gerät für Ihren konfigurierenVPC. Verwenden Sie den folgenden Prozess, unabhängig davon, ob Sie Windows Server auf einer EC2 Instanz in einem VPC oder auf Ihrem eigenen Server ausführen. Die folgenden Verfahren gelten für Windows Server 2012 R2 und höher.

Konfigurieren der Windows-Instance

Wenn Sie Windows Server auf einer EC2 Instanz konfigurieren, die Sie von einem Windows aus gestartet habenAMI, gehen Sie wie folgt vor:

• Deaktivieren Sie für die Instance die Quell-/Zielprüfung:

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Ihre Windows-Instance aus und wählen Sie dann Actions, Networking, Change Source/Dest. check. Wählen Sie Add und dann Save aus.

• Aktualisieren Sie Ihre Adapter-Einstellungen, sodass Sie Datenverkehr von anderen Instances weiterleiten können:

  1. Herstellen einer Verbindung mit Ihrer Windows-Instance. Weitere Informationen finden Sie unter Verbindung zu Ihrer Windows-Instance.

  2. Öffnen Sie die Systemsteuerung und starten Sie den Geräte-Manager.

  3. Erweitern Sie den Knoten Network adapters.

  4. Wählen Sie den Netzwerkadapter (je nach Instance-Typ kann dies Amazon Elastic Network Adapter oder Intel 82599 Virtual Function sein) und wählen Sie Action, Properties.

  5. Deaktivieren Sie auf der Registerkarte Erweitert die Eigenschaften IPv4Checksum Offload, TCPChecksum Offload (IPv4) und UDPChecksum Offload (IPv4) und wählen Sie dann OK.

• Weisen Sie Ihrem Konto eine Elastic-IP-Adresse zu und ordnen Sie diese der Instance zu. Weitere Informationen finden Sie unter Arbeiten mit Elastic IP-Adressen. Notieren Sie sich diese Adresse — Sie benötigen sie, wenn Sie das Kunden-Gateway in Ihrem einrichten. VPC

• Stellen Sie sicher, dass die Sicherheitsgruppenregeln der Instance ausgehenden IPsec Datenverkehr zulassen. Standardmäßig lässt eine Sicherheitsgruppe den gesamten ausgehenden Datenverkehr zu. Wenn die ausgehenden Regeln der Sicherheitsgruppe jedoch gegenüber ihrem ursprünglichen Status geändert wurden, müssen Sie die folgenden benutzerdefinierten Protokollregeln für ausgehenden IPsec Datenverkehr erstellen: IP-Protokoll 50, IP-Protokoll 51 und 500. UDP

Notieren Sie sich den CIDR Bereich des Netzwerks, in dem sich Ihre Windows-Instanz befindet, z. B. 172.31.0.0/16

Schritt 1: Stellen Sie eine VPN Verbindung her und konfigurieren Sie Ihre VPC

Gehen Sie wie folgt vorVPC, um von Ihrem aus eine VPN Verbindung herzustellen:

1. Erstellen Sie ein virtuelles privates Gateway und hängen Sie es an Ihr anVPC. Weitere Informationen finden Sie unter Erstellen eines Virtual Private Gateways.

2. Stellen Sie eine VPN Verbindung und ein neues Kunden-Gateway her. Geben Sie für das Kunden-Gateway die öffentliche IP-Adresse Ihres Windows-Servers an. Wählen Sie für die VPN Verbindung statisches Routing und geben Sie dann den CIDR Bereich für Ihr Netzwerk ein, in dem sich der Windows Server befindet, 172.31.0.0/16 z. B. Weitere Informationen finden Sie unter Schritt 5: VPN Verbindung herstellen.

Nachdem Sie die VPN Verbindung hergestellt haben, konfigurieren Sie die, VPC um die Kommunikation über die VPN Verbindung zu ermöglichen.

Um Ihre zu konfigurieren VPC

• Erstellen Sie ein privates Subnetz in Ihrem VPC (falls Sie noch keines haben), um Instances für die Kommunikation mit dem Windows Server zu starten. Weitere Informationen finden Sie unter Erstellen eines Subnetzes in Ihrem. VPC

  Anmerkung

  Ein privates Subnetz ist ein Subnetz ohne Weiterleitung an das Internet-Gateway. Das Routing für dieses Subnetz wird unter dem nächsten Punkt beschrieben.

