Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fangen Sie an mit AWS Site-to-Site VPN
Gehen Sie wie folgt vor, um eine AWS Site-to-Site VPN Verbindung einzurichten. Bei der Erstellung geben Sie ein virtuelles privates Gateway, ein Transit-Gateway, einen Site-to-Site VPN-Konzentrator oder „Nicht zugeordnet“ als Ziel-Gateway-Typ an. Wenn Sie „Nicht verknüpft“ angeben, können Sie den Ziel-Gateway-Typ zu einem späteren Zeitpunkt auswählen oder ihn als VPN-Anhang für AWS Cloud WAN verwenden. Dieses Tutorial hilft Ihnen dabei, eine VPN-Verbindung mithilfe eines Virtual Private Gateway herzustellen. Es wird davon ausgegangen, dass Sie über eine vorhandene VPC mit mindestens einem Subnetz verfügen.
Um eine VPN-Verbindung mit einem Virtual Private Gateway einzurichten, gehen Sie wie folgt vor:
**Topics**
+ [Voraussetzungen](#vpn-prerequisites)
+ [Erstellen eines Kunden-Gateways](#vpn-create-cgw)
+ [Erstellen Sie ein Ziel-Gateway](#vpn-create-target-gateway)
+ [Routing konfigurieren](#vpn-configure-route-tables)
+ [Aktualisieren Ihrer Sicherheitsgruppe](#vpn-configure-security-groups)
+ [Eine VPN-Verbindung erstellen](#vpn-create-vpn-connection)
+ [Konfigurationsdatei herunterladen](#vpn-download-config)
+ [Konfigurieren Sie das Kunden-Gateway-Gerät.](#vpn-configure-customer-gateway-device)
**Verwandte Aufgaben**
+ Informationen zum Erstellen einer VPN-Verbindung für AWS Cloud WAN finden Sie unter[Erstellen Sie eine VPN Cloud WAN-Verbindung mithilfe der CLI oder API](create-cwan-vpn-attachment.md).
+ Schritte zum Erstellen einer VPN-Verbindung auf einem Transit-Gateway finden Sie unter [Eine VPN-Verbindung erstellen](create-vpn-connection.md).
## Voraussetzungen
Sie benötigen die folgenden Informationen, um die Komponenten einer VPN-Verbindung einzurichten und zu konfigurieren.
| Item | Informationen |
| --- | --- |
| Kunden-Gateway-Gerät | Das physische Gerät oder das Software-Gerät auf Ihrer Seite der VPN-Verbindung. Sie benötigen den Hersteller (z. B. Cisco), die Plattform (beispielsweise ISR Series Router) und die Softwareversion (z. B. IOS 12.4) |
| Kunden-Gateway | Um die Kunden-Gateway-Ressource in zu erstellen AWS, benötigen Sie die folgenden Informationen:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/SetUpVPNConnections.html)Weitere Informationen finden Sie unter [Kunden-Gateway-Optionen](cgw-options.md). |
| (Optional) Die ASN für die AWS Seite der BGP-Sitzung | Sie geben dies an, wenn Sie ein Virtual Private Gateway oder Transit-Gateway erstellen. Wenn Sie keinen Wert angeben, wird die Standard-ASN übernommen. Weitere Informationen finden Sie unter [Virtual Private Gateway](how_it_works.md#VPNGateway). |
| VPN-Verbindung | Um die VPN-Verbindung anzulegen, benötigen Sie die folgenden Informationen:[See the AWS documentation website for more details](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/SetUpVPNConnections.html) |
## Schritt 1: Kunden-Gateway erstellen
Ein Kunden-Gateway stellt Informationen AWS über Ihr Kunden-Gateway-Gerät oder Ihre Softwareanwendung bereit. Weitere Informationen finden Sie unter [Kunden-Gateway](how_it_works.md#CustomerGateway).
Wenn Sie beabsichtigen, ein privates Zertifikat zur Authentifizierung Ihres VPN zu verwenden, erstellen Sie mithilfe von. AWS Private Certificate Authority Für Informationen zum Erstellen eines privaten Zertifikats siehe [Eine private CA erstellen und verwalten](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) im *AWS Private Certificate Authority -Benutzerhandbuch*.
