Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Wie AWS Site-to-Site VPN funktioniert
<a name="how_it_works"></a>

Eine Site-to-Site VPN-Verbindung besteht aus den folgenden Komponenten:
+ Ein [Virtual Private Gateway](#VPNGateway) oder ein [Transit-Gateway](#Transit-Gateway)
+ Ein [Kunden-Gateway-Gerät](#CustomerGatewayDevice)
+ Ein [Kunden-Gateway](#CustomerGateway)

Die VPN-Verbindung bietet zwei VPN-Tunnel zwischen einem virtuellen privaten Gateway oder Transit-Gateway auf der AWS Seite und einem Kunden-Gateway auf der lokalen Seite.

Weitere Informationen zu Site-to-Site VPN-Kontingenten finden Sie unter[AWS Site-to-Site VPN Kontingente](vpn-limits.md).

## Virtual Private Gateway
<a name="VPNGateway"></a>

Ein *virtuelles privates Gateway* ist der Site-to-Site VPN-Konzentrator auf der Amazon-Seite der Site-to-Site VPN-Verbindung. Sie erstellen ein virtuelles privates Gateway und fügen es einer Virtual Private Cloud (VPC) mit Ressourcen hinzu, die auf die Site-to-Site VPN-Verbindung zugreifen müssen.

Das folgende Diagramm zeigt eine VPN-Verbindung zwischen einer VPC und Ihrem On-Premises-Netzwerk unter Verwendung eines Virtual Private Gateways.

![\[Eine VPC mit einem angefügten Virtual Private Gateway und eine VPN-Verbindung zu Ihrem On-Premises-Netzwerk.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


Während der Erstellung eines Virtual Private Gateway können Sie die private Autonomous System Number (ASN) für die Amazon-Seite des Gateways angeben. Wenn Sie keine ASN angeben, wird der Virtual Private Gateway mit der Standard-ASN (64512) erstellt. Sie können die ASN nicht ändern, nachdem Sie das Virtual Private Gateway erstellt haben. Um die ASN für Ihr Virtual Private Gateway zu überprüfen, sehen Sie sich dessen Details auf der Seite **Virtual Private Gateways** in der Amazon VPC-Konsole an oder verwenden Sie den Befehl. [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) AWS CLI 

**Anmerkung**  
Virtuelle private Gateways unterstützen IPv6 keine VPN-Verbindungen. Site-to-Site Wenn Sie IPv6 Unterstützung benötigen, verwenden Sie ein Transit-Gateway oder ein Cloud-WAN für Ihre VPN-Verbindung.

## Transit Gateway
<a name="Transit-Gateway"></a>

Ein Transit-Gateway ist ein Transit-Hub, über den Sie Ihre Netzwerke VPCs und Ihre lokalen Netzwerke miteinander verbinden können. Weitere Informationen finden Sie unter [Amazon VPC Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/). Sie können eine Site-to-Site VPN-Verbindung als Anlage an einem Transit-Gateway erstellen.

Das folgende Diagramm zeigt eine VPN-Verbindung zwischen mehreren Netzwerken VPCs und Ihrem lokalen Netzwerk mithilfe eines Transit-Gateways. Das Transit Gateway hat drei VPC-Anhänge und einen VPN-Anhang.

![\[Ein Transit Gateway hat drei VPC-Anhängen und einem VPN-Anhang.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


Ihre Site-to-Site VPN-Verbindung auf einem Transit-Gateway kann den IPv6 Datenverkehr innerhalb der VPN-Tunnel (innere IP-Adressen) unterstützen IPv4 . Darüber hinaus unterstützen Transit-Gateways IPv6 Adressen für die IP-Adressen der äußeren Tunnel. Weitere Informationen finden Sie unter [IPv4 und IPv6 Verkehr in AWS Site-to-Site VPN](ipv4-ipv6.md).

Sie können das Ziel-Gateway einer Site-to-Site VPN-Verbindung von einem virtuellen privaten Gateway zu einem Transit-Gateway ändern. Weitere Informationen finden Sie unter [Ändern Sie das Ziel-Gateway einer AWS Site-to-Site VPN Verbindung](modify-vpn-target.md).

## Kunden-Gateway-Gerät
<a name="CustomerGatewayDevice"></a>

Ein *Kunden-Gateway-Gerät* ist ein physisches Gerät oder eine Softwareanwendung auf Ihrer Seite der Site-to-Site VPN-Verbindung. Sie konfigurieren das Gerät so, dass es mit der Site-to-Site VPN-Verbindung funktioniert. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Kunden-Gateway-Geräte](your-cgw.md).

Standardmäßig muss Ihr Kunden-Gateway-Gerät die Tunnel für Ihre Site-to-Site VPN-Verbindung aufrufen, indem es Datenverkehr generiert und den IKE-Verhandlungsprozess (Internet Key Exchange) einleitet. Sie können Ihre Site-to-Site VPN-Verbindung so konfigurieren, dass stattdessen der IKE-Verhandlungsprozess initiiert werden AWS muss. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Optionen zur Tunnelinitiierung](initiate-vpn-tunnels.md).

Wenn Sie IP-Adressen IPv6 für den Außentunnel verwenden, muss Ihr Kunden-Gateway-Gerät die IPv6 Adressierung unterstützen und in der Lage sein, IPsec Tunnel mit IPv6 Endpunkten einzurichten.

## Kunden-Gateway
<a name="CustomerGateway"></a>

Ein *Kunden-Gateway* ist eine Ressource, die Sie in AWS erstellen, die das Kunden-Gateway-Gerät in Ihrem lokalen Netzwerk darstellt. Wenn Sie ein Kunden-Gateway einrichten, geben Sie Informationen über Ihr Gerät an AWS. Weitere Informationen finden Sie unter [Kunden-Gateway-Optionen für Ihre AWS Site-to-Site VPN Verbindung](cgw-options.md).

![\[Ein Kunden-Gateway und ein Kunden-Gateway-Gerät.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/vpn-how-it-works-cgw.png)


Um Amazon VPC mit einer Site-to-Site VPN-Verbindung zu verwenden, müssen Sie oder Ihr Netzwerkadministrator auch das Kunden-Gateway-Gerät oder die Anwendung in Ihrem Remote-Netzwerk konfigurieren. Wenn Sie die Site-to-Site VPN-Verbindung herstellen, stellen wir Ihnen die erforderlichen Konfigurationsinformationen zur Verfügung, und Ihr Netzwerkadministrator führt diese Konfiguration in der Regel durch. Weitere Informationen über die Anforderungen und Konfiguration von Kunden-Gateways finden Sie unter [AWS Site-to-Site VPN Kunden-Gateway-Geräte](your-cgw.md).

### IPv6 Kunden-Gateway
<a name="ipv6-customer-gateway"></a>

Wenn Sie ein Kunden-Gateway für die Verwendung mit einem IPv6 Außentunnel erstellen IPs, geben Sie eine IPv6 Adresse anstelle einer IPv4 Adresse an. Sie können mit der AWS Management Console oder der AWS CLI ein IPv6 Kunden-Gateway erstellen.

Verwenden Sie den folgenden Befehl, um ein IPv6 Kunden-Gateway mit der AWS CLI zu erstellen:

```
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
```

Die IPv6 Adresse muss eine gültige, über das Internet routingfähige IPv6 Adresse für Ihr Kunden-Gateway-Gerät sein.

## IPv6 VPN-Verbindungen
<a name="ipv6-vpn-connections"></a>

Site-to-Site VPN-VPN-Verbindungen unterstützen die folgenden IPv6 Konfigurationen:
+ *IPv4 äußerer Tunnel mit IPv4 inneren Paketen* — Die grundlegende IPv4 VPN-Funktion, die auf Virtual Private Gateway (VGW), Transit Gateway (TGW) und Cloud WAN unterstützt wird.
+ *IPv4 äußerer Tunnel mit IPv6 inneren Paketen* — Ermöglicht IPv6 Anwendungen/Transport innerhalb des VPN-Tunnels. Wird auf TGW und Cloud WAN unterstützt (nicht auf VGW unterstützt).
+ *IPv6 äußerer Tunnel mit IPv6 inneren Paketen* — Ermöglicht die vollständige IPv6 Migration mit IPv6 Adressen sowohl für den äußeren Tunnel IPs als auch für das innere Paket. IPs Wird auf TGW und Cloud WAN unterstützt.
+ *IPv6 äußerer Tunnel mit IPv4 inneren Paketen* — Ermöglicht die Adressierung von IPv6 Außentunneln und unterstützt gleichzeitig ältere IPv4 Anwendungen innerhalb des Tunnels. Wird auf TGW und Cloud WAN unterstützt.

Um eine VPN-Verbindung mit IPv6 äußerem Tunnel herzustellen IPs, geben Sie dies `OutsideIPAddressType=Ipv6` beim Erstellen der VPN-Verbindung an. AWS konfiguriert automatisch die externen IPv6 Tunneladressen für die AWS-Seite der VPN-Tunnel.