• Aktualisieren Sie Ihre Routing-Tabellen für die VPN Verbindung:

  • Fügen Sie der Routing-Tabelle Ihres privaten Subnetzes eine Route mit dem Virtual Private Gateway als Ziel und dem Windows Server-Netzwerk (CIDRBereich) als Ziel hinzu. Weitere Informationen finden Sie unter Hinzufügen und Entfernen von Routen aus einer Routentabelle im VPCAmazon-Benutzerhandbuch.

  • Aktivieren Sie die Routing-Verbreitung für das Virtual Private Gateway. Weitere Informationen finden Sie unter (Virtual Private Gateway) Aktivieren Sie die Routenverbreitung in Ihrer Routing-Tabelle.

• Erstellen Sie eine Sicherheitsgruppe für Ihre Instances, die die Kommunikation zwischen Ihnen VPC und dem Netzwerk ermöglicht:

  • Fügen Sie Regeln hinzu, die eingehende SSH Zugriffe RDP oder Zugriffe aus Ihrem Netzwerk zulassen. Auf diese Weise können Sie von Ihrem Netzwerk VPC aus eine Verbindung zu Instances in Ihrem herstellen. Um beispielsweise Computern in Ihrem Netzwerk den Zugriff auf Linux-Instances in Ihrem Netzwerk zu ermöglichenVPC, erstellen Sie eine Regel für eingehenden Datenverkehr mit dem Typ und der QuelleSSH, die auf den CIDR Bereich Ihres Netzwerks eingestellt ist (z. B.172.31.0.0/16). Weitere Informationen finden Sie unter Sicherheitsgruppen für Sie VPC im VPCAmazon-Benutzerhandbuch.

  • Fügen Sie eine Regel hinzu, die eingehenden ICMP Zugriff von Ihrem Netzwerk aus erlaubt. Auf diese Weise können Sie Ihre VPN Verbindung testen, indem Sie von Ihrem Windows Server VPC aus eine Instance in Ihrem anpingen.

Schritt 2: Laden Sie die Konfigurationsdatei für die VPN Verbindung herunter

Sie können die VPC Amazon-Konsole verwenden, um eine Windows Server-Konfigurationsdatei für Ihre VPN Verbindung herunterzuladen.

So laden Sie die Konfigurationsdatei herunter

1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Site-to-Site VPNVerbindungen aus.

3. Wählen Sie Ihre VPN Verbindung aus und wählen Sie Konfiguration herunterladen.

4. Wählen Sie als Anbieter Microsoft, als Plattform Windows Server und als Software 2012 R2 aus. Wählen Sie Herunterladen aus. Sie können die Datei öffnen oder speichern.

Die Konfigurationsdatei enthält einen Abschnitt mit Informationen, der dem folgenden Beispiel ähnelt. Diese Informationen werden zweimal angezeigt, einmal für jeden Tunnel.

vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

Die IP-Adresse, die Sie beim Herstellen der VPN Verbindung für das Kunden-Gateway angegeben haben.

Remote Tunnel Endpoint

Eine von zwei IP-Adressen für das Virtual Private Gateway, das die VPN Verbindung auf der AWS Seite der Verbindung beendet.

Endpoint 1

Das IP-Präfix, das Sie beim Erstellen der VPN Verbindung als statische Route angegeben haben. Dies sind die IP-Adressen in Ihrem Netzwerk, die über die VPN Verbindung auf Ihre zugreifen dürfenVPC.

Endpoint 2

Der IP-Adressbereich (CIDRBlock) desVPC, der mit dem Virtual Private Gateway verbunden ist (z. B. 10.0.0.0/16).