**Anmerkung**
Sie müssen entweder eine IP-Adresse oder den Amazon-Ressourcennamen des privaten Zertifikats angeben.
**So erstellen Sie ein Kunden-Gateway mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Kunden-Gateways** aus.
1. Wählen Sie **Kunden-Gateway erstellen** aus.
1. (Optional) Geben Sie bei **Name tag (Name-Tag)** einen Namen für Ihr Kunden-Gateway ein. Auf diese Weise wird ein Tag mit dem Schlüssel `Name` und dem von Ihnen angegebenen Wert erstellt.
1. Geben Sie unter **BGP ASN** eine Border Gateway Protocol (BGP) Autonomous System Number (ASN) für Ihr Kunden-Gateway ein.
1. Wählen Sie für den **IP-Adresstyp** eine der folgenden Optionen aus:
+ **IPv4**- (Standard) Geben Sie eine IPv4 Adresse für Ihr Kunden-Gateway-Gerät an.
+ **IPv6**- Geben Sie eine IPv6 Adresse für Ihr Kunden-Gateway-Gerät an. Diese Option ist erforderlich, wenn eine VPN-Verbindung mit einem IPv6 Außentunnel hergestellt wird IPs.
1. Geben Sie als **IP-Adresse** die statische, über das Internet routbare IP-Adresse für Ihr Kunden-Gateway-Gerät ein. Wenn sich Ihr Kunden-Gateway-Gerät hinter einem NAT-Gerät befindet, das für NAT-T aktiviert ist, verwenden Sie die öffentliche IP-Adresse des NAT-Geräts.
1. (Optional) Wenn Sie ein privates Zertifikat verwenden möchten, wählen Sie für **Certificate ARN (Zertifikat ARN)** den Amazon-Ressourcennamen des privaten Zertifikats.
1. (Optional) Geben Sie als **Gerät** einen Namen für das Kunden-Gateway-Gerät ein, das diesem Kunden-Gateway zugeordnet ist.
1. Wählen Sie **Kunden-Gateway erstellen** aus.
**So erstellen Sie ein Kunden-Gateway über die Befehlszeile oder API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(Amazon EC2 EC2-Abfrage-API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)
Beispiel für die Erstellung eines IPv6 Kunden-Gateways:
```
aws ec2 create-customer-gateway --ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```
+ [New-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
## Schritt 2: Ein Ziel-Gateway erstellen
Um eine VPN-Verbindung zwischen Ihrer VPC und Ihrem lokalen Netzwerk herzustellen, müssen Sie auf der AWS Seite der Verbindung ein Ziel-Gateway einrichten. Das Ziel-Gateway kann ein Virtual Private Gateway oder ein Transit-Gateway sein.
### Erstellen eines Virtual Private Gateways
Während der Erstellung eines Virtual Private Gateway können Sie die benutzerdefinierte private autonome Systemnummer (ASN) für die Amazon-Seite des Gateways angeben, oder Sie verwenden die Standard-ASN von AWS. Diese ASN muss sich von der ASN unterscheiden, den Sie für den Kunden-Gateway angegeben haben.
Nachdem Sie das Virtual Private Gateway erstellt haben, müssen Sie es Ihrer VPC zuweisen.
**So erstellen Sie ein Virtual Private Gateway und weisen Sie es Ihrer VPC zu**
1. Wählen Sie im Navigationsbereich **Virtual Private Gateways** aus.
1. Wählen Sie **Create virtual private gateway (Virtual Private Gateway erstellen)** aus.
1. (Optional) Geben Sie bei **Name-Tag** einen Namen für Ihr Virtual Private Gateway ein. Auf diese Weise wird ein Tag mit dem Schlüssel `Name` und dem von Ihnen angegebenen Wert erstellt.
1. Übernehmen Sie die Standardauswahl **Amazon-Standard-ASN** bei **Autonome Systemnummer (ASN) **, um die standardmäßige Amazon ASN zu verwenden. Andernfalls wählen Sie **Custom ASN (Benutzerdefinierte ASN)** und geben Sie einen Wert ein. Für eine 16-Bit-ASN muss der Wert im Bereich zwischen 64512 und 65534 liegen. Für eine 32-Bit-ASN muss der Wert im Bereich zwischen 4200000000 und 4294967294 liegen.