Beispiel für einen CLI-Befehl zum Erstellen einer VPN-Verbindung mit IPv6 äußerem Tunnel IPs und IPv6 innerem Tunnel IPs:

```
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```

Sie können die Ihrer VPN-Verbindung zugewiesenen IPv6 Adressen mit dem `describe-vpn-connection` CLI-Befehl anzeigen.

# Tunneloptionen für Ihre AWS Site-to-Site VPN Verbindung
<a name="VPNTunnels"></a>

Sie verwenden eine Site-to-Site VPN-Verbindung, um Ihr Remote-Netzwerk mit einer VPC zu verbinden. Jede Site-to-Site VPN-Verbindung hat zwei Tunnel, wobei jeder Tunnel eine eindeutige öffentliche IP-Adresse verwendet. Aus Redundanzgründen ist es wichtig, beide Tunnel zu konfigurieren. Wenn ein Tunnel nicht verfügbar ist (z. B. aufgrund von Wartungsarbeiten nicht verfügbar), wird der Netzwerkverkehr automatisch an den verfügbaren Tunnel für diese spezifische Site-to-Site VPN-Verbindung weitergeleitet.

Das folgende Diagramm stellt die beiden Tunnel einer VPN-Verbindung dar. Jeder Tunnel endet in einer anderen Availability Zone, um eine erhöhte Verfügbarkeit zu gewährleisten. Der Datenverkehr vom lokalen Netzwerk zu AWS verwendet beide Tunnel. Der Datenverkehr vom AWS lokalen Netzwerk bevorzugt einen der Tunnel, kann aber automatisch auf den anderen Tunnel umgeleitet werden, wenn auf der AWS Seite ein Fehler auftritt.

![\[Die beiden Tunnel einer VPN-Verbindung zwischen einem Virtual Private Gateway und einem Kunden-Gateway.\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/Multiple_VPN_Tunnels_diagram.png)


Wenn Sie eine Site-to-Site VPN-Verbindung herstellen, laden Sie eine für Ihr Kunden-Gateway-Gerät spezifische Konfigurationsdatei herunter, die Informationen zur Konfiguration des Geräts enthält, einschließlich Informationen zur Konfiguration der einzelnen Tunnel. Sie können optional einige der Tunneloptionen selbst angeben, wenn Sie die Site-to-Site VPN-Verbindung herstellen. Andernfalls stellt AWS Standardwerte bereit.

## Optionen für die Tunnelbandbreite
<a name="tunnel-bandwidth-options"></a>

Sie können die Bandbreitenkapazität für Ihre VPN-Tunnel konfigurieren:
+ **Standardbandbreite**: Bis zu 1,25 Gbit/s pro Tunnel (Standard)
+ **Tunnel mit großer Bandbreite (LBT)**: Bis zu 5 Gbit/s pro Tunnel

Tunnel mit großer Bandbreite sind nur für VPN-Verbindungen verfügbar, die an Transit Gateway oder Cloud WAN angeschlossen sind. Weitere Informationen finden Sie unter [Tunnel mit großer Bandbreite](#large-bandwidth-tunnels).

**Anmerkung**  
Site-to-Site VPN-Tunnel-Endpunkte bewerten Vorschläge von Ihrem Kunden-Gateway, beginnend mit dem niedrigsten konfigurierten Wert aus der folgenden Liste, unabhängig von der Reihenfolge der Angebote vom Kunden-Gateway. Sie können den `modify-vpn-connection-options` Befehl verwenden, um die Liste der Optionen einzuschränken, die AWS Endpunkte akzeptieren. Weitere Informationen finden Sie unter [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html)*Amazon EC2 Command Line Reference.*

## Tunnel mit großer Bandbreite
<a name="large-bandwidth-tunnels"></a>

Mit Tunneln mit großer Bandbreite können Sie Site-to-Site VPN-Tunnel konfigurieren, die bis zu 5 Gbit/s Bandbreite pro Tunnel unterstützen, verglichen mit den standardmäßigen 1,25 Gbit/s. Tunnel mit großer Bandbreite sind für VPN-Verbindungen verfügbar, die an Transit Gateway oder Cloud WAN angeschlossen sind. Dadurch entfällt oder reduziert die Notwendigkeit, komplexe Protokolle wie ECMP (Equal Cost Multi Path) bereitzustellen, um eine höhere Bandbreite zu erreichen, und es wird eine konsistente Tunnelbandbreite von 5 Gbit/s pro Tunnel gewährleistet. Large Bandwidth Tunnels wurde für die folgenden Anwendungsfälle konzipiert:
+ **Rechenzentrumskonnektivität**: Support bandbreitenintensive Hybridanwendungen, Big-Data-Migrationen oder Disaster-Recovery-Architekturen, die eine Konnektivität mit hoher Kapazität zwischen AWS-Workloads und lokalen Rechenzentren erfordern.
+ **Direct Connect-Backup**: Stellen Sie Backup- oder Overlay-Konnektivität für Direct Connect hoher Kapazität (10 Gbit/s \$1) zu lokalen Rechenzentren oder Colocation-Einrichtungen bereit.

### Verfügbarkeit in Regionen
<a name="lbt-availability"></a>

Tunnel mit großer Bandbreite sind in allen Regionen verfügbar, mit Ausnahme der folgenden:


**Nicht verfügbar AWS-Regionen**  

| AWS Region  | Description | 
| --- | --- | 
| ap-southeast-4 | Asien-Pazifik (Melbourne) | 
| ca-west-1 | Kanada West (Calgary) | 
| eu-central-2 | Europa (Zürich) | 
| il-central-1 | Israel (Tel Aviv) | 
| me-central-1 | Naher Osten (VAE) | 

### Anforderungen und Einschränkungen
<a name="lbt-requirements"></a>
+ Nur für VPN-Verbindungen verfügbar, die an ein Transit-Gateway oder an ein Cloud-WAN angeschlossen sind. Wird nicht für Virtual Private Gateway-Anhänge unterstützt.
+ Beide Tunnel einer VPN-Verbindung müssen dieselbe Bandbreitenkonfiguration verwenden (beide 1,25 Gbit/s oder beide 5 Gbit/s).
+ Beschleunigtes VPN wird nicht unterstützt.
+ Alle anderen VPN-Kernfunktionen wie privates IP-VPN, Routing und Tunnelwartung funktionieren bei Tunneln mit großer Bandbreite genauso.
+ Das MTU-Limit bleibt bei 1500 Byte. [ Erfahren Sie mehr](https://docs.aws.amazon.com/vpn/latest/s2svpn/cgw-best-practice.html) darüber, wie Sie die MTU- und MSS-Größen an die verwendeten Algorithmen anpassen können.
+ Sie können einen vorhandenen Tunnel nicht ändern, um Tunnel mit großer Bandbreite zu verwenden. Sie müssen zuerst den Tunnel löschen und dann einen neuen Tunnel erstellen und die Tunnelbandbreite auf **Groß** setzen. 
+ Kunden-Gateways (CGWs), die nur über eine feste IP verfügen, können mit Tunneln mit großer Bandbreite verwendet werden. 
+ Kunden-Gateways (CGWs) ohne IP-Adresse können nicht mit Tunneln mit großer Bandbreite verwendet werden. 
+ Tunnel mit großer Bandbreite unterstützen keine Änderungen am NAT-T-Port, während der Tunnel eingerichtet ist. 
+ Pakete, die fragmentiert werden müssen, können eine geringere Leistung aufweisen. [ Erfahre mehr](https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-limits.html#vpn-quotas-mtu). 

### Preise für Tunnel mit großer Bandbreite
<a name="lbt-pricing"></a>

Informationen zu den Preisen für VPN-Verbindungen mit großer Bandbreite finden Sie auf der Seite mit den [AWS VPN-Preisen](https://aws.amazon.com/vpn/pricing/#AWS_Site-to-Site_VPN_and_Accelerated_Site-to-Site_VPN_Connection_Pricing). 

### Skalierung über 5 Gbit/s
<a name="lbt-scaling"></a>

Bei Bandbreitenanforderungen von mehr als 5 Gbit/s pro Tunnel können Sie ECMP für mehrere VPN-Verbindungen verwenden. Sie können beispielsweise eine Bandbreite von 20 Gbit/s erreichen, indem Sie zwei VPN-Verbindungen mit Tunneln mit großer Bandbreite einrichten und ECMP für alle vier Tunnel verwenden.

# Konfigurieren Sie Tunneloptionen für AWS Site-to-Site VPN
<a name="tunnel-configure"></a>

Dieser Abschnitt enthält umfassende Anleitungen zur Konfiguration von Tunneloptionen für AWS Site-to-Site VPN Verbindungen und behandelt wichtige Parameter wie Dead-Peer-Erkennung, IKE-Versionen und Verschlüsselungseinstellungen. Sie können diese Tunneloptionen anpassen, um die Sicherheit, Leistung und Kompatibilität Ihrer VPN-Verbindung mit Ihrer lokalen Netzwerkinfrastruktur zu optimieren. 

Im Folgenden finden Sie die Tunneloptionen, die Sie konfigurieren können.

**Anmerkung**  
Einige Tunneloptionen haben mehrere Standardwerte. Beispielsweise haben **IKE-Versionen** zwei Standardwerte für Tunneloptionen: `ikev1` und`ikev2`. Alle Standardwerte werden dieser Tunneloption zugeordnet, wenn Sie keine bestimmten Werte auswählen. Klicken Sie hier, um alle Standardwerte zu entfernen, die nicht mit der Tunneloption verknüpft werden sollen. Wenn Sie ihn beispielsweise nur `ikev1` für die IKE-Version verwenden möchten, klicken Sie, `ikev2` um ihn zu entfernen.

**Zeitüberschreitung bei DPD-Timeouts (Dead Peer Detection)**  
Die Zahl der Sekunden, nach denen eine DPD-Zeitüberschreitung auftritt. Ein DPD-Timeout von 30 Sekunden bedeutet, dass der VPN-Endpunkt den Peer 30 Sekunden nach dem ersten fehlgeschlagenen Keep-Alive als tot betrachtet. Sie können 30 oder mehr festlegen.  
Standard: 40

**DPD-Timeout-Aktion**  
Die Aktion, die nach dem Timeout der Dead Peer Detection (DPD) ausgeführt wird. Sie können folgende Formen angeben:  
+ `Clear`: Beenden Sie die IKE-Sitzung bei DPD Timeout (beenden Sie den Tunnel und löschen Sie die Routen)
+ `None`: Keine Aktion bei DPD-Timeout
+ `Restart`: Starten Sie die IKE-Sitzung bei DPD Timeout neu
Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Optionen zur Tunnelinitiierung](initiate-vpn-tunnels.md).  
Standard: `Clear`

**VPN-Protokollierungsoptionen**  
Mithilfe von Site-to-Site VPN-Protokollen können Sie auf Details zur Einrichtung eines IP-Security-Tunnels (IPsec), zu IKE-Verhandlungen (Internet Key Exchange) und zu DPD-Protokollnachrichten (Dead Peer Detection) zugreifen.  
Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Logs](monitoring-logs.md).  
Verfügbare Protokollformate: `json`, `text`

**IKE-Versionen**  
Die IKE-Versionen, die für den VPN-Tunnel zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardeinstellungen:, `ikev1` `ikev2`

**Innerhalb des CIDR-Tunnels IPv4 **  
Der Bereich der internen (internen) IPv4 Adressen für den VPN-Tunnel. Sie können einen CIDR-Block der Größe /30 aus dem Bereich `169.254.0.0/16` angeben. Der CIDR-Block muss für alle Site-to-Site VPN-Verbindungen, die dasselbe Virtual Private Gateway verwenden, eindeutig sein.  
Der CIDR-Block muss nicht unter allen Verbindungen eines Transit-Gateways eindeutig sein. Wenn sie jedoch nicht eindeutig sind, kann dies zu einem Konflikt auf Ihrem Kunden-Gateway führen. Gehen Sie vorsichtig vor, wenn Sie denselben CIDR-Block für mehrere Site-to-Site VPN-Verbindungen auf einem Transit-Gateway wiederverwenden.
Die folgenden CIDR-Blöcke sind reserviert und können nicht verwendet werden:   
+ `169.254.0.0/30`
+ `169.254.1.0/30`
+ `169.254.2.0/30`
+ `169.254.3.0/30`
+ `169.254.4.0/30`
+ `169.254.5.0/30`
+ `169.254.169.252/30`
Standard: Ein IPv4 CIDR-Block der Größe /30 aus dem Bereich. `169.254.0.0/16`

**Vorab gemeinsam genutzter Schlüsselspeicher**  
Die Art des Speichers für den Pre-Shared Key:  
+ **Standard** — Der Pre-Shared Key wird direkt im Site-to-Site VPN-Dienst gespeichert.
+ **Secrets Manager** — Der Pre-Shared Key wird gespeichert mit AWS Secrets Manager. Weitere Informationen zu Secrets Manager finden Sie unter[Verbesserte Sicherheitsfunktionen mit Secrets Manager](enhanced-security.md).

**Tunnel-Bandbreite**  
Die für den Tunnel unterstützte Bandbreite.  
+ **Standard** — Die Tunnelbandbreite ist auf ein Maximum von bis zu 1,25 Gbit/s pro Tunnel eingestellt (Standard).
+ **Groß** — Die Tunnelbandbreite beträgt maximal bis zu 5 Gbit/s pro Tunnel.
**Anmerkung**  
**Large** ist nur für VPN-Verbindungen verfügbar, die an ein Transit-Gateway oder an ein Cloud-WAN angeschlossen sind. Es wird für Virtual Private Gateway-Verbindungen nicht unterstützt.

**Innerhalb des IPv6 CIDR-Tunnels**  
(Nur IPv6 VPN-Verbindungen) Der Bereich der internen (internen) IPv6 Adressen für den VPN-Tunnel. Sie können einen CIDR-Block der Größe /126 aus dem lokalen `fd00::/8`-Bereich angeben. Der CIDR-Block muss für alle Site-to-Site VPN-Verbindungen, die dasselbe Transit-Gateway verwenden, eindeutig sein. Wenn Sie kein IPv6 Subnetz angeben, wählt Amazon automatisch ein /128-Subnetz aus diesem Bereich aus. Unabhängig davon, ob Sie das Subnetz angeben oder Amazon es auswählt, verwendet Amazon die erste verwendbare IPv6 Adresse im Subnetz für seine Seite der Verbindung und Ihre Seite verwendet die zweite verwendbare IPv6 Adresse.  
Standard: Ein IPv6 CIDR-Block der Größe /126 aus dem lokalen Bereich. `fd00::/8`

**IP-Adresstyp außerhalb des Tunnels**  
Der IP-Adresstyp für die IP-Adressen des externen (externen) Tunnels. Sie können einen der folgenden Werte angeben:  
+ `PrivateIpv4`: Verwenden Sie eine private IPv4 Adresse, um Site-to-Site VPN-Verbindungen über Direct Connect bereitzustellen.
+ `PublicIpv4`: (Standard) Verwenden Sie IPv4 Adressen für den äußeren Tunnel IPs.
+ `Ipv6`: Verwenden Sie IPv6 Adressen für den Außentunnel IPs. Diese Option ist nur für VPN-Verbindungen auf einem Transit-Gateway oder Cloud-WAN verfügbar.
Wenn Sie diese Option auswählen`Ipv6`, konfiguriert AWS automatisch die externen IPv6 Tunneladressen für die AWS-Seite der VPN-Tunnel. Ihr Kunden-Gateway-Gerät muss IPv6 Adressierung unterstützen und in der Lage sein, IPsec Tunnel mit IPv6 Endpunkten einzurichten.  
Standard: `PublicIpv4`

**Lokales IPv4 Netzwerk (CIDR)**  
(Nur IPv4 VPN-Verbindung) Der CIDR-Bereich, der während der IKE-Phase-2-Aushandlung für die Kundenseite (vor Ort) des VPN-Tunnels verwendet wurde. Dieser Bereich wird verwendet, um Routen vorzuschlagen, erzwingt jedoch keine Verkehrsbeschränkungen, da er ausschließlich VPNs routenbasiert AWS verwendet wird. Richtlinienbasierte VPNs werden nicht unterstützt, da sie die Fähigkeit zur Unterstützung dynamischer Routingprotokolle und Architekturen mit mehreren Regionen einschränken AWS würden. Dies sollte die IP-Bereiche Ihres lokalen Netzwerks beinhalten, die über den VPN-Tunnel kommunizieren müssen. Zur Steuerung des tatsächlichen Datenverkehrs sollten die richtigen Routingtabellenkonfigurationen und Sicherheitsgruppen verwendet werden. NACLs  
Standard: 0.0.0.0/0

**CIDR IPv4 im Remote-Netzwerk**  
(Nur IPv4 VPN-Verbindung) Der CIDR-Bereich, der während der IKE-Phase-2-Aushandlung für die AWS Seite des VPN-Tunnels verwendet wurde. Dieser Bereich wird verwendet, um Routen vorzuschlagen, erzwingt jedoch keine Verkehrsbeschränkungen, da AWS ausschließlich routenbasierte Routen VPNs verwendet. AWS unterstützt keine richtlinienbasierten Verfahren, VPNs da ihnen die für komplexe Routing-Szenarien erforderliche Flexibilität fehlt und sie nicht mit Funktionen wie Transit-Gateways und VPN Equal Cost Multi-Path (ECMP) kompatibel sind. Denn VPCs dies ist in der Regel der CIDR-Bereich Ihrer VPC. Bei Transit-Gateways kann dies mehrere CIDR-Bereiche von angeschlossenen VPCs oder anderen Netzwerken umfassen.  
Standard: 0.0.0.0/0

**Lokales Netzwerk IPv6 (CIDR)**  
(Nur IPv6 VPN-Verbindung) Der IPv6 CIDR-Bereich auf der Kunden-Gateway-Seite (lokal), der über die VPN-Tunnel kommunizieren darf.  
Standard: ::/0

**CIDR im Remote-Netzwerk IPv6 **  
(Nur IPv6 VPN-Verbindung) Der IPv6 CIDR-Bereich auf der AWS Seite, die über die VPN-Tunnel kommunizieren darf.   
Standard: ::/0

**Phase 1 Diffie-Hellman (DH)-Gruppennummern**  
Die DH-Gruppennummern, die für den VPN-Tunnel für Phase 1 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardeinstellungen: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

**Phase 2-Diffie-Hellman (DH)-Gruppennummern**  
Die DH-Gruppennummern, die für den VPN-Tunnel für Phase 2 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardeinstellungen: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24

**Phase 1-Verschlüsselungsalgorithmen**  
Die Verschlüsselungsalgorithmen, die für den VPN-Tunnel für Phase 1 der IKE-Aushandlung zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardeinstellungen: AES128,, -GCM-16 AES256, AES128 -GCM-16 AES256

**Verschlüsselungsalgorithmen der Phase 2**  
Die Verschlüsselungsalgorithmen, die für den VPN-Tunnel für die IKE-Aushandlungen der Phase 2 zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardeinstellungen: AES128, AES256, AES128 -GCM-16, AES256 -GCM-16

**Phase 1-Integritätsalgorithmen**  
Die Integritätsalgorithmen, die für den VPN-Tunnel für Phase 1 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardwerte: SHA1 SHA2, -256 SHA2, -384, -512 SHA2

**Phase 2-Integritätsalgorithmen**  
Die Integritätsalgorithmen, die für den VPN-Tunnel für Phase 2 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben.  
Standardwerte:, -256, -384 SHA1, SHA2 -512 SHA2 SHA2

**Lebensdauer für Phase 1**  
AWS initiiert erneute Schlüssel mit den Timing-Werten, die in den Feldern Phase-1-Lebensdauer und Phase-2-Lebensdauer festgelegt sind. Wenn sich diese Lebensdauer von den ausgehandelten Handshake-Werten unterscheiden, kann dies die Tunnelkonnektivität unterbrechen.
Die Lebensdauer in Sekunden für Phase 1 der IKE-Aushandlungen. Sie können eine Zahl zwischen 900 und 28.800 angeben.  
Standard: 28 800 (8 Stunden)

**Lebensdauer für Phase 2**  
AWS initiieren Sie erneute Schlüssel mit den Zeitwerten, die in den Feldern Phase-1-Lebensdauer und Phase-2-Lebensdauer festgelegt sind. Wenn sich diese Lebensdauer von den ausgehandelten Handshake-Werten unterscheiden, kann dies die Tunnelkonnektivität unterbrechen.
Die Lebensdauer in Sekunden für Phase 2 der IKE-Aushandlungen. Sie können eine Zahl zwischen 900 und 3.600 angeben. Die Anzahl, die Sie angeben, muss kleiner als die Anzahl der Sekunden für die Lebensdauer der Phase 1 sein.  
Standard: 3 600 (1 Stunde)

**Pre-shared key (PSK)**  
Der Pre-Shared-Key (PSK) zur Herstellung der anfänglichen IKE-Sicherheitszuordnung (Internet Key Exchange) zwischen dem Ziel-Gateway und dem Kunden-Gateway.   
Der PSK muss zwischen 8 und 64 Zeichen lang sein und darf nicht mit Null (0) beginnen. Zulässig sind alphanumerische Zeichen, Punkte (.) und Unterstriche (\$1).  
Standard: eine alphanumerische Zeichenfolge mit 32 Zeichen.

**Rekey-Fuzz**  
Der Prozentsatz des Rekey-Fensters (bestimmt durch die Rekey-Zeitspanne), innerhalb dessen die Rekey-Zeit nach dem Zufallsprinzip ausgewählt wird.   
Sie können einen Prozentwert zwischen 0 und 100 angeben.  
Standard: 100

**Rekey-Margin-Time**  
Die Margenzeit in Sekunden, bevor die Lebensdauer der Phasen 1 und Phase 2 abläuft. Während dieser Zeit führt die AWS Seite der VPN-Verbindung einen IKE-Neuschlüssel durch.   
Sie können eine Zahl zwischen 60 und der Hälfte des Wertes der Lebensdauer der Phase 2 angeben.  