Preshared key

Der vorab gemeinsam genutzte Schlüssel, der verwendet wird, um die IPsec VPN Verbindung zwischen und herzustellen. Local Tunnel Endpoint Remote Tunnel Endpoint

Wir empfehlen, dass Sie beide Tunnel als Teil der VPN Verbindung konfigurieren. Jeder Tunnel ist mit einem separaten VPN Konzentrator auf der Amazon-Seite der VPN Verbindung verbunden. Es ist zwar immer nur ein Tunnel aktiv, aber der zweite Tunnel baut sich automatisch auf, wenn der erste Tunnel ausfällt. Redundante Tunnel gewährleisten eine kontinuierliche Verfügbarkeit im Falle eines Geräteausfalls. Da jeweils nur ein Tunnel verfügbar ist, zeigt die VPC Amazon-Konsole an, dass ein Tunnel ausgefallen ist. Dies ist jedoch Absicht und bedarf keiner Handlung Ihrerseits.

Wenn zwei Tunnel konfiguriert sind und innerhalb weniger Minuten ein Geräteausfall auftritt AWS, wird Ihre VPN Verbindung automatisch auf den zweiten Tunnel des Virtual Private Gateways umgestellt. Konfigurieren Sie beim Konfigurieren Ihres Kunden-Gateway-Geräts unbedingt beide Tunnel.

Anmerkung

AWS Führt von Zeit zu Zeit routinemäßige Wartungsarbeiten am Virtual Private Gateway durch. Diese Wartung kann einen der beiden Tunnel Ihrer VPN Verbindung für einen kurzen Zeitraum deaktivieren. Ihre VPN Verbindung wird automatisch auf den zweiten Tunnel umgestellt, während wir diese Wartung durchführen.

Zusätzliche Informationen zu Internet Key Exchange (IKE) und IPsec Security Associations (SA) finden Sie in der heruntergeladenen Konfigurationsdatei.

MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2

MainModeSecMethods

Die Verschlüsselungs- und Authentifizierungsalgorithmen für die IKE SA Dies sind die empfohlenen Einstellungen für die VPN Verbindung und die Standardeinstellungen für Windows IPsec VPN Server-Verbindungen.

MainModeKeyLifetime

Die Gültigkeitsdauer des IKE SA-Schlüssels.  Dies ist die empfohlene Einstellung für die VPN Verbindung und die Standardeinstellung für Windows IPsec VPN Server-Verbindungen.

QuickModeSecMethods

Die Verschlüsselungs- und Authentifizierungsalgorithmen für die IPsec SA. Dies sind die empfohlenen Einstellungen für die VPN Verbindung und die Standardeinstellungen für Windows IPsec VPN Server-Verbindungen.

QuickModePFS

Wir empfehlen Ihnen, Master Key Perfect Forward Secrecy (PFS) für Ihre IPsec Sitzungen zu verwenden.

Schritt 3: Konfigurieren des Windows-Servers

Bevor Sie den VPN Tunnel einrichten, müssen Sie die Routing- und RAS-Dienste auf Windows Server installieren und konfigurieren. Dadurch können Benutzer auf die Ressourcen in Ihrem Netzwerk zugreifen.

So installieren Sie Routing- und Remotezugriff-Services

1. Melden Sie sich bei Ihrem Windows Server an.

2. Navigieren Sie zum Menü Start und wählen Sie Server-Manager aus.

3. Installation der Routing- und Remotezugriff-Services:

   1. Wählen Sie im Menü Verwalten die Option Rollen und Features hinzufügen aus.

   2. Überprüfen Sie auf der Seite Bevor Sie beginnen, ob Ihr Server alle Voraussetzungen erfüllt, und klicken Sie dann auf Weiter.

   3. Wählen Sie erst Rollenbasierte oder featurebasierte Installation und dann Weiter aus.

   4. Wählen Sie erst die Option Einen Server aus dem Serverpool auswählen, dann den Windows-Server und anschließend Weiter aus.

   5. Wählen Sie Netzwerkrichtlinien- und Zugriffsdienste aus der Liste aus. Wählen Sie im daraufhin angezeigten Dialogfeld Features hinzufügen aus, um die für diese Rolle erforderlichen Funktionen zu bestätigen.

