Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Konfigurieren Sie Tunneloptionen für AWS Site-to-Site VPN Dieser Abschnitt enthält umfassende Anleitungen zur Konfiguration von Tunneloptionen für AWS Site-to-Site VPN Verbindungen und behandelt wichtige Parameter wie Dead-Peer-Erkennung, IKE-Versionen und Verschlüsselungseinstellungen. Sie können diese Tunneloptionen anpassen, um die Sicherheit, Leistung und Kompatibilität Ihrer VPN-Verbindung mit Ihrer lokalen Netzwerkinfrastruktur zu optimieren. Im Folgenden finden Sie die Tunneloptionen, die Sie konfigurieren können. **Anmerkung** Einige Tunneloptionen haben mehrere Standardwerte. Zum Beispiel haben **IKE-Versionen** zwei Standardwerte für Tunneloptionen: `ikev1` und`ikev2`. Alle Standardwerte werden dieser Tunneloption zugeordnet, wenn Sie keine bestimmten Werte auswählen. Klicken Sie hier, um alle Standardwerte zu entfernen, die nicht mit der Tunneloption verknüpft werden sollen. Wenn Sie ihn beispielsweise nur `ikev1` für die IKE-Version verwenden möchten, klicken Sie, `ikev2` um ihn zu entfernen. **Zeitüberschreitung bei DPD-Timeouts (Dead Peer Detection)** Die Zahl der Sekunden, nach denen eine DPD-Zeitüberschreitung auftritt. Ein DPD-Timeout von 30 Sekunden bedeutet, dass der VPN-Endpunkt den Peer 30 Sekunden nach dem ersten fehlgeschlagenen Keep-Alive als tot betrachtet. Sie können 30 oder mehr festlegen. Standard: 40 **DPD-Timeout-Aktion** Die Aktion, die nach dem Timeout der Dead Peer Detection (DPD) ausgeführt wird. Sie können folgende Formen angeben: + `Clear`: Beenden Sie die IKE-Sitzung bei DPD Timeout (beenden Sie den Tunnel und löschen Sie die Routen) + `None`: Keine Aktion bei DPD-Timeout + `Restart`: Starten Sie die IKE-Sitzung bei DPD Timeout neu Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Optionen zur Tunnelinitiierung](initiate-vpn-tunnels.md). Standard: `Clear` **VPN-Protokollierungsoptionen** Mithilfe von Site-to-Site VPN-Protokollen können Sie auf Details zur Einrichtung eines IPSec-Tunnels (IPSec), zu IKE-Verhandlungen (Internet Key Exchange) und zu DPD-Protokollnachrichten (Dead Peer Detection) zugreifen. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Logs](monitoring-logs.md). Verfügbare Protokollformate: `json`, `text` **IKE-Versionen** Die IKE-Versionen, die für den VPN-Tunnel zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardeinstellungen:, `ikev1` `ikev2` **Innentunnel IPv4-CIDR** Der Bereich der inneren (internen) IPv4-Adressen für den VPN-Tunnel. Sie können einen CIDR-Block der Größe /30 aus dem Bereich `169.254.0.0/16` angeben. Der CIDR-Block muss für alle Site-to-Site VPN-Verbindungen, die dasselbe Virtual Private Gateway verwenden, eindeutig sein. Der CIDR-Block muss nicht unter allen Verbindungen eines Transit-Gateways eindeutig sein. Wenn sie jedoch nicht eindeutig sind, kann dies zu einem Konflikt auf Ihrem Kunden-Gateway führen. Gehen Sie vorsichtig vor, wenn Sie denselben CIDR-Block für mehrere Site-to-Site VPN-Verbindungen auf einem Transit-Gateway wiederverwenden. Die folgenden CIDR-Blöcke sind reserviert und können nicht