Konfigurasikan Windows Server sebagai perangkat gateway AWS Site-to-Site VPN pelanggan

Anda dapat mengonfigurasi server yang menjalankan Windows Server sebagai perangkat gateway pelanggan untuk AndaVPC. Gunakan proses berikut apakah Anda menjalankan Windows Server pada EC2 instance diVPC, atau di server Anda sendiri. Prosedur berikut berlaku untuk Windows Server 2012 R2 dan versi yang lebih baru.

Mengonfigurasi instans Windows Anda

Jika Anda mengonfigurasi Windows Server pada EC2 instance yang diluncurkan dari WindowsAMI, lakukan hal berikut:

• Nonaktifkan pemeriksaan sumber/tujuan untuk instans tersebut:

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pilih instans Windows Anda, dan pilih Tindakan, Jaringan, Ubah pemeriksaan sumber/tujuan. Pilih Berhenti, lalu pilih Simpan.

• Perbarui pengaturan adaptor Anda sehingga Anda dapat merutekan lalu lintas dari instans lain:

  1. Hubungkan ke instans Windows Anda. Untuk informasi selengkapnya, lihat Menghubungkan ke instans Windows Anda.

  2. Buka Panel Kontrol, dan mulai Device Manager.

  3. Perluas simpul Adaptor jaringan.

  4. Pilih adaptor jaringan (tergantung pada tipe instans, mungkin Amazon Elastic Network Adapter atau Intel 82599 Virtual Function), dan pilih Tindakan, Properti.

  5. Pada tab Advanced, nonaktifkan properti IPv4Checksum Offload, TCPChecksum Offload (IPv4), dan UDPChecksum Offload (IPv4), lalu pilih OK.

• Alokasikan alamat IP Elastis ke akun Anda dan asosiasikan dengan instans Anda. Untuk informasi selengkapnya, lihat Bekerja dengan alamat IP Elastis. Catat alamat ini — Anda membutuhkannya saat membuat gateway pelanggan di alamat AndaVPC.

• Pastikan bahwa aturan grup keamanan instans memungkinkan IPsec lalu lintas keluar. Secara default, grup keamanan mengizinkan semua lalu lintas ke luar. Namun, jika aturan keluar grup keamanan telah dimodifikasi dari keadaan aslinya, Anda harus membuat aturan protokol kustom keluar berikut untuk IPsec lalu lintas: protokol IP 50, protokol IP 51, dan UDP 500.

Perhatikan CIDR rentang jaringan tempat instance Windows Anda berada, misalnya,172.31.0.0/16.

Langkah 1: Buat VPN koneksi dan konfigurasikan VPC

Untuk membuat VPN koneksi dari AndaVPC, lakukan hal berikut:

1. Buat gateway pribadi virtual dan lampirkan ke AndaVPC. Untuk informasi selengkapnya, lihat Buat gateway privat virtual.

2. Buat VPN koneksi dan gateway pelanggan baru. Untuk gateway pelanggan, tentukan alamat IP publik Windows Server Anda. Untuk VPN koneksi, pilih perutean statis, lalu masukkan CIDR rentang untuk jaringan Anda di mana Windows Server berada, misalnya,172.31.0.0/16. Untuk informasi selengkapnya, lihat Langkah 5: Buat VPN koneksi.

Setelah Anda membuat VPN koneksi, konfigurasikan VPC untuk mengaktifkan komunikasi melalui VPN koneksi.

Untuk mengkonfigurasi VPC

• Buat subnet pribadi di Anda VPC (jika Anda belum memilikinya) untuk meluncurkan instance untuk berkomunikasi dengan Windows Server. Untuk informasi selengkapnya, lihat Membuat subnet di. VPC

  catatan

  Subnet privat adalah subnet yang tidak memiliki rute ke gateway internet. Perutean untuk subnet ini dijelaskan pada item berikutnya.