   6. Wählen Sie in derselben Liste Remote Access (Remotezugriff) und dann Next (Weiter) aus.

   7. Wählen Sie auf der Seite Features auswählen die Option Weiter aus.

   8. Wählen Sie auf der Seite Netzwerkrichtlinien- und Zugriffsdienste Weiter aus.

   9. Wählen Sie auf der Seite Remotezugriff die Option Weiter aus. Wählen Sie auf der nächsten Seite DirectAccess und VPN (RAS) aus. Wählen Sie im angezeigten Dialogfeld die Option Features hinzufügen aus, um die für diesen Rollenservice erforderlichen Funktionen zu bestätigen. Wählen Sie in derselben Liste Routing und anschließend Weiter aus.

   10. Wählen Sie auf der Seite Webserverrolle (IIS) die Option Weiter aus. Belassen Sie die Standardauswahl und wählen Sie Weiter aus.

   11. Wählen Sie Installieren aus. Nach abgeschlossener Installation wählen Sie Schließen aus.

So konfigurieren und aktivieren Sie den Routing- und Remotezugriff-Server

1. Wählen Sie auf dem Dashboard Benachrichtigungen (das Flag-Symbol) aus. Es sollte eine Aufgabe angezeigt werden, mit der Sie die Konfiguration nach der Bereitstellung abschließen können. Wählen Sie den Link Assistent für erste Schritte öffnen aus.

2. Wählen Sie VPNNur Bereitstellen aus.

3. Wählen Sie im Dialogfenster Routing and Remote Access (Routing und Remotezugriff( den Servernamen, dann Action (Aktion) und anschließend Configure and Enable Routing und Remote Access (Routing und RAS konfigurieren und aktivieren) aus.

4. Wählen Sie auf der ersten Seite des Setup-Assistent für den Routing- und RAS-Server die Option Weiter aus.

5. Wählen Sie auf der Seite Configuration (Konfiguration) erst die Option Custom Configuration (Benutzerdefinierte Konfiguration) und anschließend Next (Weiter) aus.

6. Wählen Sie LANRouting, Weiter, Fertig stellen.

7. Wenn das Dialogfeld Routing und Remotezugriff Sie dazu auffordert, wählen Sie Dienst starten aus.

Schritt 4: Richten Sie den VPN Tunnel ein

Sie können den VPN Tunnel konfigurieren, indem Sie die in der heruntergeladenen Konfigurationsdatei enthaltenen Netsh-Skripts ausführen oder die Windows Server-Benutzeroberfläche verwenden.

Wichtig

Wir empfehlen Ihnen, Master Key Perfect Forward Secrecy (PFS) für Ihre Sitzungen zu verwenden. IPsec Wenn Sie das Netsh-Skript ausführen möchten, enthält es einen Parameter für enable PFS (). qmpfs=dhgroup2 Sie können die Aktivierung nicht PFS über die Windows-Benutzeroberfläche durchführen — Sie müssen sie über die Befehlszeile aktivieren.

Optionen

• Option 1: Ausführen des Netsh-Skripts
• Option 2: Verwenden der Windows-Server-Benutzeroberfläche

Option 1: Ausführen des Netsh-Skripts

Kopieren Sie das Netsh-Skript aus der heruntergeladenen Konfigurationsdatei und ersetzen Sie die Variablen. Nachfolgend sehen Sie ein Beispielskript.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: Sie können den empfohlenen Namen (vgw-1a2b3c4d Tunnel 1) durch einen beliebigen Namen ersetzen.

LocalTunnelEndpoint: Geben Sie die private IP-Adresse des Windows Servers in Ihrem Netzwerk ein.

Endpunkt1: Der CIDR Block Ihres Netzwerks, in dem sich der Windows Server befindet, zum Beispiel. 172.31.0.0/16 Umgeben Sie diesen Wert mit doppelten Anführungszeichen (").

Endpunkt2: Der CIDR Block Ihres VPC oder eines Subnetzes in Ihrem, zum Beispiel. VPC 10.0.0.0/16 Umgeben Sie diesen Wert mit doppelten Anführungszeichen (").

Führen Sie das aktualisierte Skript in einem Befehlszeilenfenster auf dem Windows-Server aus. (Mit ^ können Sie umgebrochenen Text in der Eingabeaufforderung kopieren und einfügen.) Um den zweiten VPN Tunnel für diese VPN Verbindung einzurichten, wiederholen Sie den Vorgang mit dem zweiten Netsh-Skript in der Konfigurationsdatei.