verwendet werden: + `169.254.0.0/30` + `169.254.1.0/30` + `169.254.2.0/30` + `169.254.3.0/30` + `169.254.4.0/30` + `169.254.5.0/30` + `169.254.169.252/30` Standard: Ein IPv4-CIDR-Block der Größe /30 aus dem `169.254.0.0/16`-Bereich. **Pre-shared Schlüsselspeicher** Die Art des Speichers für den Pre-Shared Key: + **Standard** — Der Pre-Shared Key wird direkt im Site-to-Site VPN-Dienst gespeichert. + **Secrets Manager** — Der Pre-Shared Key wird gespeichert unter AWS Secrets Manager. Weitere Informationen zu Secrets Manager finden Sie unter[Verbesserte Sicherheitsfunktionen mit Secrets Manager](enhanced-security.md). **Tunnel-Bandbreite** Die für den Tunnel unterstützte Bandbreite. + **Standard** — Die Tunnelbandbreite ist auf ein Maximum von bis zu 1,25 Gbit/s pro Tunnel eingestellt (Standard). + **Groß** — Die Tunnelbandbreite beträgt maximal bis zu 5 Gbit/s pro Tunnel. **Anmerkung** **Large** ist nur für VPN-Verbindungen verfügbar, die an ein Transit-Gateway oder an ein Cloud-WAN angeschlossen sind. Es wird für Virtual Private Gateway-Verbindungen nicht unterstützt. **Innentunnel IPv6-CIDR** (Nur IPv6-VPN-Verbindungen) Der Bereich der inneren (internen) IPv6-Adressen für den VPN-Tunnel. Sie können einen CIDR-Block der Größe /126 aus dem lokalen `fd00::/8`-Bereich angeben. Der CIDR-Block muss für alle Site-to-Site VPN-Verbindungen, die dasselbe Transit-Gateway verwenden, eindeutig sein. Wenn Sie kein IPv6-Subnetz angeben, wählt Amazon automatisch ein /128-Subnetz aus diesem Bereich aus. Unabhängig davon, ob Sie das Subnetz angeben oder Amazon es auswählt, verwendet Amazon die erste verwendbare IPv6-Adresse im Subnetz für seine Seite der Verbindung und Ihre Seite verwendet die zweite verwendbare IPv6-Adresse. Standard: Ein IPv6-CIDR-Block der Größe /126 aus dem lokalen `fd00::/8`-Bereich. **Typ der IP-Adresse außerhalb des Tunnels** Der IP-Adresstyp für die IP-Adressen des externen (externen) Tunnels. Sie können einen der folgenden Werte angeben: + `PrivateIpv4`: Verwenden Sie eine private IPv4-Adresse, um Site-to-Site VPN-Verbindungen über Direct Connect bereitzustellen. + `PublicIpv4`: (Standard) Verwenden Sie IPv4-Adressen für die äußeren Tunnel-IPs. + `Ipv6`: Verwenden Sie IPv6-Adressen für die IPs des äußeren Tunnels. Diese Option ist nur für VPN-Verbindungen auf einem Transit-Gateway oder Cloud-WAN verfügbar. Wenn Sie sich dafür entscheiden`Ipv6`, konfiguriert AWS automatisch die IPv6-Adressen des Außentunnels für die AWS-Seite der VPN-Tunnel. Ihr Kunden-Gateway-Gerät muss IPv6-Adressierung unterstützen und in der Lage sein, IPSec-Tunnel mit IPv6-Endpunkten einzurichten. Standard: `PublicIpv4` **Lokales IPv4-Netzwerk-CIDR** (Nur IPv4-VPN-Verbindung) Der CIDR-Bereich, der während der IKE-Phase-2-Aushandlung für die Kundenseite (vor Ort) des VPN-Tunnels verwendet wurde. Dieser Bereich wird verwendet, um Routen vorzuschlagen, erzwingt jedoch keine Verkehrsbeschränkungen, da ausschließlich routenbasierte VPNs AWS verwendet werden. Policy-based VPNs werden nicht unterstützt, da sie die Fähigkeit zur Unterstützung dynamischer Routingprotokolle und Architekturen mit mehreren Regionen einschränken AWS würden. Dazu sollten die IP-Bereiche Ihres lokalen Netzwerks gehören, die über den VPN-Tunnel kommunizieren müssen. Zur Steuerung des tatsächlichen Datenverkehrs sollten die richtigen Routingtabellenkonfigurationen, NACLs und Sicherheitsgruppen verwendet werden. Standard: 0.0.0. 