• Perbarui tabel rute Anda untuk VPN koneksi:

  • Tambahkan rute ke tabel rute subnet pribadi Anda dengan gateway pribadi virtual sebagai target, dan jaringan Windows Server (CIDRrentang) sebagai tujuan. Untuk informasi selengkapnya, lihat Menambahkan dan menghapus rute dari tabel rute di Panduan VPC Pengguna Amazon.

  • Aktifkan propagasi rute untuk virtual private gateway. Untuk informasi selengkapnya, lihat (Gateway privat virtual) Aktifkan propagasi rute di tabel rute Anda.

• Buat grup keamanan untuk instans Anda yang memungkinkan komunikasi antara Anda VPC dan jaringan:

  • Tambahkan aturan yang memungkinkan masuk RDP atau SSH akses dari jaringan Anda. Ini memungkinkan Anda untuk terhubung ke instance di jaringan Anda. VPC Misalnya, untuk mengizinkan komputer di jaringan Anda mengakses instance Linux di AndaVPC, buat aturan masuk dengan tipeSSH, dan sumber diatur ke CIDR rentang jaringan Anda (misalnya,172.31.0.0/16). Untuk informasi selengkapnya, lihat Grup keamanan untuk Anda VPC di Panduan VPC Pengguna Amazon.

  • Tambahkan aturan yang memungkinkan ICMP akses masuk dari jaringan Anda. Ini memungkinkan Anda untuk menguji VPN koneksi Anda dengan melakukan ping instance VPC dari Windows Server Anda.

Langkah 2: Unduh file konfigurasi untuk VPN koneksi

Anda dapat menggunakan VPC konsol Amazon untuk mengunduh file konfigurasi Windows Server untuk VPN koneksi Anda.

Untuk mengunduh file konfigurasi

1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

2. Di panel navigasi, pilih Site-to-Site VPNKoneksi.

3. Pilih VPN koneksi Anda dan pilih Unduh Konfigurasi.

4. Pilih Microsoft sebagai vendor, Windows Server sebagai platform, dan 2012 R2 sebagai perangkat lunak. Pilih Unduh. Anda bisa membuka file atau menyimpannya.

File konfigurasi berisi bagian informasi yang sama dengan contoh berikut. Anda melihat informasi ini disajikan dua kali, satu kali untuk masing-masing terowongan.

vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

Alamat IP yang Anda tentukan untuk gateway pelanggan saat Anda membuat VPN koneksi.

Remote Tunnel Endpoint

Salah satu dari dua alamat IP untuk gateway pribadi virtual yang mengakhiri VPN koneksi di AWS sisi koneksi.

Endpoint 1

Awalan IP yang Anda tentukan sebagai rute statis saat Anda membuat VPN koneksi. Ini adalah alamat IP di jaringan Anda yang diizinkan untuk menggunakan VPN koneksi untuk mengakses AndaVPC.

Endpoint 2

Rentang alamat IP (CIDRblok) dari VPC yang dilampirkan ke gateway pribadi virtual (misalnya 10.0.0.0/16).

Preshared key

Kunci pra-bersama yang digunakan untuk membangun IPsec VPN koneksi antara Local Tunnel Endpoint danRemote Tunnel Endpoint.

Kami menyarankan Anda mengkonfigurasi kedua terowongan sebagai bagian dari VPN koneksi. Setiap terowongan terhubung ke VPN konsentrator terpisah di sisi Amazon VPN koneksi. Meskipun hanya satu terowongan yang muncul pada satu waktu, terowongan kedua secara otomatis dibuat sendiri jika terowongan pertama gagal. Memiliki terowongan berlebih memastikan ketersediaan berkelanjutan dalam kasus kegagalan perangkat. Karena hanya satu terowongan yang tersedia pada satu waktu, VPC konsol Amazon menunjukkan bahwa satu terowongan sedang turun. Ini adalah perilaku yang diharapkan, jadi Anda tidak perlu bertindak.