Wenn Sie fertig sind, rufen Sie Konfigurieren der Windows-Firewall auf.

Weitere Informationen zu den Netsh-Parametern finden Sie unter Netsh AdvFirewall Consec-Befehle in der Microsoft-Bibliothek. TechNet

Option 2: Verwenden der Windows-Server-Benutzeroberfläche

Sie können den Tunnel auch über die Windows Server-Benutzeroberfläche einrichten. VPN

Wichtig

Sie können Master Key Perfect Forward Secrecy (PFS) nicht über die Windows Server-Benutzeroberfläche aktivieren. Sie müssen die Aktivierung PFS über die Befehlszeile vornehmen, wie unter beschrieben. Master Key Perfect Forward Secrecy aktivieren

Aufgaben

• Konfigurieren Sie eine Sicherheitsregel für einen VPN Tunnel
• Überprüfen der Tunnelkonfiguration
• Master Key Perfect Forward Secrecy aktivieren
• Konfigurieren der Windows-Firewall

Konfigurieren Sie eine Sicherheitsregel für einen VPN Tunnel

In diesem Abschnitt konfigurieren Sie eine Sicherheitsregel auf Ihrem Windows Server, um einen VPN Tunnel zu erstellen.

Um eine Sicherheitsregel für einen VPN Tunnel zu konfigurieren

1. Öffnen Sie den Server-Manager, wählen Sie Tools und dann Windows Defender Firewall with Advanced Security (Windows-Firewall mit erweiterter Sicherheit) aus.

2. Wählen Sie erst Verbindungssicherheitsregeln, dann Aktion und anschließend Neue Regel aus.

3. Wählen Sie im Assistent für neue Verbindungssicherheitsregeln auf der Seite Regeltyp erst Tunnel und anschließend Weiter aus.

4. Wählen Sie auf der Seite Tunneltype unter Welche Art von Tunnel möchten Sie erstellen? die Option Benutzerdefinierte Konfiguration aus. Lassen Sie unter Möchten Sie IPsec -geschützte Verbindungen von diesem Tunnel ausnehmen den Standardwert aktiviert (Nein). Senden Sie den gesamten Netzwerkverkehr, der dieser Verbindungssicherheitsregel entspricht, durch den Tunnel, und klicken Sie dann auf Weiter.

5. Wählen Sie auf der Seite „Anforderungen“ die Option Authentifizierung für eingehende Verbindungen erforderlich aus. Richten Sie keine Tunnel für ausgehende Verbindungen ein und wählen Sie dann Weiter.

6. Wählen Sie auf der Seite Tunnel Endpoints (Tunnelendpunkte) unter Which computers are in Endpoint 1 (Welche Computer befinden sich im Endpunkt 1) die Option Add (Hinzufügen) aus. Geben Sie den CIDR Bereich Ihres Netzwerks ein (z. B. hinter Ihrem Windows Server-Kunden-Gateway-Gerät172.31.0.0/16), und wählen Sie dann OK. Der Bereich kann die IP-Adresse Ihres Kunden-Gateway-Geräts beinhalten.

7. Wählen Sie unter Was ist der lokale Tunnelendpunkt (am nächsten zu Computer in Endpunkt 1) die Option Bearbeiten aus. Geben Sie in das IPv4Adressfeld die private IP-Adresse Ihres Windows Servers ein, und wählen Sie dann OK aus.

8. Wählen Sie unter Was ist der Remotetunnelendpunkt (am nächsten zu Computern in Endpunkt 2)? die Option Bearbeiten aus. Geben Sie in das IPv4Adressfeld die IP-Adresse des virtuellen privaten Gateways für Tunnel 1 aus der Konfigurationsdatei ein (sieheRemote Tunnel Endpoint), und wählen Sie dann OK.

   Wichtig

   Wenn Sie diesen Vorgang für Tunnel 2 wiederholen, wählen Sie für Tunnel 2 den korrekten Endpunkt aus.