Der genaue Zeitpunkt der Schlüsselerneuerung wird auf der Grundlage des Wertes für Rekey-Fuzz zufällig ausgewählt.  
Standard: 270 (4,5 Minuten)

**Replay-Window-Paketgröße**  
Die Anzahl der Pakete in einem IKE-Wiedergabefenster.   
Sie können einen Wert zwischen 64 und 2048 angeben.  
Standard: 1024

**Start-Aktion**  
Die Aktion, die beim Aufbau des Tunnels für eine VPN-Verbindung ausgeführt werden soll. Sie können Folgendes angeben:   
+ `Start`: AWS leitet die IKE-Verhandlung ein, um den Tunnel hochzufahren. Wird nur unterstützt, wenn Ihr Kunden-Gateway mit einer IP-Adresse konfiguriert ist.
+ `Add`: Ihr Kunden-Gateway-Gerät muss die IKE-Aushandlung initiieren, um den Tunnel aufzubauen.
Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Optionen zur Tunnelinitiierung](initiate-vpn-tunnels.md).  
Standard: `Add`

**Steuerung des Lebenszyklus von Tunnelendpunkten**  
Die Steuerung des Lebenszyklus von Tunnelendpunkten bietet Kontrolle über den Zeitplan für den Austausch von Endpunkten.  
Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Kontrolle des Lebenszyklus von Tunnelendpunkten](tunnel-endpoint-lifecycle.md).  
Standard: `Off`

Sie können die Tunneloptionen angeben, wenn Sie eine Site-to-Site VPN-Verbindung erstellen, oder Sie können die Tunneloptionen für eine bestehende VPN-Verbindung ändern. Weitere Informationen finden Sie unter den folgenden Themen:
+ [Schritt 5: Eine VPN-Verbindung erstellen](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ [AWS Site-to-Site VPN Tunneloptionen ändern](modify-vpn-tunnel-options.md)

# AWS Site-to-Site VPN Optionen für die Tunnelauthentifizierung
<a name="vpn-tunnel-authentication-options"></a>

Sie können vorinstallierte Schlüssel oder Zertifikate verwenden, um Ihre Site-to-Site VPN-Tunnel-Endpunkte zu authentifizieren.

## Pre-Shared-Key
<a name="pre-shared-keys"></a>

Ein Pre-Shared Key (PSK) ist die Standardauthentifizierungsoption für VPN-Tunnel. Site-to-Site Wenn Sie einen Tunnel erstellen, können Sie entweder Ihren eigenen PSK angeben oder zulassen AWS , dass einer automatisch für Sie generiert wird. Das PSK wird mit einer der folgenden Methoden gespeichert:
+ Direkt im Site-to-Site VPN-Dienst. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Kunden-Gateway-Geräte](your-cgw.md).
+ Auf der AWS Secrets Manager Suche nach verbesserter Sicherheit. Weitere Informationen zur Verwendung von Secrets Manager zum Speichern eines PSK finden Sie unter[Verbesserte Sicherheitsfunktionen mit Secrets Manager](enhanced-security.md).

Die PSK-Zeichenfolge wird dann bei der Konfiguration Ihres Kunden-Gateway-Geräts verwendet.

## Privates Zertifikat von AWS Private Certificate Authority
<a name="certificate"></a>

Wenn Sie keine Pre-Shared-Key verwenden möchten, können Sie ein privates Zertifikat von AWS Private Certificate Authority zur Authentifizierung Ihres VPNs verwenden. 

Sie müssen mit AWS Private Certificate Authority (AWS Private CA) ein privates Zertifikat von einer untergeordneten CA erstellen. Um die dem ACM untergeordnete CA zu signieren, können Sie eine ACM Stamm-CA oder eine externe CA verwenden. Für Informationen zum Erstellen eines privaten Zertifikats siehe [Erstellen und Verwalten einer privaten CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) im *AWS Private Certificate Authority -Benutzerhandbuch*.

Sie müssen eine dienstbezogene Rolle erstellen, um das Zertifikat für die AWS Seite des Site-to-Site VPN-Tunnelendpunkts zu generieren und zu verwenden. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).

**Anmerkung**  
Um reibungslose Zertifizierungsrotationen zu ermöglichen, reicht jedes Zertifikat mit derselben Zertifizierungsstellenkette wie das ursprünglich im `CreateCustomerGateway` API-Aufruf angegebene Zertifikat aus, um eine VPN-Verbindung herzustellen.

Wenn Sie die IP-Adresse Ihres Kunden-Gateway-Geräts nicht angeben, überprüfen wir die IP-Adresse nicht. Dieser Vorgang ermöglicht es Ihnen, das Kunden-Gateway-Gerät auf eine andere IP-Adresse zu verlegen, ohne die VPN-Verbindung neu konfigurieren zu müssen. 

Site-to-Site VPN führt eine Überprüfung der Zertifikatskette für das Kunden-Gateway-Zertifikat durch, wenn Sie ein VPN-Zertifikat erstellen. Zusätzlich zu den grundlegenden CA- und Gültigkeitsprüfungen prüft Site-to-Site VPN, ob die X.509-Erweiterungen vorhanden sind, einschließlich Authority Key Identifier, Subject Key Identifier und Basic Constraints.

# AWS Site-to-Site VPN Optionen zur Tunnelinitiierung
<a name="initiate-vpn-tunnels"></a>

Standardmäßig muss Ihr Kunden-Gateway-Gerät die Tunnel für Ihre Site-to-Site VPN-Verbindung aufrufen, indem es Datenverkehr generiert und den Internet Key Exchange (IKE) -Verhandlungsprozess einleitet. Sie können Ihre VPN-Tunnel so konfigurieren, dass sie angeben, dass stattdessen der IKE-Verhandlungsprozess initiiert oder neu gestartet werden AWS muss.

## Optionen zur IKE-Initiierung des VPN-Tunnels
<a name="ike-initiation-options"></a>

Die folgenden Optionen zur IKE-Initiierung sind verfügbar. Sie können eine oder beide Optionen für einen oder beide Tunnel in Ihrer Site-to-Site VPN-Verbindung implementieren. Weitere Informationen zu diesen und anderen Tunneloptionseinstellungen finden Sie unter [VPN-Tunneloptionen](VPNTunnels.md).
+ **Startaktion**: Die beim Einrichten des VPN-Tunnels für eine neue oder geänderte VPN-Verbindung auszuführende Aktion. Standardmäßig initiiert Ihr Kunden-Gateway-Gerät den IKE-Aushandlungsprozess, um den Tunnel aufzubauen. Sie können angeben, dass stattdessen der IKE-Verhandlungsprozess initiiert werden AWS muss.
+ **Aktion bei DPD-Timeout ** Die nach dem Timeout der Dead Peer Detection (DPD) auszuführende Aktion. Standardmäßig wird die IKE-Sitzung beendet, der Tunnel wird heruntergefahren und die Routen werden entfernt. Sie können angeben, dass die IKE-Sitzung neu gestartet AWS werden muss, wenn ein DPD-Timeout auftritt, oder Sie können angeben, dass bei einem DPD-Timeout keine Aktion ausgeführt AWS werden darf.

## Regeln und Einschränkungen
<a name="ike-initiation-rules"></a>

Die folgenden Regeln und Einschränkungen gelten:
+ Um die IKE-Verhandlung einzuleiten, AWS ist die öffentliche IP-Adresse Ihres Kunden-Gateway-Geräts erforderlich. Wenn Sie die zertifikatsbasierte Authentifizierung für Ihre VPN-Verbindung konfiguriert haben und bei der Erstellung der Kunden-Gateway-Ressource keine IP-Adresse angegeben haben AWS, müssen Sie ein neues Kunden-Gateway erstellen und die IP-Adresse angeben. Ändern Sie dann die VPN-Verbindung und geben Sie das neue Kunden-Gateway an. Weitere Informationen finden Sie unter [Das Kunden-Gateway für eine AWS Site-to-Site VPN Verbindung ändern](change-vpn-cgw.md).
+ Die IKE-Initiierung (Startaktion) von der AWS Seite der VPN-Verbindung aus wird nur für IKEv2 unterstützt.
+ Wenn die IKE-Initiierung von der AWS Seite der VPN-Verbindung aus verwendet wird, beinhaltet sie keine Timeout-Einstellung. Sie wird solange versuchen, eine Verbindung herzustellen, bis sie erfolgreich ist. Darüber hinaus initiiert die AWS Seite der VPN-Verbindung erneut die IKE-Verhandlung, wenn sie von Ihrem Kunden-Gateway eine SA-Döschmeldung erhält.
+ Wenn sich Ihr Kunden-Gateway-Gerät hinter einer Firewall oder einem anderen Gerät befindet, das Network Address Translation (NAT) verwendet, muss für dieses Gerät eine Identität (IDr) konfiguriert sein. Weitere Informationen dazu finden Sie IDr unter [RFC 7296](https://datatracker.ietf.org/doc/html/rfc7296).

Wenn Sie die IKE-Initiierung nicht von der AWS Seite für Ihren VPN-Tunnel konfigurieren und die VPN-Verbindung eine Zeit lang inaktiv ist (normalerweise 10 Sekunden, abhängig von Ihrer Konfiguration), kann der Tunnel ausfallen. Um dies zu verhindern, können Sie ein Tool zur Netzwerküberwachung verwenden, das „Keep-alive“-Pings generiert. 

## Arbeiten mit Optionen zur VPN-Tunnel-Initiierung
<a name="working-with-ike-initiation-options"></a>

Weitere Informationen zum Arbeiten mit den Optionen zur VPN-Tunnel-Initiierung finden Sie in den folgenden Themen:
+ So erstellen Sie eine neue VPN-Verbindung und geben die Optionen zur VPN-Tunnel-Initiierung an: [Schritt 5: Eine VPN-Verbindung erstellen](SetUpVPNConnections.md#vpn-create-vpn-connection)
+ So ändern Sie die Optionen zur VPN-Tunnel-Initiierung für eine vorhandene VPN-Verbindung: [AWS Site-to-Site VPN Tunneloptionen ändern](modify-vpn-tunnel-options.md) 

# AWS Site-to-Site VPN Ersatz von Tunnelendpunkten
<a name="endpoint-replacements"></a>

Ihre Site-to-Site VPN-Verbindung besteht aus Redundanzgründen aus zwei VPN-Tunneln. Manchmal werden einer oder beide VPN-Tunnel-Endpunkte ersetzt, wenn AWS Tunnelaktualisierungen durchgeführt werden oder wenn Sie Ihre VPN-Verbindung ändern. Während eines Austauschs des Tunnelendpunkts kann die Konnektivität über den Tunnel unterbrochen werden, während der neue Tunnelendpunkt bereitgestellt wird.