Dengan dua terowongan yang dikonfigurasi, jika terjadi kegagalan perangkat AWS, VPN koneksi Anda secara otomatis gagal ke terowongan kedua dari gateway pribadi virtual dalam hitungan menit. Saat mengonfigurasi perangkat gateway pelanggan Anda, penting untuk mengonfigurasi kedua terowongan.

catatan

Dari waktu ke waktu, AWS melakukan pemeliharaan rutin pada gateway pribadi virtual. Pemeliharaan ini mungkin menonaktifkan salah satu dari dua terowongan VPN koneksi Anda untuk jangka waktu yang singkat. VPNKoneksi Anda secara otomatis gagal ke terowongan kedua saat kami melakukan pemeliharaan ini.

Informasi tambahan mengenai Internet Key Exchange (IKE) dan Asosiasi IPsec Keamanan (SA) disajikan dalam file konfigurasi yang diunduh.

MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2

MainModeSecMethods

Enkripsi dan algoritma otentikasi untuk SA. IKE Ini adalah pengaturan yang disarankan untuk VPN koneksi, dan merupakan pengaturan default untuk IPsec VPN koneksi Windows Server.

MainModeKeyLifetime

Seumur hidup kunci IKE SA.  Ini adalah pengaturan yang disarankan untuk VPN koneksi, dan merupakan pengaturan default untuk IPsec VPN koneksi Windows Server.

QuickModeSecMethods

Enkripsi dan algoritma otentikasi untuk SA. IPsec Ini adalah pengaturan yang disarankan untuk VPN koneksi, dan merupakan pengaturan default untuk IPsec VPN koneksi Windows Server.

QuickModePFS

Kami menyarankan Anda menggunakan kunci master perfect forward secrecy (PFS) untuk IPsec sesi Anda.

Langkah 3: Mengonfigurasi Windows Server

Sebelum Anda mengatur VPN terowongan, Anda harus menginstal dan mengkonfigurasi Routing dan Remote Access Services pada Windows Server. Hat tersebut memungkinkan pengguna jarak jauh untuk mengakses sumber daya pada jaringan Anda.

Untuk menginstal Perutean dan Layanan Akses Jarak Jauh

1. Masuk ke Windows Server Anda.

2. Buka menu Mulai, dan pilih Server Manager.

3. Instal Perutean dan Layanan Akses Jarak Jauh:

   1. Dari menu Mengelola, pilih Tambah Peran dan Fitur.

   2. Pada halaman Sebelum Anda Memulai, verifikasi bahwa server Anda memenuhi prasyarat, lalu pilih Selanjutnya.

   3. Pilih Instalasi berbasis peran atau berbasis fitur, lalu pilih Selanjutnya.

   4. Pilih Pilih server dari kolam server, pilih Windows Server, lalu pilih Selanjutnya.

   5. Pilih Kebijakan Jaringan dan Layanan Akses dalam daftar. Dalam kotak dialog yang ditampilkan, pilih Tambahkan Fitur untuk mengonfirmasi fitur yang diperlukan untuk peran ini.

   6. Dalam daftar yang sama, pilih Akses Jarak Jauh, Selanjutnya.

   7. Pada halaman Pilih fitur, pilih Selanjutnya.

   8. Pada halaman Kebijakan Jaringan dan Layanan Akses, pilih Selanjutnya.

   9. Pada halaman Akses Jarak Jauh, pilih Selanjutnya. Pada halaman berikutnya, pilih DirectAccess dan VPN (RAS). Dalam kotak dialog yang ditampilkan, pilih Tambahkan Fitur untuk mengonfirmasi fitur yang diperlukan untuk layanan peran ini. Dalam daftar yang sama, pilih Perutean, lalu pilih Selanjutnya.

   10. Pada halaman Web Server Role (IIS), pilih Berikutnya. Abaikan pilihan default, dan pilih Selanjutnya.

   11. Pilih Instal. Saat instalasi selesai, pilih Tutup.

Untuk mengonfigurasi serta mengaktifkan Perutean dan Server Akses Jarak Jauh

1. Di dasbor, pilih Notifikasi (ikon bendera). Harus ada tugas untuk menyelesaikan konfigurasi pasca-deployment. Pilih tautan Buka Memulai Wizard.