9. Wählen Sie unter Welche Computer befinden sich im Endpunkt 2? die Option Hinzufügen aus. Geben Sie im Feld Diese IP-Adresse oder dieses Subnetz den CIDR Block Ihres einVPC, und wählen Sie dann OK aus.

   Wichtig

   Blättern Sie im Dialogfeld nach unten bis zu Welche Computer befinden sich im Endpunkt 2?. Wählen Sie erst dann Weiter aus, wenn Sie diesen Schritt abgeschlossen haben, da Sie sonst keine Verbindung zum Server herstellen können.

   

10. Bestätigen Sie, dass sämtliche Einstellungen korrekt sind und wählen Sie dann Next (Weiter) aus.

11. Wählen Sie auf der Seite Authentication Method (Authentifizierungsmethode) Advanced (Erweitert) und dann die Option Customize (Anpassen).

12. Wählen Sie unter Erste Authentifizierungsmethoden die Option Hinzufügen aus.

13. Wählen Sie Preshared key (Vorinstallierter Schlüssel) aus, geben Sie den Wert des vorinstallierten Schlüssels aus der Konfigurationsdatei ein und wählen Sie OK aus.

    Wichtig

    Wenn Sie diesen Vorgang für Tunnel 2 wiederholen, achten Sie darauf, dass Sie für Tunnel 2 den korrekten vorinstallierten Schlüssel auswählen.

14. Achten Sie darauf, dass die Option Erste Authentifizierung ist optional nicht ausgewählt ist und wählen Sie OK aus.

15. Wählen Sie Weiter.

16. Aktivieren Sie auf der Seite Profile (Profil) die drei Kontrollkästchen Domain (Domäne), Private (Privat) und Public (Öffentlich). Wählen Sie Weiter.

17. Geben Sie auf der Seite Name einen Namen für Ihre Verbindungsregel ein, z. B. VPN to Tunnel 1 und wählen Sie dann Fertig stellen aus.

Wiederholen Sie das vorhergehende Verfahren und geben Sie die Daten für Tunnel 2 aus Ihrer Konfigurationsdatei an.

Wenn Sie fertig sind, haben Sie zwei Tunnel für Ihre VPN Verbindung konfiguriert.

Überprüfen der Tunnelkonfiguration

So überprüfen Sie die Tunnelkonfiguration

1. Öffnen Sie den Server-Manager, wählen Sie zuerst Tools, dann Windows-Firewall mit erweiterter Sicherheit und anschließend Verbindungssicherheitsregeln aus.

2. Überprüfen Sie für beide Tunnel Folgendes:

   • Für Aktiviert ist Yes ausgewählt.

   • Endpunkt 1 ist der CIDR Block für Ihr Netzwerk

   • Endpunkt 2 ist der CIDR Block Ihres VPC

   • Für Authentication mode (Authentifizierungsmodus) ist Require inbound and clear outbound ausgewählt.

   • Für Authentifizierungsmethode ist Custom ausgewählt.

   • Für Endpunkt 1-Port ist Any ausgewählt.

   • Für Endpunkt 2-Port ist Any ausgewählt.

   • Für Protokoll ist Any ausgewählt.

3. Wählen Sie die erste Regel und dann Eigenschaften aus.

4. Wählen Sie auf der Registerkarte Authentication (Authentifizierung) unter Method (Methode) die Option Customize (Anpassen) aus. Vergewissern Sie sich, dass First authentication methods (Erste Authentifizierungsmethoden) den korrekten Pre-Shared-Key aus Ihrer Konfigurationsdatei für den Tunnel enthält, und wählen Sie dann OK aus.

5. Überprüfen Sie auf der Registerkarte Erweitert, ob die drei Optionen Domäne, Privat und Öffentlich ausgewählt sind.

6. Wählen Sie unter IPsecTunneling die Option Anpassen aus. Überprüfen Sie die folgenden IPsec Tunneleinstellungen, und klicken Sie dann auf OK und erneut auf OK, um das Dialogfeld zu schließen.

   • IPsecTunneling verwenden ist ausgewählt.

   • Lokaler Tunnelendpunkt (am nächsten zu Endpunkt 1) enthält die IP-Adresse Ihres Windows-Servers. Wenn es sich bei Ihrem Kunden-Gateway-Gerät um eine EC2 Instanz handelt, ist dies die private IP-Adresse der Instanz.