**Topics**
+ [

## Kunde hat den Austausch von Endpunkten initiiert
](#endpoint-replacements-for-vpn-modifications)
+ [

## Von AWS verwalteter Endpunktaustausch
](#endpoint-replacements-for-aws-updates)
+ [

# AWS Site-to-Site VPN Kontrolle des Lebenszyklus von Tunnelendpunkten
](tunnel-endpoint-lifecycle.md)

## Kunde hat den Austausch von Endpunkten initiiert
<a name="endpoint-replacements-for-vpn-modifications"></a>

Wenn Sie die folgenden Komponenten Ihrer VPN-Verbindung ändern, werden einer oder beide Ihrer Tunnelendpunkte ersetzt.


| Änderung | API-Aktion | Auswirkungen auf den Tunnel | 
| --- | --- | --- | 
| [Ändern des Ziel-Gateways für die VPN-Verbindung](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Während neue Tunnelendpunkte bereitgestellt werden, sind beide Tunnel nicht verfügbar | 
| [Ändern des Kunden-Gateways für die VPN-Verbindung](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | Während neue Tunnelendpunkte bereitgestellt werden, sind beide Tunnel nicht verfügbar | 
| [Ändern der VPN-Verbindungsoptionen](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | Während neue Tunnelendpunkte bereitgestellt werden, sind beide Tunnel nicht verfügbar | 
| [Ändern der VPN-Tunneloptionen](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | Während des Updates ist der jeweils geänderte Tunnel nicht verfügbar. | 

## Von AWS verwalteter Endpunktaustausch
<a name="endpoint-replacements-for-aws-updates"></a>

AWS Site-to-Site VPN ist ein verwalteter Dienst und aktualisiert Ihre VPN-Tunnel-Endpunkte regelmäßig. Diese Updates finden aus verschiedenen Gründen statt, beispielsweise den folgenden:
+ Für allgemeine Upgrades, z. B. Patches, Verbesserungen der Ausfallsicherheit und andere Verbesserungen
+ Um zugrunde liegende Hardware außer Betrieb zu nehmen
+ Wenn die automatische Überwachung feststellt, dass ein VPN-Tunnelendpunkt fehlerhaft ist

AWS wendet Tunnelendpunkt-Updates auf jeweils einen Tunnel Ihrer VPN-Verbindung an. Während der Aktualisierung der Tunnelendpunkte kommt es bei Ihrer VPN-Verbindung möglicherweise zu einem kurzzeitigen Redundanzverlust. Sie müssen aus demselben Grund auch in Ihrer VPN-Verbindung beide Tunnel konfigurieren, um zumindest hohe Verfügbarkeit sicherzustellen.

# AWS Site-to-Site VPN Kontrolle des Lebenszyklus von Tunnelendpunkten
<a name="tunnel-endpoint-lifecycle"></a>

Die Lebenszykluskontrolle von Tunnelendpunkten bietet die Kontrolle über den Zeitplan für den Austausch von Endpunkten und kann dazu beitragen, Verbindungsunterbrechungen beim Austausch AWS verwalteter Tunnelendpunkte zu minimieren. Mit dieser Funktion können Sie festlegen, dass AWS verwaltete Updates für Tunnel-Endpunkte zu einem Zeitpunkt akzeptiert werden, der für Ihr Unternehmen am besten geeignet ist. Verwenden Sie diese Funktion bei kurzfristigen Geschäftsanforderungen, oder wenn Sie nur einen einzigen Tunnel pro VPN-Verbindung unterstützen können.

**Anmerkung**  
In seltenen Fällen AWS können wichtige Updates sofort auf Tunnelendpunkte angewendet werden, auch wenn die Funktion zur Lebenszykluskontrolle von Tunnelendpunkten aktiviert ist.

**Topics**
+ [

## So funktioniert die Steuerung des Lebenszyklus von Tunnelendpunkten
](#how-elc-works)
+ [Steuerung des Lebenszyklus von Tunnelendpunkten](enable-elc.md)
+ [Überprüfen, ob die Steuerung des Lebenszyklus von Tunnelendpunkten aktiviert ist](view-elc-status.md)
+ [Nach verfügbaren Updates suchen](view-elc-updates.md)
+ [Wartungs-Update annehmen](accept-update.md)
+ [Steuerung des Lebenszyklus von Tunnelendpunkten deaktivieren](turn-elc-off.md)

## So funktioniert die Steuerung des Lebenszyklus von Tunnelendpunkten
<a name="how-elc-works"></a>

Aktivieren Sie die Funktion zur Steuerung des Lebenszyklus von Tunnelendpunkten für einzelne Tunnel innerhalb einer VPN-Verbindung. Sie kann zum Zeitpunkt der VPN-Erstellung oder durch Ändern der Tunneloptionen für eine bestehende VPN-Verbindung aktiviert werden.

Nachdem die Steuerung des Lebenszyklus von Tunnelendpunkten aktiviert ist, erhalten Sie auf zwei Arten zusätzliche Einblicke in bevorstehende Tunnelwartungsereignisse:
+ Sie erhalten AWS Health Benachrichtigungen über bevorstehende Austauscharbeiten an Tunnelendpunkten.
+ Der Status der ausstehenden Wartung sowie die Zeitstempel **Wartung auto angewendet nach** und **Letzte Wartung angewendet** können Sie im AWS-Managementkonsole oder mithilfe des Befehls [get-vpn-tunnel-replacement-status einsehen](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) AWS CLI .

Wenn eine Wartung für Tunnelendpunkte verfügbar ist, haben Sie die Möglichkeit, das Update zu einem für Sie passenden Zeitpunkt vor dem angegebenen **Wartung automatisch angewendet nach**-Zeitstempel zu akzeptieren.

Wenn Sie Updates nicht vor **dem Datum der auto Wartung** anwenden, AWS wird der Tunnelendpunkt bald darauf automatisch als Teil des regulären Wartungsupdatezyklus ausgetauscht.

# Aktivieren Sie die Lebenszykluskontrolle der AWS Site-to-Site VPN Tunnelend
<a name="enable-elc"></a>

Die Endpoint Lifecycle Control kann für eine bestehende oder neue VPN-Verbindung aktiviert werden. Dies kann entweder mit dem AWS-Managementkonsole oder geschehen AWS CLI.

**Anmerkung**  
Wenn Sie die Funktion für eine vorhandene VPN-Verbindung aktivieren, wird standardmäßig gleichzeitig ein Austausch von Tunnelendpunkten initiiert. Wenn Sie die Funktion aktivieren, aber nicht sofort einen Austausch von Tunnelendpunkten einleiten möchten, können Sie die Option **Tunnelaustausch überspringen** verwenden.

------
#### [ Existing VPN connection ]

Die folgenden Schritte zeigen, wie Sie die Steuerung des Lebenszyklus von Tunnelendpunkten für eine vorhandene VPN-Verbindung aktivieren.

**Um die Lebenszykluskontrolle von Tunnelendpunkten mit dem zu aktivieren AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im linken Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie unter **VPN-Verbindungen** die entsprechende Verbindung aus.

1. Wählen Sie **Aktionen** und anschließend **Optionen für den VPN-Tunnel ändern** aus.

1. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **Externe IP-Adresse für VPN-Tunnel** auswählen.

1. Aktivieren Sie unter **Steuerung des Lebenszyklus von Tunnelendpunkten** das Kontrollkästchen **Aktivieren**.

1. (Optional) Wählen Sie **Tunnelaustausch überspringen** aus.

1. Wählen Sie **Änderungen speichern ** aus.

**Um die Lebenszykluskontrolle von Tunnelendpunkten mit dem zu aktivieren AWS CLI**  
Verwenden Sie den [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)Befehl, um die Lebenszykluskontrolle für Tunnelendpunkte zu aktivieren.

------
#### [ New VPN connection ]

Die folgenden Schritte zeigen, wie Sie die Steuerung des Lebenszyklus von Tunnelendpunkten während der Erstellung einer neuen VPN-Verbindung aktivieren.

**Um die Lebenszykluskontrolle von Tunnelendpunkten während der Erstellung einer neuen VPN-Verbindung zu aktivieren, verwenden Sie den AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Site-to-Site VPN Connections** aus.

1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus.

1. Wählen Sie in den Abschnitten für **Optionen für Tunnel 1** und **Optionen für Tunnel 2** unter **Steuerung des Lebenszyklus von Tunnelendpunkten** die Option **Aktivieren** aus.

1. Wählen Sie **Create VPN Connection (VPN-Verbindung erstellen)** aus.

**Um die Lebenszykluskontrolle von Tunnelendpunkten während der Erstellung einer neuen VPN-Verbindung zu aktivieren, verwenden Sie den AWS CLI**  
Verwenden Sie den [create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)Befehl, um die Lebenszykluskontrolle für Tunnelendpunkte zu aktivieren.

------

# Überprüfen Sie, ob die Lebenszykluskontrolle für AWS Site-to-Site VPN Tunnelendpunkte aktiviert ist
<a name="view-elc-status"></a>

Mithilfe der CLI AWS-Managementkonsole oder können Sie überprüfen, ob die Lebenszykluskontrolle für Tunnelendpunkte in einem vorhandenen VPN-Tunnel aktiviert ist. 
+ Wenn die Lebenszykluskontrolle für Tunnelendpunkte deaktiviert ist und Sie sie aktivieren möchten, finden Sie weitere Informationen unter[Steuerung des Lebenszyklus von Tunnelendpunkten](enable-elc.md).
+ Wenn die Lebenszykluskontrolle für Tunnelendpunkte aktiviert ist und Sie sie deaktivieren möchten, finden Sie weitere Informationen unter[Steuerung des Lebenszyklus von Tunnelendpunkten deaktivieren](turn-elc-off.md).

**Um zu überprüfen, ob Tunnel Endpoint Lifecycle Control aktiviert ist, verwenden Sie den AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im linken Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie unter **VPN-Verbindungen** die entsprechende Verbindung aus.

1. Wählen Sie die Registerkarte **Tunneldetails** aus.

1. Suchen Sie in den Tunneldetails nach **Steuerung des Lebenszyklus von Tunnelendpunkten**. Dies meldet, ob die Funktion **Aktiviert** der **Deaktiviert** ist. 