2. Pilih VPNhanya Deploy.

3. Di kotak dialog Perutean dan Akses Jarak Jauh, pilih nama server, pilih Tindakan, dan kemudian pilih Mengonfigurasi dan Mengaktifkan Perutean dan Akses Jarak Jauh.

4. Di Wizard Pengaturan Perutean dan Server Akses Jarak Jauh, pada halaman pertama, pilih Selanjutnya.

5. Pada halaman Konfigurasi, pilih Konfigurasi Kustom, Selanjutnya.

6. Pilih LANrouting, Next, Finish.

7. Saat diminta oleh kotak dialog Perutean dan Akses Jarak Jauh, pilih Mulai layanan.

Langkah 4: Siapkan VPN terowongan

Anda dapat mengkonfigurasi VPN terowongan dengan menjalankan skrip netsh yang disertakan dalam file konfigurasi yang diunduh, atau dengan menggunakan antarmuka pengguna Windows Server.

penting

Kami menyarankan Anda menggunakan kunci master perfect forward secrecy (PFS) untuk IPsec sesi Anda. Jika Anda memilih untuk menjalankan skrip netsh, itu termasuk parameter untuk mengaktifkan PFS (qmpfs=dhgroup2). Anda tidak dapat mengaktifkan PFS menggunakan antarmuka pengguna Windows - Anda harus mengaktifkannya menggunakan baris perintah.

Opsi

• Opsi 1: Jalankan skrip netsh
• Opsi 2: Gunakan antarmuka pengguna Windows Server

Opsi 1: Jalankan skrip netsh

Salin skrip netsh dari file konfigurasi yang diunduh dan ganti variabelnya. Berikut adalah contoh skrip.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Nama: Anda dapat mengganti nama yang disarankan (vgw-1a2b3c4d Tunnel 1) dengan nama pilihan Anda.

LocalTunnelEndpoint: Masukkan alamat IP pribadi Windows Server di jaringan Anda.

Endpoint1: CIDR Blok jaringan Anda tempat Windows Server berada, misalnya,. 172.31.0.0/16 Apit nilai ini dengan tanda petik dua (").

Endpoint2: CIDR Blok Anda VPC atau subnet di AndaVPC, misalnya,. 10.0.0.0/16 Apit nilai ini dengan tanda petik dua (").

Jalankan skrip yang diperbarui di jendela prompt perintah pada Windows Server Anda. (^ memungkinkan Anda untuk memotong dan menempelkan teks yang dibungkus pada baris perintah.) Untuk mengatur VPN terowongan kedua untuk VPN koneksi ini, ulangi proses menggunakan skrip netsh kedua dalam file konfigurasi.

Setelah Anda selesai, buka Konfigurasikan Windows firewall.

Untuk informasi selengkapnya tentang parameter netsh, lihat Perintah Netsh AdvFirewall Consec di Perpustakaan Microsoft. TechNet

Opsi 2: Gunakan antarmuka pengguna Windows Server

Anda juga dapat menggunakan antarmuka pengguna Windows Server untuk mengatur VPN terowongan.

penting

Anda tidak dapat mengaktifkan master key perfect forward secrecy (PFS) menggunakan antarmuka pengguna Windows Server. Anda harus mengaktifkan PFS menggunakan baris perintah, seperti yang dijelaskan dalamAktifkan kunci utama perfect forward secrecy.

Tugas

• Konfigurasikan aturan keamanan untuk VPN terowongan
• Konfirmasikan konfigurasi terowongan
• Aktifkan kunci utama perfect forward secrecy
• Konfigurasikan Windows firewall

Konfigurasikan aturan keamanan untuk VPN terowongan

Di bagian ini, Anda mengonfigurasi aturan keamanan di Windows Server Anda untuk membuat VPN terowongan.