1. Wählen Sie **Create virtual private gateway (Virtual Private Gateway erstellen)** aus.
1. Wählen Sie das Virtual Private Gateway aus, das Sie erstellt haben. Wählen Sie anschließend **Actions (Aktionen)**, **Attach to VPC (An VPC anfügen)** aus.
1. Wählen Sie **unter Verfügbar VPCs** Ihre VPC aus und wählen Sie dann An **VPC anhängen** aus.
**So erstellen Sie ein Virtual Private Gateway über die Befehlszeile oder API**
+ [CreateVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnGateway.html)(Amazon EC2 EC2-Abfrage-API)
+ [create-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-gateway.html) (AWS CLI)
+ [New-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**So fügen Sie ein Virtual Private Gateway unter Verwendung der Befehlszeile oder API einer VPC an**
+ [AttachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_AttachVpnGateway.html)(Amazon EC2 EC2-Abfrage-API)
+ [attach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-vpn-gateway.html) (AWS CLI)
+ [Add-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
### Erstellen eines Transit-Gateways
Weitere Informationen zum Erstellen eines Transit-Gateways finden Sie unter [Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) in *Amazon VPC-Transit-Gateways*.
## Schritt 3: Routing konfigurieren
Damit Instances in Ihrer VPC Ihr Kunden-Gateway erreichen, müssen Sie Ihre Routing-Tabelle so konfigurieren, dass sie die Routen, die von Ihrer VPC-Verbindung verwendet werden, enthält und diese Routen zu Ihrem Virtual Private Gateway oder Transit-Gateway leitet.
### (Virtual Private Gateway) Aktivieren Sie die Routenverbreitung in Ihrer Routing-Tabelle
Sie können die Route-Propagierung für Ihre Routing-Tabelle aktivieren, um Site-to-Site VPN-Routen automatisch weiterzuleiten.
Für das statisches Routing werden die statischen IP-Präfixe, die Sie in der VPN-Konfiguration angegeben haben, an die Routing-Tabelle weitergeleitet, wenn der Status der VPN-Verbindung `UP` ist. Gleichzeitig werden beim dynamischen Routing die durch BGP angekündigten Routen von Ihrem Kunden-Gateway an die Routing-Tabelle weitergeleitet, wenn der Status der VPN-Verbindung `UP` ist.
**Anmerkung**
Wenn Ihre Verbindung unterbrochen wird, die VPN-Verbindung jedoch BESTEHEN bleibt, werden die verbreiteten Routen in Ihrer Routing-Tabelle nicht automatisch entfernt. Beachten Sie dies, wenn Sie z. B. Datenverkehr als Failover über eine statische Route routen möchten. In diesem Fall müssen Sie möglicherweise die Routenverbreitung deaktivieren, um die verbreiteten Routen zu entfernen.
**So aktivieren Sie die Routing-Verbreitung in der Konsole**
1. Wählen Sie im Navigationsbereich **Route Tables** (Routing-Tabellen) aus.
1. Wählen Sie die Routing-Tabelle aus, die dem Subnetz zugewiesen ist.
1. Wählen Sie in der Registerkarte **Routing-Verbreitung** die Option **Routing-Verteilung bearbeiten** aus. Wählen Sie das Virual Private Gateway aus, das Sie im vorherigen Verfahren erstellt haben, und klicken Sie auf **Speichern**.
**Anmerkung**
Wenn Sie die Routing-Verbreitung nicht aktivieren, müssen Sie die statischen Routen, die von der VPN-Verbindung verwendet werden, manuell eingeben. Hierzu wählen Sie Ihre Routing-Tabelle und anschließend **Routes**, **Edit** aus. Fügen Sie für **Destination** die statische Route hinzu, die von Ihrer Site-to-Site VPN-Verbindung verwendet wird. Wählen Sie unter **Target** die ID des Virtual Private Gateway aus, und wählen Sie dann **Save**.