   • Remotetunnelendpunkt (am nächsten zu Endpunkt 2) enthält die IP-Adresse des Virtual Private Gateways für diesen Tunnel.

7. Öffnen Sie die Eigenschaften für Ihren zweiten Tunnel. Wiederholen Sie für diesen Tunnel die Schritte 4 bis 7.

Master Key Perfect Forward Secrecy aktivieren

Sie können einen PFS-fähigen (Perfect Forward Secrecy) Master Key über die Befehlszeile aktivieren. Sie können diese Funktion nicht über die Benutzerschnittstelle aktivieren.

Aktivieren eines PFS-fähigen (Perfect Forward Secrecy) Master Keys

1. Öffnen Sie auf Ihrem Windows-Server ein neues Befehlszeilenfenster.

2. Geben Sie den folgenden Befehl ein und ersetzen Sie rule_name durch den Namen, den Sie der ersten Verbindungsregel gegeben haben.

   netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Wiederholen Sie Schritt zwei für den zweiten Tunnel und ersetzen Sie dieses Mal rule_name durch den Namen, den Sie der zweiten Verbindungsregel gegeben haben.

Konfigurieren der Windows-Firewall

Nachdem Sie Ihre Sicherheitsregeln auf Ihrem Server eingerichtet haben, konfigurieren Sie einige IPsec Grundeinstellungen für die Verwendung mit dem Virtual Private Gateway.

So konfigurieren Sie die Windows-Firewall

1. Öffnen Sie den Server-Manager, wählen Sie Tools aus, dann Windows Defender Firewall mit erweiterter Sicherheit und anschließend Eigenschaften.

2. Vergewissern Sie sich auf der Registerkarte IPsecEinstellungen unter IPsecAusnahmen, dass Ausgenommen ICMP von auf Nein (Standard) gesetzt IPsec ist. Stellen Sie sicher, dass die IPsecTunnelautorisierung auf Keine gesetzt ist.

3. Wählen Sie unter IPsecStandardeinstellungen die Option Anpassen aus.

4. Wählen Sie unter Schlüsselaustausch (Hauptmodus) die Option Erweitert aus und dann Anpassen.

5. Bestätigen Sie unter Customize Advanced Key Exchange Settings (Erweiterte Schlüsselaustauscheinstellungen anpassen) unter Security methods (Sicherheitsmethoden), dass diese Standardwerte für den ersten Eintrag verwendet werden.

   • Integrität: -1 SHA

   • Verschlüsselung: AES - CBC 128

   • Schlüsselaustauschalgorithmus: Diffie-Hellman Gruppe 2

   • Überprüfen Sie unter Schlüsselgültigkeitsdauer, ob für Minuten 480 und für Sitzungen 0 ausgewählt ist.

   Diese Einstellungen entsprechen den folgenden Einträgen in der Konfigurationsdatei.

   MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
   MainModeKeyLifetime: 480min,0sec

6. Wählen Sie unter Schlüsselaustauschoptionen Diffie-Hellman für verstärkte Sicherheit verwenden aus und anschließend OK.

7. Wählen Sie unter Datenschutz (Schnellmodus) Erweitert aus und dann Anpassen.

8. Wählen Sie Verschlüsselung für alle Verbindungssicherheitsregeln erforderlich, die diese Einstellungen verwenden aus.

9. Übernehmen Sie unter Datenintegritäts- und Verschlüsselungsalgorithmen die Standardwerte:

   • Protokoll: ESP

   • Integrität: SHA -1

   • Verschlüsselung: AES - CBC 128

   • Gültigkeitsdauer: 60 Minuten

   Diese Werte entsprechen dem folgenden Eintrag in der Konfigurationsdatei.

   QuickModeSecMethods: 
   ESP:SHA1-AES128+60min+100000kb

10. Wählen Sie OK, um zum Dialogfeld „IPsecEinstellungen anpassen“ zurückzukehren, und klicken Sie erneut auf OK, um die Konfiguration zu speichern.