Untuk mengonfigurasi aturan keamanan untuk VPN terowongan

1. Buka Server Manager, pilih Alat, lalu pilih Windows Defender Firewall with Advanced Security.

2. Pilih Aturan Keamanan Koneksi, pilih Tindakan, lalu Aturan Baru.

3. Di wizard Aturan Keamanan Koneksi Baru, pada halaman Tipe Aturan, pilih Terowongan, lalu pilih Selanjutnya.

4. Pada halaman Tipe Terowongan, di dalam Tipe terowongan apa yang ingin dibuat, pilih Konfigurasi kustom. Di bawah Apakah Anda ingin mengecualikan koneksi IPsec yang dilindungi dari terowongan ini, biarkan nilai default dicentang (No. Kirim semua lalu lintas jaringan yang cocok dengan aturan keamanan koneksi ini melalui terowongan), lalu pilih Berikutnya.

5. Pada halaman Persyaratan, pilih Memerlukan autentikasi untuk koneksi masuk. Jangan membuat terowongan untuk koneksi keluar, lalu pilih Selanjutnya.

6. Pada halaman Titik Akhir Terowongan, di dalam Komputer mana yang berada di Titik Akhir 1, pilih Tambahkan. Masukkan CIDR rentang jaringan Anda (di belakang perangkat gateway pelanggan Windows Server Anda; misalnya,172.31.0.0/16), lalu pilih OK. Rentang ini dapat mencakup alamat IP perangkat gateway pelanggan Anda.

7. Di dalam Apa titik akhir terowongan lokal (paling dekat dengan komputer di Titik Akhir 1), pilih Edit. Di bidang IPv4alamat, masukkan alamat IP pribadi Windows Server Anda, lalu pilih OK.

8. Di dalam Apa titik akhir terowongan jarak jauh (paling dekat dengan komputer di Titik Akhir 2), pilih Edit. Di bidang IPv4alamat, masukkan alamat IP gateway pribadi virtual untuk Tunnel 1 dari file konfigurasi (lihatRemote Tunnel Endpoint), lalu pilih OK.

   penting

   Jika Anda mengulangi prosedur ini untuk Terowongan 2, pastikan untuk memilih titik akhir untuk Terowongan 2.

9. Di dalam Komputer mana yang berada di Titik Akhir 2, pilih Tambahkan. Di bidang Alamat IP atau subnet ini, masukkan CIDR blok AndaVPC, lalu pilih OK.

   penting

   Anda harus menggulir di kotak dialog hingga menemukan Komputer mana yang berada di Titik Akhir 2. Jangan memilih Selanjutnya hingga Anda menyelesaikan langkah ini, atau Anda tidak akan dapat terhubung ke server Anda.

   

10. Pastikan bahwa semua pengaturan yang Anda tentukan sudah benar, lalu pilih Selanjutnya.

11. Pada halaman Metode Autentikasi, pilih Lanjutan dan pilih Sesuaikan.

12. Di dalam Metode autentikasi pertama, pilih Tambahkan.

13. Pilih Kunci pra-berbagi, masukkan nilai kunci pra-berbagi dari file konfigurasi lalu pilih OKE.

    penting

    Jika Anda mengulangi prosedur ini untuk Terowongan 2, pastikan untuk memilih kunci pra-berbagi untuk Terowongan 2.

14. Pastikan bahwa Autentikasi pertama opsional tidak dipilih, dan pilih OKE.

15. Pilih Selanjutnya.

16. Pada halaman Profil, pilih ketiga kotak centang: Domain, Privat, dan Publik. Pilih Selanjutnya.

17. Pada halaman Nama, masukkan nama untuk aturan koneksi Anda; misalnya, VPN to Tunnel 1, lalu pilih Selesai.

Ulangi prosedur sebelumnya, menentukan data untuk Terowongan 2 dari file konfigurasi Anda.

Setelah selesai, Anda akan memiliki dua terowongan yang dikonfigurasi untuk VPN koneksi Anda.