**Deaktivieren der Routing-Verbreitung mithilfe der Konsole**
1. Wählen Sie im Navigationsbereich **Route Tables** (Routing-Tabellen) aus.
1. Wählen Sie die Routing-Tabelle aus, die dem Subnetz zugewiesen ist.
1. Wählen Sie in der Registerkarte **Routing-Verbreitung** die Option **Routing-Verteilung bearbeiten** aus. Deaktivieren Sie das Kontrollkästchen **Verteilen** für das Virtual Private Gateway.
1. Wählen Sie **Speichern**.
**So aktivieren Sie die Routing-Verbreitung unter Verwendung der Befehlszeile oder API**
+ [EnableVgwRoutePropagation](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_EnableVgwRoutePropagation.html)(Amazon EC2 EC2-Abfrage-API)
+ [enable-vgw-route-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-vgw-route-propagation.html) (AWS CLI)
+ [Enable-EC2VgwRoutePropagation](https://docs.aws.amazon.com/powershell/latest/reference/items/Enable-EC2VgwRoutePropagation.html) (AWS Tools for Windows PowerShell)
**So deaktivieren Sie die Routing-Verbreitung über die Befehlszeile oder API**
+ [DisableVgwRoutePropagation](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DisableVgwRoutePropagation.html)(Amazon EC2 EC2-Abfrage-API)
+ [disable-vgw-route-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-vgw-route-propagation.html) (AWS CLI)
+ [Disable-EC2VgwRoutePropagation](https://docs.aws.amazon.com/powershell/latest/reference/items/Disable-EC2VgwRoutePropagation.html) (AWS Tools for Windows PowerShell)
### (Transit-Gateway) Fügen Sie eine Route zu Ihrer Routing-Tabelle hinzu.
Wenn Sie die Übermittlung der Routing-Tabelle für Ihr Transit-Gateway aktiviert haben, werden die Routen für den VPN-Anhang an die Routing-Tabelle des Transit-Gateways übermittelt. Weitere Informationen finden Sie unter [Routing](https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview) in *Amazon VPC-Transit-Gateways*.
Wenn Sie eine VPC mit Ihrem Transit-Gateway verbinden und Ressourcen in der VPC in die Lage versetzen möchten, Ihr Kunden-Gateway zu erreichen, müssen Sie eine Route zu Ihrer Subnetz-Routing-Tabelle hinzufügen, die auf das Transit-Gateway verweist.
**Hinzufügen einer Route zu einer VPC-Routing-Tabelle**
1. Wählen Sie im Navigationsbereich **Routing-Tabellen** aus.
1. Wählen Sie die Routing-Tabelle aus, die Ihrer VPC zugeordnet ist.
1. Klicken Sie auf der Registerkarte **Routes (Routen)** auf **Edit routes (Routen bearbeiten)**.
1. Wählen Sie **Add Route (Route hinzufügen)** aus.
1. Geben Sie als **Ziel** den Ziel-IP-Adressbereich ein. Wählen Sie bei **Ziel** das Transit-Gateway aus.
1. Wählen Sie **Änderungen speichern ** aus.
## Schritt 4: Ihre Sicherheitsgruppe aktualisieren
Wenn Sie möchten, dass Computer in Ihrem Netzwerk Zugriff auf die Instances in Ihrer VPC haben, müssen Sie die Regeln Ihrer Sicherheitsgruppen aktualisieren, um eingehenden SSH-, RDP- und ICMP-Zugriff zu ermöglichen.
**So aktualisieren Sie Ihre Sicherheitsgruppe, um Zugriff zu ermöglichen**
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie die Sicherheitsgruppe für die Instances in Ihrer VPC aus, für die Sie Zugriff gewähren möchten.
1. Wählen Sie auf der Registerkarte **Inbound rules (Regeln für eingehenden Datenverkehr) ** die Option **Edt inbound rules (Regeln für eingehenden Datenverkehr bearbeiten)** aus.
1. Fügen Sie Regeln hinzu, die den eingehenden SSH-, RDP- und ICMP-Zugriff auf Ihr Netzwerk erlauben und klicken Sie anschließend auf **Regeln speichern**. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/security-group-rules.html#working-with-security-group-rules) im *Amazon-VPC-Benutzerhandbuch*.