0/0 **Remote-IPv4-Netzwerk-CIDR** (Nur IPv4-VPN-Verbindung) Der CIDR-Bereich, der während der IKE-Phase-2-Aushandlung für die AWS Seite des VPN-Tunnels verwendet wurde. Dieser Bereich wird verwendet, um Routen vorzuschlagen, erzwingt jedoch keine Verkehrsbeschränkungen, da AWS ausschließlich routenbasierte VPNs verwendet. AWS unterstützt keine richtlinienbasierten VPNs, da ihnen die für komplexe Routing-Szenarien erforderliche Flexibilität fehlt und sie nicht mit Funktionen wie Transit-Gateways und VPN Equal Multi-Path Cost (ECMP) kompatibel sind. Bei VPCs ist dies in der Regel der CIDR-Bereich Ihrer VPC. Bei Transit-Gateways kann dies mehrere CIDR-Bereiche von angeschlossenen VPCs oder anderen Netzwerken umfassen. Standard: 0.0.0. 0/0 **Lokales IPv6-Netzwerk-CIDR** (Nur IPv6-VPN-Verbindung) Der IPv6-CIDR-Bereich auf der Seite des Kunden-Gateways (On-Premise), der über die VPN-Tunnel kommunizieren darf. Standard: ::/0 **Remote-IPv6-Netzwerk-CIDR** (Nur IPv6-VPN-Verbindung) Der IPv6-CIDR-Bereich auf der AWS Seite, die über die VPN-Tunnel kommunizieren darf. Standard: ::/0 **Gruppennummern für Phase 1 Diffie-Hellman (DH)** Die DH-Gruppennummern, die für den VPN-Tunnel für Phase 1 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardwerte: 2, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24 **Gruppennummern für Phase 2 Diffie-Hellman (DH)** Die DH-Gruppennummern, die für den VPN-Tunnel für Phase 2 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardwerte: 2, 5, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24 **Phase 1-Verschlüsselungsalgorithmen** Die Verschlüsselungsalgorithmen, die für den VPN-Tunnel für Phase 1 der IKE-Aushandlung zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardeinstellungen: AES128, AES256, AES128-GCM-16 AES256-GCM-16 **Verschlüsselungsalgorithmen der Phase 2** Die Verschlüsselungsalgorithmen, die für den VPN-Tunnel für die IKE-Aushandlungen der Phase 2 zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardeinstellungen: AES128, AES256, AES128-GCM-16 AES256-GCM-16 **Phase 1-Integritätsalgorithmen** Die Integritätsalgorithmen, die für den VPN-Tunnel für Phase 1 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardwerte: SHA1,, SHA2-256 SHA2-384 SHA2-512 **Phase 2-Integritätsalgorithmen** Die Integritätsalgorithmen, die für den VPN-Tunnel für Phase 2 der IKE-Aushandlungen zulässig sind. Sie können einen oder mehrere der Standardwerte angeben. Standardwerte: SHA1,,, SHA2-256 SHA2-384 SHA2-512 **Lebensdauer für Phase 1** AWS initiiert erneute Schlüssel mit den Timing-Werten, die in den Feldern Phase-1-Lebensdauer und Phase-2-Lebensdauer festgelegt sind. Wenn sich diese Lebensdauer von den ausgehandelten Handshake-Werten unterscheiden, kann dies die