Konfirmasikan konfigurasi terowongan

Untuk mengonfirmasi konfigurasi terowongan

1. Buka Server Manager, pilih Alat, pilih Windows Firewall with Advanced Security, lalu pilih Aturan Koneksi Keamanan.

2. Verifikasi berikut untuk kedua terowongan:

   • Diaktifkan adalah Yes

   • Endpoint 1 adalah CIDR blok untuk jaringan Anda

   • Endpoint 2 adalah CIDR blok dari VPC

   • Mode Autentikasi adalah Require inbound and clear outbound

   • Metode Autentikasi adalah Custom

   • Port Titik Akhir 1 adalah Any

   • Port Titik Akhir 2 adalah Any

   • Protokol adalah Any

3. Pilih aturan pertama dan pilih Properti.

4. Pada tab Autentikasi, di dalam Metode, pilih Sesuaikan. Verifikasi bahwa Metode autentikasi pertama berisi kunci pra-berbagi yang benar dari file konfigurasi Anda untuk terowongan, dan kemudian pilih OKE.

5. Pada tab Lanjutan, verifikasi bahwa Domain, Privat, dan Publik dipilih semua.

6. Di bawah IPsectunneling, pilih Sesuaikan. Verifikasi pengaturan IPsec tunneling berikut, lalu pilih OK dan OK lagi untuk menutup kotak dialog.

   • Gunakan IPsec tunneling dipilih.

   • Titik akhir terowongan lokal (terdekat ke Titik Akhir 1) berisi alamat IP Windows Server Anda. Jika perangkat gateway pelanggan Anda adalah sebuah EC2 instance, ini adalah alamat IP pribadi instans.

   • Titik akhir terowongan jarak jauh (terdekat ke Titik Akhir 2) berisi alamat IP virtual private gateway untuk terowongan ini.

7. Buka properti untuk terowongan kedua Anda. Ulangi langkah 4 hingga 7 untuk terowongan ini.

Aktifkan kunci utama perfect forward secrecy

Anda dapat mengaktifkan kunci utama perfect forward secrecy dengan menggunakan baris perintah. Anda tidak dapat mengaktifkan fitur ini menggunakan antarmuka pengguna.

Untuk mengaktifkan kunci utama perfect forward secrecy

1. Di Windows Server, buka jendela prompt perintah baru.

2. Masukkan perintah berikut, ganti rule_name dengan nama yang Anda berikan pada aturan koneksi pertama.

   netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Ulangi langkah 2 untuk terowongan kedua, kali ini ganti rule_name dengan nama yang Anda berikan pada aturan koneksi kedua.

Konfigurasikan Windows firewall

Setelah mengatur aturan keamanan Anda di server Anda, konfigurasikan beberapa IPsec pengaturan dasar untuk bekerja dengan gateway pribadi virtual.

Untuk mengonfigurasi Windows firewall

1. Buka Server Manager, pilih Alat, pilih Windows Defender Firewall with Advanced Security, lalu pilih Properti.

2. Pada tab IPsecPengaturan, di bawah IPsecpengecualian, verifikasi bahwa Dikecualikan ICMP dari IPsec adalah Tidak (default). Verifikasi bahwa otorisasi IPsec terowongan tidak ada.

3. Di bawah IPsecdefault, pilih Sesuaikan.

4. Di dalam Pertukaran kunci (Mode Utama), pilih Lanjutan lalu pilih Sesuaikan.

5. Pada Sesuaikan Pengaturan Pertukaran Kunci Lanjutan, di dalam Metode keamanan, verifikasi bahwa nilai default berikut digunakan untuk entri pertama:

   • Integritas: SHA -1

   • Enkripsi: AES - CBC 128

   • Algoritme pertukaran kunci: Diffie-Hellman Grup 2

   • Di dalam Waktu hidup kunci, verifikasi bahwa Menit adalah 480 dan Sesi adalah 0.

   Pengaturan ini sesuai dengan entri ini dalam file konfigurasi.

   MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
   MainModeKeyLifetime: 480min,0sec

6. Di dalam Opsi pertukaran kunci, pilih Gunakan Diffie-Hellman untuk meningkatkan keamanan, lalu pilih OKE.

7. Di dalam Perlindungan data (Mode Cepat), pilih Lanjutan, lalu pilih Sesuaikan.

8. Pilih Memerlukan enkripsi untuk semua aturan keamanan koneksi yang menggunakan pengaturan ini.

9. Di dalam Integritas dan enkripsi data, abaikan nilai default:

   • Protokol: ESP

   • Integritas: SHA -1

   • Enkripsi: AES - CBC 128

   • Waktu hidup: 60 menit

   Nilai-nilai ini sesuai dengan entri berikut dari file konfigurasi.