**Um zu überprüfen, ob die Lebenszykluskontrolle von Tunnel-Endpunkten aktiviert ist, verwenden Sie den AWS CLI**  
Verwenden Sie den [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)Befehl, um zu überprüfen, ob die Lebenszykluskontrolle für Tunnelendpunkte aktiviert ist.

# Suchen Sie nach verfügbaren AWS Site-to-Site VPN Tunnel-Updates
<a name="view-elc-updates"></a>

Nachdem Sie die Funktion für die Steuerung des Lebenszyklus von Tunnelendpunkten aktiviert haben, können Sie mit der AWS-Managementkonsole oder der CLI anzeigen, ob ein Wartungs-Update für Ihre VPN-Verbindung verfügbar ist. Bei der Suche nach einem verfügbaren Site-to-Site VPN-Tunnel-Update wird das Update nicht automatisch heruntergeladen und bereitgestellt. Sie können wählen, wann Sie es bereitstellen möchten. Die Schritte zum Herunterladen und Bereitstellen eines Updates finden Sie unter[Wartungs-Update annehmen](accept-update.md). 

**Um nach verfügbaren Updates zu suchen, verwenden Sie den AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im linken Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie unter **VPN-Verbindungen** die entsprechende Verbindung aus.

1. Wählen Sie die Registerkarte **Tunneldetails** aus.

1. Überprüfen Sie die Spalte **Ausstehende Wartung**. Der Status lautet entweder **Verfügbar** oder **Keine**.

**Um nach verfügbaren Updates zu suchen, verwenden Sie den AWS CLI**  
Verwenden Sie den Befehl [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html), um nach verfügbaren Updates zu suchen.

# Akzeptieren Sie ein Update zur AWS Site-to-Site VPN Tunnelwartung
<a name="accept-update"></a>

Wenn ein Wartungsupdate verfügbar ist, können Sie es mit der AWS-Managementkonsole oder CLI akzeptieren. Sie können das Wartungsupdate für den Site-to-Site VPN-Tunnel zu einem für Sie passenden Zeitpunkt akzeptieren. Sobald Sie das Wartungsupdate akzeptiert haben, wird es bereitgestellt. 

**Anmerkung**  
Wenn Sie das Wartungsupdate nicht akzeptieren, AWS wird es automatisch während eines regulären Wartungsupdate-Zyklus bereitgestellt. 

**Um ein verfügbares Wartungsupdate zu akzeptieren, verwenden Sie den AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im linken Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie unter **VPN-Verbindungen** die entsprechende Verbindung aus.

1. Wählen Sie **Aktionen** und dann **VPN-Tunnel austauschen** aus.

1. Wählen Sie den auszutauschenden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **Externe IP-Adresse des VPN-Tunnels** auswählen.

1. Wählen Sie **Replace (Ersetzen)** aus.

**Um ein verfügbares Wartungsupdate zu akzeptieren, verwenden Sie den AWS CLI**  
Verwenden Sie den [replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)Befehl, um ein verfügbares Wartungsupdate zu akzeptieren.

# Schalten Sie die Lebenszykluskontrolle für AWS Site-to-Site VPN Tunnelendpunkte aus
<a name="turn-elc-off"></a>

Wenn Sie die Funktion zur Lebenszykluskontrolle von Tunnelendpunkten nicht mehr verwenden möchten, können Sie sie mit dem AWS-Managementkonsole oder dem deaktivieren AWS CLI. Wenn Sie diese Funktion deaktivieren, stellt AWS Wartungs-Updates automatisch in regelmäßigen Abständen bereit. Diese Updates können während Ihrer Geschäftszeiten erfolgen. Um Auswirkungen auf das Geschäft zu vermeiden, empfehlen wir dringend, beide Tunnel in Ihrer VPN-Verbindung für hohe Verfügbarkeit zu konfigurieren.

**Anmerkung**  
Bei deaktivierter Funktion ist zwar eine ausstehende Wartung verfügbar, doch können Sie die Option **Tunnelaustausch überspringen** nicht angeben. Sie können die Funktion jederzeit ausschalten, ohne die Option **Tunnelersetzung überspringen** zu verwenden. Die verfügbaren ausstehenden Wartungsupdates AWS werden jedoch automatisch bereitgestellt, indem sofort ein Austausch der Tunnelendpunkte eingeleitet wird.

**Um die Lebenszykluskontrolle von Tunnelendpunkten zu deaktivieren, verwenden Sie AWS-Managementkonsole**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im linken Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.

1. Wählen Sie unter **VPN-Verbindungen** die entsprechende Verbindung aus.

1. Wählen Sie **Aktionen** und anschließend **Optionen für den VPN-Tunnel ändern** aus.

1. Wählen Sie den zu ändernden Tunnel aus, indem Sie die entsprechende IP-Adresse in der Liste **Externe IP-Adresse für VPN-Tunnel** auswählen.

1. Wenn Sie die Steuerung des Lebenszyklus von Tunnelendpunkten deaktivieren möchten, löschen Sie unter **Steuerung des Lebenszyklus von Tunnelendpunkten** das Kontrollkästchen **Aktivieren**.

1. (Optional) Wählen Sie **Tunnelaustausch überspringen** aus.

1. Wählen Sie **Änderungen speichern ** aus.

**Um die Lebenszykluskontrolle von Tunnelendpunkten zu deaktivieren, verwenden Sie den AWS CLI**  
Verwenden Sie den [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)Befehl, um die Lebenszykluskontrolle für Tunnelendpunkte zu deaktivieren.

# Kunden-Gateway-Optionen für Ihre AWS Site-to-Site VPN Verbindung
<a name="cgw-options"></a>

Die folgende Tabelle enthält die Informationen, die Sie zum Erstellen einer Customer-Gateway-Ressource in benötige AWS.


| Item | Beschreibung | 
| --- | --- | 
|  (Optional) Name-Tag.  | Dadurch wird eine Markierung mit dem Schlüssel „Name“ und einem von Ihnen angegebenen Wert erstellt. | 
|  (Nur dynamisches Routing) BGP ASN (Border Gateway Protocol Autonomous System Number) Ihres Kunden-Gateways.  |  ASN im Bereich von 1—4.294.967.295 wird unterstützt. Sie können eine bereits zu Ihrem Netzwerk zugewiesene öffentliche ASN verwenden, mit Ausnahme der folgenden: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/cgw-options.html) Wenn Sie keine öffentliche ASN haben, können Sie eine private ASN im Bereich von 64.512—65.534 oder 4.200.000.000—4.294.967.294 verwenden. Die Standard-ASN ist 64512. Weitere Informationen zum Routing finden Sie unter. [AWS Site-to-Site VPN Routing-Optionen](VPNRoutingTypes.md)  | 
|  Die IP-Adresse der externen Schnittstelle des Kunden-Gateway-Geräts.  |  Die IP-Adresse muss statisch sein und kann entweder IPv4 oder lauten IPv6. Für IPv4 Adressen: Wenn sich Ihr Kunden-Gateway-Gerät hinter einem NAT-Gerät (Network Address Translation) befindet, verwenden Sie die IP-Adresse Ihres NAT-Geräts. Stellen Sie außerdem sicher, dass UDP-Pakete auf Port 500 (und Port 4500, falls NAT-Traversal verwendet wird) zwischen Ihrem Netzwerk und den AWS Site-to-Site VPN Endpunkten übertragen werden dürfen. Weitere Informationen finden Sie unter [Firewall-Regeln](FirewallRules.md). Für IPv6 Adressen: Die Adresse muss eine gültige, über das Internet routingfähige Adresse sein. IPv6 IPv6 Adressen werden nur für VPN-Verbindungen auf einem Transit-Gateway oder Cloud-WAN unterstützt. Eine IP-Adresse ist nicht erforderlich, wenn Sie ein privates Zertifikat von AWS Private Certificate Authority und ein öffentliches VPN verwenden.  | 
| (Optional) Privates Zertifikat von einer untergeordneten Zertifizierungsstelle unter Verwendung von AWS Certificate Manager (ACM). | Wenn Sie zertifikatsbasierte Authentifizierung verwenden möchten, geben Sie den ARN eines privaten ACM-Zertifikats an, das auf Ihrem Kunden-Gateway-Gerät verwendet werden soll. Wenn Sie ein Kunden-Gateway erstellen, können Sie das Kunden-Gateway so konfigurieren, dass AWS Private Certificate Authority private Zertifikate zur Authentifizierung des VPN verwendet werden. Site-to-Site Wenn Sie sich für diese Option entscheiden, erstellen Sie eine vollständig AWS gehostete private Zertifizierungsstelle (CA) für den internen Gebrauch in Ihrem Unternehmen. Sowohl das Root-CA-Zertifikat als auch die untergeordneten CA-Zertifikate werden von gespeichert und verwaltet. AWS Private CA Bevor Sie das Kunden-Gateway erstellen, erstellen Sie mithilfe AWS Private Certificate Authority von einer untergeordneten Zertifizierungsstelle ein privates Zertifikat und geben das Zertifikat dann bei der Konfiguration des Kunden-Gateways an. Für Informationen zum Erstellen eines privaten Zertifikats siehe [Eine private CA erstellen und verwalten](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) im *AWS Private Certificate Authority -Benutzerhandbuch*. | 
|  (Optional) Gerät.  | Ein Name für das Kunden-Gateway-Gerät ein, das diesem Kunden-Gateway zugeordnet ist. | 

## IPv6 Kunden-Gateway-Optionen
<a name="ipv6-customer-gateway-options"></a>

Beachten Sie beim Erstellen eines Kunden-Gateways mit einer IPv6 Adresse Folgendes:
+ IPv6 Kunden-Gateways werden nur für VPN-Verbindungen auf einem Transit-Gateway oder Cloud-WAN unterstützt.
+ Die IPv6 Adresse muss eine gültige, über das Internet IPv6 routbare Adresse sein.
+ Ihr Kunden-Gateway-Gerät muss IPv6 Adressierung unterstützen und in der Lage sein, IPsec Tunnel mit Endpunkten einzurichten. IPv6 
+ Um ein IPv6 Kunden-Gateway mit der AWS-CLI zu erstellen, verwenden Sie eine IPv6 Adresse für den `--ip-address` Parameter:

  ```
  aws ec2 create-customer-gateway --ip-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
  ```

# Beschleunigte AWS Site-to-Site VPN Verbindungen
<a name="accelerated-vpn"></a>

Sie können optional die Beschleunigung für Ihre Site-to-Site VPN-Verbindung aktivieren. Eine beschleunigte Site-to-Site VPN-Verbindung (beschleunigte VPN-Verbindung) leitet AWS Global Accelerator den Datenverkehr von Ihrem lokalen Netzwerk zu einem AWS Edge-Standort weiter, der Ihrem Kunden-Gateway-Gerät am nächsten liegt.AWS Global Accelerator optimiert den Netzwerkpfad und verwendet das AWS globale Netzwerk ohne Überlastung, um den Datenverkehr an den Endpunkt weiterzuleiten, der die beste Anwendungsleistung bietet (weitere Informationen finden Sie unter). [AWS Global Accelerator](https://aws.amazon.com/global-accelerator/) Sie können eine beschleunigte VPN-Verbindung verwenden, um Netzwerkunterbrechungen zu vermeiden, die auftreten können, wenn der Datenverkehr über das öffentliche Internet geroutet wird.

Wenn Sie eine beschleunigte VPN-Verbindung erstellen, erstellen und verwalten wir in Ihrem Namen zwei Beschleuniger, einen für jeden VPN-Tunnel. Sie können diese Beschleuniger nicht selbst anzeigen oder verwalten, indem Sie die Konsole oder verwenden.AWS Global Accelerator APIs

Informationen zu den AWS Regionen, die Accelerated VPN-Verbindungen unterstützen, finden Sie unter [AWS Accelerated Site-to-Site VPN FAQs](https://aws.amazon.com/vpn/faqs/).

## Aktivieren der Beschleunigung
<a name="accelerated-vpn-enabling"></a>

Wenn Sie eine Site-to-Site VPN-Verbindung erstellen, ist die Beschleunigung standardmäßig deaktiviert. Sie können optional die Beschleunigung aktivieren, wenn Sie einen neuen Site-to-Site VPN-Anhang auf einem Transit-Gateway erstellen. Weitere Informationen und Schritte finden Sie unter [Eine AWS Site-to-Site VPN Verbindung herstellen](create-vpn-connection.md).

Beschleunigte VPN-Verbindungen verwenden einen separaten Pool von IP-Adressen für die IP-Adressen der Tunnelendpunkte. Die IP-Adressen für die beiden VPN-Tunnel werden aus zwei separaten [Netzwerkzonen](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-components.html) ausgewählt.

## Regeln und Einschränkungen
<a name="accelerated-vpn-rules"></a>

Für die Verwendung einer beschleunigten VPN-Verbindung gelten die folgenden Regeln:
+ Die Beschleunigung wird nur für Site-to-Site VPN-Verbindungen unterstützt, die an ein Transit-Gateway angeschlossen sind. Virtual Private Gateways unterstützen keine beschleunigten VPN-Verbindungen.
+ Eine beschleunigte Site-to-Site VPN-Verbindung kann nicht mit einer AWS Direct Connectöffentlichen virtuellen Schnittstelle verwendet werden.
+ Sie können die Beschleunigung für eine bestehende Site-to-Site VPN-Verbindung nicht ein- oder ausschalten. Stattdessen können Sie je nach Bedarf eine neue Site-to-Site VPN-Verbindung mit aktivierter oder deaktivierter Beschleunigung erstellen. Konfigurieren Sie dann Ihr Kunden-Gateway-Gerät so, dass es die neue Site-to-Site VPN-Verbindung verwendet, und löschen Sie die alte Site-to-Site VPN-Verbindung. 
+ NAT-Traversal (NAT-T) ist für eine beschleunigte VPN-Verbindung erforderlich und ist standardmäßig aktiviert. Wenn Sie eine [Konfigurationsdatei](SetUpVPNConnections.md#vpn-download-config) von der Amazon VPC-Konsole heruntergeladen haben, sollten Sie die NAT-T-Einstellung prüfen und bei Bedarf anpassen.
+ Die IKE-Verhandlung für beschleunigte VPN-Tunnel muss vom Gateway-Gerät des Kunden aus initiiert werden. Die beiden Tunneloptionen, die sich auf dieses Verhalten auswirken, sind `Startup Action` und`DPD Timeout Action`. Weitere Informationen finden Sie unter [VPN-Tunneloptionen](VPNTunnels.md) und [Optionen zur Initiierung des VPN-Tunnels](initiate-vpn-tunnels.md).
+ Site-to-Site VPN-Verbindungen, die zertifikatsbasierte Authentifizierung verwenden, sind möglicherweise nicht kompatibel mit AWS Global Accelerator, da die Paketfragmentierung in Global Accelerator nur eingeschränkt unterstützt wird. Weitere Informationen finden Sie unter [Die Funktionsweise von AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-how-it-works.html). Wenn Sie eine beschleunigte VPN-Verbindung benötigen, die zertifikatbasierte Authentifizierung verwendet, muss Ihr Kunden-Gateway-Gerät die IKE-Fragmentierung unterstützen. Andernfalls aktivieren Sie Ihr VPN nicht für die Beschleunigung.

# AWS Site-to-Site VPN Routing-Optionen
<a name="VPNRoutingTypes"></a>

AWS empfiehlt, bestimmte BGP-Routen anzukündigen, um die Routing-Entscheidungen im Virtual Private Gateway zu beeinflussen. Überprüfen Sie in der Herstellerdokumentation die Befehle, die für Ihr Gerät spezifisch sind.

Wenn Sie mehrere VPN-Verbindungen erstellen, sendet das Virtual Private Gateway Datenverkehr mithilfe von statisch zugewiesenen Routen oder BGP-Routenankündigungen an die passende VPN-Verbindung. Die Route hängt davon ab, wie die VPN-Verbindung konfiguriert wurde. Wenn identische Routen im virtuellen privaten Gateway vorhanden sind, werden statisch zugewiesene Routen gegenüber per BGP angekündigten Routen bevorzugt. Wenn Sie BGP-Ankündigungen verwenden, können Sie keine statischen Routen angeben.

Weitere Informationen zur Routenpriorität finden Sie unter [Routentabellen und Routenpriorität](vpn-route-priority.md).

Wenn Sie eine Site-to-Site VPN-Verbindung herstellen, müssen Sie wie folgt vorgehen:
+ Geben Sie den Routing-Typ an (statisch oder dynamisch), den Sie verwenden möchten
+ Aktualisieren der [Routing-Tabelle](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) für Ihr Subnetz

Es gibt Einschränkungen im Hinblick auf die Anzahl der Routen, die Sie einer Routing-Tabelle hinzufügen können. Weitere Informationen finden Sie im Abschnitt „Routing-Tabellen“ in [Amazon VPC-Kontingenten](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) im *Amazon VPC-Benutzerhandbuch*.

**Topics**
+ [Statisches und dynamisches Routing](vpn-static-dynamic.md)
+ [Routentabellen und Routenpriorität](vpn-route-priority.md)
+ [Routing während VPN-Tunnelendpunkt-Updates](routing-vpn-tunnel-updates.md)
+ [IPv4 und IPv6 Verkehr](ipv4-ipv6.md)

# Statisches und dynamisches Routing in AWS Site-to-Site VPN
<a name="vpn-static-dynamic"></a>

Der Routing-Typ, den Sie auswählen, hängt von der Marke und dem Modell Ihres Kunden-Gateway-Geräts ab. Wenn Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt, geben Sie bei der Konfiguration Ihrer Site-to-Site VPN-Verbindung dynamisches Routing an. Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, geben Sie das statische Routing an.

**Anmerkung**  
Site-to-Site VPN-Konzentratoren unterstützen nur BGP-Routing. Statisches Routing wird für VPN-Verbindungen, die einen Site-to-Site VPN Concentrator verwenden, nicht unterstützt.

Wenn Sie ein Gerät verwenden, das BGP-Werbung unterstützt, geben Sie keine statischen Routen für die Site-to-Site VPN-Verbindung an, da das Gerät BGP verwendet, um seine Routen zum Virtual Private Gateway bekannt zu geben. Wenn Sie ein Gerät verwenden, das BGP-Advertising nicht unterstützt, müssen Sie das statische Routing auswählen und die Routen (IP-Präfixe) für Ihr Netzwerk eingeben, die dem Virtual Private Gateway mitgeteilt werden sollen. 

Wir empfehlen, dass Sie, sofern verfügbar, BGP-fähige Geräte verwenden, da das BGP-Protokoll eine zuverlässige Lebenderkennung bietet, die bei einem Ausfall des ersten VPN-Tunnels einen Failover auf den zweiten Tunnel ausführt. Geräte, die BGP nicht unterstützen, können bei Bedarf auch Zustandsprüfungen vornehmen, um einen Failover auf dem zweiten Tunnel auszuführen.

Sie müssen Ihr Kunden-Gateway-Gerät so konfigurieren, dass der Datenverkehr von Ihrem lokalen Netzwerk zur VPN-Verbindung weitergeleitet wird Site-to-Site. Die Konfiguration hängt von der Marke und dem Modell Ihres Geräts ab. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Kunden-Gateway-Geräte](your-cgw.md).

# Routentabellen und AWS Site-to-Site VPN Routenpriorität
<a name="vpn-route-priority"></a>

[Routing-Tabellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) bestimmen, wohin der Netzwerkverkehr von Ihrer VPC geleitet wird. Sie müssen Ihrer VPC-Routing-Tabelle eine Route für Ihr Remote-Netzwerk hinzufügen und das Virtual Private Gateway als Ziel angeben. Dadurch wird der Datenverkehr von Ihrer VPC, der für Ihr Remote-Netzwerk vorgesehen ist, über das virtuelle private Gateway und über einen der VPN-Tunnel geleitet. Sie können die Option Route Propagation für Ihre Routing-Tabelle aktivieren, damit Ihre Netzwerk-Routen automatisch an die Routing-Tabelle weitergeleitet werden. 

Wir verwenden die spezifischste mit dem Datenverkehr übereinstimmende Route in der Routing-Tabelle, um Datenverkehr weiterzuleiten (Übereinstimmung mit längstem Präfix). Wenn Ihre Routing-Tabelle sich überschneidende oder übereinstimmende Routen enthält, gelten die folgenden Regeln:
+ Wenn sich propagierte Routen von einer Site-to-Site VPN-Verbindung oder Direct Connect Verbindung mit der lokalen Route für Ihre VPC überschneiden, wird die lokale Route am meisten bevorzugt, auch wenn die propagierten Routen spezifischer sind. 
+ Wenn weitergegebene Routen von einer Site-to-Site VPN-Verbindung oder Direct Connect -Verbindung denselben Ziel-CIDR-Block wie andere bestehende statische Routen haben (die längste Präfixübereinstimmung kann nicht angewendet werden), priorisieren wir die statischen Routen, deren Ziele ein Internet-Gateway, ein virtuelles privates Gateway, eine Netzwerkschnittstelle, eine Instanz-ID, eine VPC-Peering-Verbindung, ein NAT-Gateway, ein Transit-Gateway oder ein Gateway-VPC-Endpunkt sind.

Die folgende Routing-Tabelle enthält z. B. eine statische Route zu einem Internet-Gateway und eine propagierte Route zu einem Virtual Private Gateway. Beide Routen haben den Zielbereich `172.31.0.0/24`. In diesem Fall wird der gesamte Datenverkehr für `172.31.0.0/24` an das Internet-Gateway geleitet, da die statische Route gegenüber der propagierten Route Priorität hat.


| Zielbereich | Ziel | 
| --- | --- | 
| 10.0.0.0/16 | Local | 
| 172.31.0.0/24 | vgw-11223344556677889 (propagiert) | 
| 172.31.0.0/24 | igw-12345678901234567 (statisch) | 

Nur IP-Präfixe, die dem Virtual Private Gateway bekannt sind, entweder durch BGP-Ankündigungen oder durch einen statischen Routing-Eintrag, können Datenverkehr von Ihrer VPC empfangen. Das virtuelle private Gateway leitet keinen Datenverkehr weiter, der nicht durch empfangene BGP-Ankündigungen, statische Routing-Einträge oder das zugeordnete VPC CIDR abgedeckt ist. Virtuelle private Gateways unterstützen keinen Datenverkehr. IPv6 

Wenn ein virtuelles privates Gateway Routing-Informationen empfängt, bestimmt es anhand der Pfadauswahl, wie der Datenverkehr geleitet wird. Die längste Präfixübereinstimmung gilt, wenn alle Endpunkte fehlerfrei sind. Der Zustand eines Tunnelendpunkts hat Vorrang vor anderen Routing-Attributen. Dieser Vorrang gilt für virtuelle private Gateways und Transit-Gateways. VPNs Wenn die Präfixe gleich sind, dann priorisiert das Virtual Private Gateway die Routen wie folgt (von den am meisten bevorzugten zu den am wenigsten bevorzugten): 
+ BGP hat Routen von einer Verbindung aus weitergegeben Direct Connect 