## Schritt 5: Eine VPN-Verbindung erstellen
Erstellen Sie die VPN-Verbindung unter Verwendung des Kunden-Gateways zusammen mit dem Virtual Private Gateway oder Transit-Gateway, das Sie zuvor erstellt haben.
**So erstellen Sie eine VPN-Verbindung**
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.
1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus.
1. (Optional) Geben Sie als **Name-Tag** einen Namen für Ihr VPN ein. Auf diese Weise wird ein Tag mit dem Schlüssel `Name` und dem von Ihnen angegebenen Wert erstellt.
1. Wählen Sie für **Target gateway type (Ziel-Gateway-Typ)** entweder **Virtual private gateway (Virtual Private Gateway)** oder **Transit gateway (Transit-Gateway)** aus. Wählen Sie dann das Virtual Private Gateway oder Transit-Gateway, das Sie zuvor angelegt haben.
1. Wählen Sie bei **Kunden-Gateway** die Option **Vorhanden** und das zuvor erstellte Kunden-Gateway unter **Kunden-Gateway-ID** aus.
1. Wählen Sie je nachdem, ob Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt, eine der **Routing-Optionen** aus:
+ Wenn Ihr Kunden-Gateway-Gerät BGP unterstützt, wählen Sie **Dynamic (requires BGP) (Dynamisch (erfordert BGP))** aus.
+ Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, wählen Sie **Static (Statisch)** aus. Geben Sie unter **Static IP Prefixes (Statische IP-Präfixe)** alle IP-Präfixe für das private Netzwerk Ihrer VPN-Verbindung an.
1. Wählen Sie den Speichertyp „Pre-Shared Key“:
+ **Standard** — Der Pre-Shared Key wird direkt im Site-to-Site VPN-Dienst gespeichert.
+ **Secrets Manager** — Der Pre-Shared Key wird gespeichert mit AWS Secrets Manager. Weitere Informationen zu Secrets Manager finden Sie unter[Verbesserte Sicherheitsfunktionen mit Secrets Manager](enhanced-security.md).
1. Wenn Ihr Ziel-Gateway-Typ Transit-Gateway ist, geben Sie für **Tunnel-interne IP-Version** an, ob die VPN-Tunnel IPv6 Datenverkehr IPv4 oder -Verkehr unterstützen. IPv6 Datenverkehr wird nur für VPN-Verbindungen auf einem Transit-Gateway unterstützt.
1. Wenn Sie die **IP-Version **IPv4**für Tunnel** angegeben haben, können Sie optional die IPv4 CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Der Standardwert ist `0.0.0.0/0`.
Wenn Sie die **IP-Version **IPv6**für Tunnel** angegeben haben, können Sie optional die IPv6 CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Die Standardeinstellung für beide Bereiche lautet `::/0`.
1. Wählen Sie für den **Typ der externen IP-Adresse** eine der folgenden Optionen aus:
+ **PublicIpv4** — (Standard) Verwenden Sie IPv4 Adressen für den Außentunnel IPs.
+ **IPv6**- Verwenden Sie IPv6 Adressen für den Außentunnel IPs. Diese Option ist nur für VPN-Verbindungen auf einem Transit-Gateway oder Cloud-WAN verfügbar.
1. (Optional) Für **Tunneloptionen** können Sie für jeden Tunnel die folgenden Informationen angeben:
+ Ein IPv4 CIDR-Block der Größe /30 aus dem `169.254.0.0/16` Bereich für interne IPv4 Tunneladressen.
+ Wenn Sie **IPv6**für die **Version Tunnel inside IP** einen IPv6 CIDR-Block /126 aus dem `fd00::/8` Bereich für interne Tunneladressen angegeben haben. IPv6
+ Den vorinstallierten IKE-Schlüssel (PSK). Die folgenden Versionen werden unterstützt: IKEv1 oder. IKEv2
+ Um die erweiterten Optionen für Ihren Tunnel zu bearbeiten, wählen Sie **Tunneloptionen bearbeiten** aus. Weitere Informationen finden Sie unter [VPN-Tunneloptionen](VPNTunnels.md).