   QuickModeSecMethods: 
   ESP:SHA1-AES128+60min+100000kb

10. Pilih OK untuk kembali ke kotak dialog Sesuaikan IPsec Pengaturan dan pilih OK lagi untuk menyimpan konfigurasi.

Langkah 5: Aktifkan deteksi gateway mati

Selanjutnya, konfigurasikan TCP untuk mendeteksi kapan gateway menjadi tidak tersedia. Anda dapat melakukannya dengan mengubah kunci registri ini: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Jangan lakukan langkah ini hingga Anda menyelesaikan bagian sebelumnya. Setelah Anda mengubah kunci registri, Anda harus me-reboot server.

Untuk mengaktifkan deteksi gateway mati

1. Dari Windows Server Anda, luncurkan command prompt atau PowerShell sesi, dan masukkan regedit untuk memulai Registry Editor.

2. Perluas HKEY_ LOCAL _ MACHINE, perluas SYSTEM, perluas CurrentControlSet, perluas Layanan, perluas Tcpip, lalu perluas Parameter.

3. Dari menu Edit, pilih New dan pilih DWORD(32-bit) Value.

4. Masukkan nama EnableDeadGWDetect.

5. Pilih EnableDeadGWDetectdan pilih Edit, Ubah.

6. Di Data nilai, masukkan 1, lalu pilih OKE.

7. Tutup Editor Registri dan reboot server.

Untuk informasi selengkapnya, lihat EnableDeadGWDetectdi TechNetPerpustakaan Microsoft.

Langkah 6: Uji VPN koneksi

Untuk menguji apakah VPN koneksi berfungsi dengan benar, luncurkan instance ke AndaVPC, dan pastikan tidak memiliki koneksi internet. Setelah Anda meluncurkan instans, kirim ping alamat IP privatnya dari Windows Server Anda. VPNTerowongan muncul ketika lalu lintas dihasilkan dari perangkat gateway pelanggan. Oleh karena itu, perintah ping juga memulai VPN koneksi.

Untuk langkah-langkah untuk menguji VPN koneksi, lihatUji AWS Site-to-Site VPN koneksi.

Jika perintah ping gagal, periksa informasi berikut:

• Pastikan bahwa Anda telah mengonfigurasi aturan grup keamanan Anda ICMP untuk mengizinkan instans di AndaVPC. Jika Windows Server Anda adalah sebuah EC2 instance, pastikan bahwa aturan keluar grup keamanannya mengizinkan IPsec lalu lintas. Untuk informasi selengkapnya, lihat Mengonfigurasi instans Windows Anda.

• Pastikan sistem operasi pada saat Anda melakukan ping dikonfigurasi untuk ICMP merespons. Kami menyarankan Anda menggunakan salah satu Amazon LinuxAMIs.

• Jika instance yang Anda ping adalah instance Windows, sambungkan ke instance dan aktifkan inbound ICMPv4 pada firewall Windows.

• Pastikan bahwa Anda telah mengkonfigurasi tabel rute dengan benar untuk subnet Anda VPC atau Anda. Untuk informasi selengkapnya, lihat Langkah 1: Buat VPN koneksi dan konfigurasikan VPC.

• Jika perangkat gateway pelanggan Anda adalah sebuah EC2 instance, pastikan Anda telah menonaktifkan pemeriksaan sumber/tujuan untuk instance tersebut. Untuk informasi selengkapnya, lihat Mengonfigurasi instans Windows Anda.

Di VPC konsol Amazon, pada halaman VPNKoneksi, pilih VPN koneksi Anda. Terowongan pertama berada pada status UP. Terowongan kedua harus dikonfigurasi, tetapi tidak digunakan kecuali terowongan pertama gagal. Mungkin butuh waktu beberapa saat untuk membangun terowongan terenkripsi.