Schritt 5: Aktivieren von Dead Gateway Detection

Als Nächstes konfigurieren Sie TCP es so, dass erkannt wird, wenn ein Gateway nicht mehr verfügbar ist. Dafür müssen Sie diesen Registrierungsschlüssel ändern: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Tun Sie dies erst, wenn Sie die vorherigen Schritte abgeschlossen haben. Nach dem Ändern des Registrierungsschlüssels müssen Sie den Server neu starten.

So aktivieren Sie Dead Gateway Detection

1. Starten Sie auf Ihrem Windows Server die Befehlszeile oder eine PowerShell Sitzung und geben Sie regedit ein, um den Registrierungseditor zu starten.

2. Erweitern Sie HKEY_ LOCAL _ MACHINE, erweitern Sie SYSTEM, erweitern Sie Dienste CurrentControlSet, erweitern Sie Tcpip und erweitern Sie dann Parameter.

3. Wählen Sie im Menü Bearbeiten die Option Neu und dann den Wert DWORD(32-Bit) aus.

4. Geben Sie den Namen ein EnableDeadGWDetect.

5. Wählen Sie EnableDeadGWDetectund wählen Sie Bearbeiten, Ändern.

6. Geben Sie unter Value data 1 ein und wählen Sie dann OK aus.

7. Schließen Sie den Registrierungseditor und starten Sie den Server neu.

Weitere Informationen finden Sie EnableDeadGWDetectin der TechNetMicrosoft-Bibliothek.

Schritt 6: Testen Sie die VPN Verbindung

Um zu testen, ob die VPN Verbindung ordnungsgemäß funktioniert, starten Sie eine Instance auf Ihrer und stellen Sie sicherVPC, dass sie über keine Internetverbindung verfügt. Senden Sie nach dem Starten der Instance von Ihrem Windows-Server aus einen Ping an die private IP-Adresse der Instance. Der VPN Tunnel wird aktiviert, wenn Datenverkehr vom Kunden-Gateway-Gerät generiert wird. Daher initiiert der Ping-Befehl auch die VPN Verbindung.

Schritte zum Testen der VPN Verbindung finden Sie unterEine AWS Site-to-Site VPN Verbindung testen.

Wenn der Befehl ping fehlschlägt, gehen Sie wie folgt vor:

• Stellen Sie sicher, dass Sie Ihre Sicherheitsgruppenregeln so konfiguriert haben, dass ICMP sie die Instance in Ihrem zulassenVPC. Wenn es sich bei Ihrem Windows Server um eine EC2 Instanz handelt, stellen Sie sicher, dass die ausgehenden Regeln der Sicherheitsgruppe IPsec Datenverkehr zulassen. Weitere Informationen finden Sie unter Konfigurieren der Windows-Instance.

• Stellen Sie sicher, dass das Betriebssystem auf der Instance, die Sie pingen, so konfiguriert ist, dass es reagiert. ICMP Wir empfehlen Ihnen, eines der Amazon Linux-Betriebssysteme zu verwendenAMIs.

• Wenn es sich bei der Instance, die Sie pingen, um eine Windows-Instance handelt, stellen Sie eine Verbindung zu der Instance her und aktivieren Sie Inbound ICMPv4 auf der Windows-Firewall.

• Stellen Sie sicher, dass Sie die Routing-Tabellen für Ihr VPC oder Ihr Subnetz korrekt konfiguriert haben. Weitere Informationen finden Sie unter Schritt 1: Stellen Sie eine VPN Verbindung her und konfigurieren Sie Ihre VPC.

• Wenn es sich bei Ihrem Kunden-Gateway-Gerät um eine EC2 Instance handelt, stellen Sie sicher, dass Sie die Quell-/Zielüberprüfung für die Instance deaktiviert haben. Weitere Informationen finden Sie unter Konfigurieren der Windows-Instance.

Wählen Sie in der VPC Amazon-Konsole auf der Seite VPNVerbindungen Ihre VPN Verbindung aus. Der erste Tunnel hat den Zustand UP. Der zweite Tunnel muss konfiguriert sein, wird jedoch nur dann aktiv, wenn der erste Tunnel ausfällt. Es kann einige Momente dauern, die verschlüsselten Tunnel zu aktivieren.