1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus. Der Aufbau der VPN-Verbindung kann einige Minuten dauern.
**So erstellen Sie eine VPN-Verbindung über die Befehlszeile oder API**
+ [CreateVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnection.html)(Amazon EC2 EC2-Abfrage-API)
+ [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) (AWS CLI)
Beispiel für die Erstellung einer VPN-Verbindung mit IPv6 Außentunnel IPs und IPv6 Innentunnel IPs:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=IPv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
Beispiel für den Aufbau einer VPN-Verbindung mit IPv6 Außentunnel IPs und IPv4 Innentunnel IPs:
```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=IPv6,TunnelInsideIpVersion=ipv4,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
+ [New-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
## Schritt 6: Die Endpunkt-Konfigurationsdatei herunterladen
Nachdem Sie die VPN-Verbindung erstellt haben, können Sie eine Beispielkonfigurationsdatei herunterladen, die zur Konfiguration des Kunden-Gateway-Geräts verwendet wird.
**Wichtig**
Die Konfigurationsdatei ist nur ein Beispiel und entspricht möglicherweise nicht genau den von Ihnen beabsichtigten VPN-Verbindungseinstellungen. Es spezifiziert die Mindestanforderungen für eine VPN-Verbindung von AES128 SHA1, und Diffie-Hellman-Gruppe 2 in den meisten AWS Regionen und, AES128 SHA2, und Diffie-Hellman-Gruppe 14 in den Regionen. AWS GovCloud Es legt außerdem Pre-Shared-Key für die Authentifizierung fest. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche SicherheitsalGORITHmen, Diffie-Hellman-Gruppen, private Zertifikate und Datenverkehr zu nutzen. IPv6
Wir haben IKEv2 Unterstützung in den Konfigurationsdateien für viele beliebte Kunden-Gateway-Geräte eingeführt und werden im Laufe der Zeit weitere Dateien hinzufügen. Eine Liste der IKEv2 unterstützten Konfigurationsdateien finden Sie unter[AWS Site-to-Site VPN Kunden-Gateway-Geräte](your-cgw.md).
**Berechtigungen**
Um den Download-Konfigurationsbildschirm von korrekt zu laden, müssen Sie sicherstellen AWS-Managementkonsole, dass Ihre IAM-Rolle oder Ihr IAM-Benutzer über Berechtigungen für das folgende Amazon EC2 verfügt APIs: `GetVpnConnectionDeviceTypes` und. `GetVpnConnectionDeviceSampleConfiguration`
**So laden Sie die Konfigurationsdatei mit der Konsole herunter**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.
1. Wählen Sie erst Ihre VPN-Verbindung und dann **Konfiguration herunterladen** aus.
1. Wählen Sie den **Anbieter**, die **Plattform**, die **Software** und die **IKE-Version** aus, die dem Kunden-Gateway-Gerät entsprechen. Wenn Ihr Gerät nicht aufgeführt ist, wählen Sie **Generic (Generisch)** aus.
1. Wählen Sie **Herunterladen** aus.
**Beispielkonfigurationsdatei mit der -Befehlszeile oder -API herunterladen**
+ [GetVpnConnectionDeviceTypes](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetVpnConnectionDeviceTypes.html)(Amazon EC2 EC2-API)
+ [GetVpnConnectionDeviceSampleConfiguration](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetVpnConnectionDeviceSampleConfiguration.html)(Amazon EC2 EC2-Abfrage-API)
+ [get-vpn-connection-device-Typen](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-connection-device-types.html) ()AWS CLI
+ [get-vpn-connection-device-Beispielkonfiguration](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-connection-device-sample-configuration.html) ()AWS CLI
## Schritt 7: Das Kunden-Gateway-Gerät konfigurieren
Verwenden Sie die Beispielkonfigurationsdatei, um Ihr Kunden-Gateway-Gerät zu konfigurieren. Das Kunden-Gateway-Gerät ist das physische Gerät oder die Software-Anwendung auf Ihrer Seite der VPN-Verbindung. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Kunden-Gateway-Geräte](your-cgw.md).