  Blackhole-Routen werden nicht über BGP an ein Site-to-Site VPN-Kunden-Gateway weitergegeben. 
+ Manuell hinzugefügte statische Routen für eine VPN-Verbindung Site-to-Site
+ BGP hat Routen von einer Site-to-Site VPN-Verbindung aus weitergegeben
+ Für übereinstimmende Präfixe, bei denen jede Site-to-Site VPN-Verbindung BGP verwendet, wird der AS-PATH verglichen und das Präfix mit dem kürzesten AS-PATH bevorzugt.
**Anmerkung**  
AWS empfiehlt dringend, Kunden-Gateway-Geräte zu verwenden, die asymmetrisches Routing unterstützen.  
Für Kunden-Gateway-Geräte, die asymmetrisches Routing unterstützen, empfehlen wir *nicht*, AS PATH prepending zu verwenden, um sicherzustellen, dass beide Tunnel gleichermaßen über AS PATH verfügen. Dadurch wird sichergestellt, dass der multi-exit discriminator(MED)-Wert, den wir während der [VPN-Tunnelendpunkt-Updates](routing-vpn-tunnel-updates.md) für einen Tunnel festgelegt haben, für die Bestimmung der Tunnelpriorität verwendet wird.  
Bei Kunden-Gateway-Geräten, die kein asymmetrisches Routing unterstützen, können Sie ein vorangestelltes AS PATH sowie Local-Preference verwenden, um einen Tunnel dem anderen gegenüber zu bevorzugen. Wenn sich der Ausgangspfad jedoch ändert, kann dies zu einem Rückgang des Datenverkehrs führen.
+ Wenn PATHs die AS dieselbe Länge haben und wenn das erste AS in AS\$1SEQUENCE über mehrere Pfade hinweg identisch ist, werden multi-exit discriminators (MEDs) verglichen. Der Pfad mit dem niedrigsten MED-Wert wird bevorzugt.

Die Routenpriorität ist während [VPN-Tunnelendpunkt-Updates](routing-vpn-tunnel-updates.md) betroffen.

 AWS Wählt bei einer Site-to-Site VPN-Verbindung einen der beiden redundanten Tunnel als primären Ausgangspfad aus. Diese Auswahl kann sich gelegentlich ändern. Es wird nachdrücklich empfohlen, beide Tunnel für hohe Verfügbarkeit zu konfigurieren und asymmetrisches Routing zu gewähren. Der Zustand eines Tunnelendpunkts hat Vorrang vor anderen Routing-Attributen. Diese Priorität gilt für virtuelle private Gateways und Transit-Gateways. VPNs 

Für ein virtuelles privates Gateway wird ein Tunnel für alle Site-to-Site VPN-Verbindungen auf dem Gateway ausgewählt. Um mehr als einen Tunnel zu verwenden, empfehlen wir, Equal Cost Multipath (ECMP) zu erkunden, das für Site-to-Site VPN-Verbindungen auf einem Transit-Gateway unterstützt wird. Weitere Informationen finden Sie unter [Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) in *Amazon VPC-Transit-Gateways*. ECMP wird für Site-to-Site VPN-Verbindungen auf einem Virtual Private Gateway nicht unterstützt.

Bei Site-to-Site VPN-Verbindungen, die BGP verwenden, kann der primäre Tunnel anhand des Werts multi-exit discriminator (MED) identifiziert werden. Wir empfehlen, spezifischere BGP-Routen zu bewerben, um Routing-Entscheidungen zu beeinflussen. 

Bei Site-to-Site VPN-Verbindungen, die statisches Routing verwenden, kann der primäre Tunnel anhand von Verkehrsstatistiken oder Metriken identifiziert werden. 

# Routing während VPN-Tunnelendpunkt-Updates
<a name="routing-vpn-tunnel-updates"></a>

Eine Site-to-Site VPN-Verbindung besteht aus zwei VPN-Tunneln zwischen einem Kunden-Gateway-Gerät und einem Virtual Private Gateway oder einem Transit-Gateway. Wir empfehlen, dass Sie beide Tunnel für Redundanz konfigurieren. Führt von Zeit zu Zeit AWS auch routinemäßige Wartungsarbeiten an Ihrer VPN-Verbindung durch, wodurch möglicherweise einer der beiden Tunnel Ihrer VPN-Verbindung kurzzeitig deaktiviert wird. Weitere Informationen finden Sie unter [Benachrichtigungen über den Austausch von Tunnel-Endpunkten](monitoring-vpn-health-events.md#tunnel-replacement-notifications).

Wenn wir Aktualisierungen für einem VPN-Tunnel durchführen, legen wir auf dem anderen Tunnel einen niedrigeren Wert für den ausgehenden multi-exit discriminator (MED) fest. Wenn Sie Ihr Kunden-Gateway-Gerät so konfiguriert haben, dass es beide Tunnel verwendet, verwendet Ihre VPN-Verbindung während des Aktualisierungsvorgangs eines Tunnelendpunkts den anderen (aktiven) Tunnel.

**Anmerkung**  
 Um sicherzustellen, dass der aktive Tunnel mit dem niedrigeren MED bevorzugt wird, stellen Sie sicher, dass Ihr Kunden-Gateway-Gerät die gleichen Werte für Gewicht und lokale Präferenz für beide Tunnel verwendet (Gewicht und lokale Präferenz haben eine höhere Priorität als MED).

# IPv4 und IPv6 Verkehr in AWS Site-to-Site VPN
<a name="ipv4-ipv6"></a>

Ihre Site-to-Site VPN-Verbindung auf einem Transit-Gateway kann entweder den IPv4 Verkehr oder den IPv6 Verkehr innerhalb der VPN-Tunnel unterstützen. Standardmäßig unterstützt eine Site-to-Site VPN-Verbindung den IPv4 Verkehr innerhalb der VPN-Tunnel. Sie können eine neue Site-to-Site VPN-Verbindung konfigurieren, um den IPv6 Verkehr innerhalb der VPN-Tunnel zu unterstützen. Wenn Ihre VPC und Ihr lokales Netzwerk dann für die IPv6 Adressierung konfiguriert sind, können Sie IPv6 Datenverkehr über die VPN-Verbindung senden.

Wenn Sie die VPN-Tunnel für Ihre Site-to-Site VPN-Verbindung aktivieren IPv6 , hat jeder Tunnel zwei CIDR-Blöcke. Einer ist ein IPv4 CIDR-Block der Größe /30 und der andere ist ein CIDR-Block der Größe IPv6 /126.

## IPv4 und Unterstützung IPv6
<a name="ipv6-tunnel-options"></a>

Site-to-Site VPN-VPN-Verbindungen unterstützen die folgenden IP-Konfigurationen:
+ **IPv4 äußerer Tunnel mit IPv4 inneren Paketen** — Die grundlegende IPv4 VPN-Funktion, die auf virtuellen privaten Gateways, Transit-Gateways und Cloud-WAN unterstützt wird.
+ **IPv4 äußerer Tunnel mit IPv6 inneren Paketen** — Ermöglicht IPv6 Anwendungen/Transport innerhalb des VPN-Tunnels. Wird auf Transit-Gateways und Cloud-WAN unterstützt. Dies wird für virtuelle private Gateways nicht unterstützt.
+ **IPv6 äußerer Tunnel mit IPv6 inneren Paketen** — Ermöglicht die vollständige IPv6 Migration mit IPv6 Adressen sowohl für den äußeren Tunnel IPs als auch für das innere Paket IPs. Wird sowohl für Transit-Gateways als auch für Cloud-WAN unterstützt.
+ **IPv6 äußerer Tunnel mit IPv4 inneren Paketen** — Ermöglicht die Adressierung von IPv6 Außentunneln und unterstützt gleichzeitig ältere IPv4 Anwendungen innerhalb des Tunnels. Wird sowohl für Transit-Gateways als auch für Cloud-WAN unterstützt.

Die folgenden Regeln gelten:
+ IPv6 Adressen für den Außentunnel IPs werden nur für Site-to-Site VPN-Verbindungen unterstützt, die auf einem Transit-Gateway oder Cloud-WAN beendet sind. Site-to-Site VPN-Verbindungen auf virtuellen privaten Gateways unterstützen IPv6 keinen Außentunnel IPs.
+ Bei der Verwendung IPv6 als Außentunnel IPs müssen Sie beiden VPN-Tunneln IPv6 Adressen auf beiden AWS Seiten der VPN-Verbindung und auf Ihrem Kunden-Gateway zuweisen.
+ Sie können die IPv6 Unterstützung für eine bestehende Site-to-Site VPN-Verbindung nicht aktivieren. Sie müssen die bestehende Verbindung löschen und eine neue erstellen.
+ Eine Site-to-Site VPN-Verbindung kann nicht beides IPv4 und IPv6 Datenverkehr gleichzeitig unterstützen. Bei den inneren gekapselten Paketen kann es sich um eines IPv6 oder IPv4, aber nicht um beides handeln. Sie benötigen separate Site-to-Site VPN-Verbindungen für Transport IPv4 und IPv6 Pakete.
+ Private IP-Adressen unterstützen VPNs keine IPv6 Adressen für den Außentunnel IPs. Sie verwenden entweder RFC 1918- oder CGNAT-Adressen. Weitere Informationen zu RFC 1918 finden Sie unter [RFC 1918 — Address](https://datatracker.ietf.org/doc/html/rfc1918) Allocation for Private Internets.
+ IPv6 VPNs unterstützt denselben Durchsatz (Gbit/s und PPS), dieselbe MTU und dieselben Routenlimits wie. IPv4 VPNs
+ Die IPSec Verschlüsselung und der Schlüsselaustausch funktionieren für beide IPv4 auf die gleiche Weise. IPv6 VPNs

Weitere Informationen zum Erstellen einer VPN-Verbindung mit IPv6 Support finden Sie unter [Erstellen einer VPN-Verbindung](SetUpVPNConnections.md#vpn-create-vpn-connection) in Erste Schritte mit Site-to-Site VPN.

# AWS Site-to-Site VPN Konzentratoren
<a name="vpn-concentrator"></a>

AWS Site-to-Site VPN Concentrator ist eine neue Funktion, die die Konnektivität mehrerer Standorte für verteilte Unternehmen vereinfacht. VPN Concentrator eignet sich für Kunden, die mehr als 25 Remote-Standorte mit AWS verbinden müssen, wobei jeder Standort eine geringe Bandbreite (unter 100 Mbit/s) benötigt. 

## Unterstützte Gateway-Dienste und -Funktionen
<a name="vpn-concentrator-supported-gateways"></a>

VPN-Konzentratoren werden nur mit Transit Gateway unterstützt. Diese Funktion wird mit Cloud WAN oder Virtual Private Gateway nicht unterstützt.

In der folgenden Tabelle werden die von Site-to-Site VPN Concentrator unterstützten Funktionen beschrieben:


| Feature | Unterstützt? | 
| --- | --- | 
| IPv6 | Ja | 
| Private Direct Connect VPN-Verbindungen | Nein | 
| Beschleunigtes VPN | Ja | 
| Mehrere Kunden-Gateway-Geräte vom selben Standort aus | Ja. Jedes Kunden-Gateway-Gerät muss jedoch eine eindeutige IP-Adresse haben. | 
| Geografische Einschränkungen | Nein. Sie können einen Standort in einer beliebigen Region mit einem Concentrator in einer beliebigen AWS Region verbinden. | 
| Site-to-Site VPN-Protokolle | Ja. Sie können VPN-Protokolle für alle mit dem Concentrator verbundenen Standorte oder einzeln erstellen. | 
| Support für Transit Gateway Gateway-Verschlüsselung | Nein | 

## Bandbreite
<a name="vpn-concentrator-bandwidth"></a>

Derzeit unterstützen Site-to-Site VPN-Konzentratoren eine Gesamtbandbreite von 5 Gbit/s. Jeder Standort kann maximal 100 Mbit/s Bandbreite unterstützen. Wenn Sie jedoch eine höhere Bandbreite benötigen, wenden Sie sich an AWS Support.

## Routing
<a name="vpn-concentrator-routing"></a>

Site-to-Site VPN-Konzentratoren unterstützen nur BGP-Routing (Border Gateway Protocol). Statisches Routing wird nicht unterstützt.

Alle mit dem verbundenen Kunden-Gateways Site-to-Site VPNConcentrator verwenden für das Routing denselben Site-to-Site VPN Concentrator-Anschluss an das Transit-Gateway. Jeder Standort, der eine Verbindung zum Site-to-Site VPN Concentrator herstellt, kann maximal 5.000 Routen vom Transit-Gateway zu einem Kunden-Gateway und 1.000 Routen vom Kunden-Gateway zum Transit-Gateway senden.

## Zuweisung von IP-Adressen
<a name="vpn-concentrator-ip-addressing"></a>

Jede VPN-Verbindung über den Site-to-Site VPN Concentrator hat weiterhin eine eindeutige AWS-IP-Adresse (eine pro Tunnel).

## Überwachen
<a name="vpn-concentrator-monitoring"></a>

VPN-Verbindungen über Site-to-Site VPN Concentrators unterstützen dieselben Metriken wie normale VPN-Verbindungen.

Wenn Sie die Transit-Gateway-Flow-Logs für den VPN Concentrator-Anhang aktivieren, werden Ihnen Flow-Logs für den gesamten ein- und ausgehenden Datenverkehr von allen mit dem Concentrator verbundenen Remote-Standorten angezeigt.

## Wartung des Tunnels
<a name="vpn-concentrator-maintenance"></a>

Die Tunnelwartung funktioniert genauso wie bestehende Site-to-Site Standard-VPN-Tunnel für beide Endpunkte, wenn ein Site-to-Site VPN-Konzentrator verwendet wird. Weitere Informationen finden Sie unter [Ersatz-Endpunkte](endpoint-replacements.md).

## Preisgestaltung
<a name="vpn-concentrator-pricing"></a>

Informationen zu den Preisen für Site-to-Site VPN Concentrator finden Sie auf der Seite mit den [AWS-VPN-Preisen](https://aws.amazon.com/vpn/pricing/).