Tunnelkonnektivität unterbrechen. Die Lebensdauer in Sekunden für Phase 1 der IKE-Aushandlungen. Sie können eine Zahl zwischen 900 und 28.800 angeben. Standard: 28 800 (8 Stunden) **Lebensdauer für Phase 2** AWS initiieren Sie erneute Schlüssel mit den Zeitwerten, die in den Feldern Phase-1-Lebensdauer und Phase-2-Lebensdauer festgelegt sind. Wenn sich diese Lebensdauer von den ausgehandelten Handshake-Werten unterscheiden, kann dies die Tunnelkonnektivität unterbrechen. Die Lebensdauer in Sekunden für Phase 2 der IKE-Aushandlungen. Sie können eine Zahl zwischen 900 und 3.600 angeben. Die Anzahl, die Sie angeben, muss kleiner als die Anzahl der Sekunden für die Lebensdauer der Phase 1 sein. Standard: 3 600 (1 Stunde) **Pre-shared Schlüssel (PSK)** Der Pre-Shared-Key (PSK) zur Herstellung der anfänglichen IKE-Sicherheitszuordnung (Internet Key Exchange) zwischen dem Ziel-Gateway und dem Kunden-Gateway. Der PSK muss zwischen 8 und 64 Zeichen lang sein und darf nicht mit Null (0) beginnen. Zulässig sind alphanumerische Zeichen, Punkte (.) und Unterstriche (\_). Standard: eine alphanumerische Zeichenfolge mit 32 Zeichen. **Rekey-Fuzz** Der Prozentsatz des Rekey-Fensters (bestimmt durch die Rekey-Zeitspanne), innerhalb dessen die Rekey-Zeit nach dem Zufallsprinzip ausgewählt wird. Sie können einen Prozentwert zwischen 0 und 100 angeben. Standard: 100 **Rekey-Margin-Time** Die Margenzeit in Sekunden, bevor die Lebensdauer der Phasen 1 und 2 abläuft. Während dieser Zeit führt die AWS Seite der VPN-Verbindung einen IKE-Neuschlüssel durch. Sie können eine Zahl zwischen 60 und der Hälfte des Wertes der Lebensdauer der Phase 2 angeben. Der genaue Zeitpunkt der Schlüsselerneuerung wird auf der Grundlage des Wertes für Rekey-Fuzz zufällig ausgewählt. Standard: 270 (4,5 Minuten) **Replay-Window-Paketgröße** Die Anzahl der Pakete in einem IKE-Wiedergabefenster. Sie können einen Wert zwischen 64 und 2048 angeben. Standard: 1024 **Start-Aktion** Die Aktion, die beim Aufbau des Tunnels für eine VPN-Verbindung ausgeführt werden soll. Sie können Folgendes angeben: + `Start`: AWS leitet die IKE-Verhandlung ein, um den Tunnel hochzufahren. Wird nur unterstützt, wenn Ihr Kunden-Gateway mit einer IP-Adresse konfiguriert ist. + `Add`: Ihr Kunden-Gateway-Gerät muss die IKE-Aushandlung initiieren, um den Tunnel aufzubauen. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Optionen zur Tunnelinitiierung](initiate-vpn-tunnels.md). Standard: `Add` **Steuerung des Lebenszyklus von Tunnelendpunkten** Die Steuerung des Lebenszyklus von Tunnelendpunkten bietet Kontrolle über den Zeitplan für den Austausch von Endpunkten. Weitere Informationen finden Sie unter [AWS Site-to-Site VPN Kontrolle des Lebenszyklus von Tunnelendpunkten](tunnel-endpoint-lifecycle.md). Standard: `Off` Sie können die Tunneloptionen angeben, wenn Sie eine Site-to-Site VPN-Verbindung erstellen, oder Sie können die Tunneloptionen für eine bestehende VPN-Verbindung ändern. Weitere Informationen finden Sie unter den folgenden Themen: + [Schritt 5: Eine VPN-Verbindung erstellen](SetUpVPNConnections.md#vpn-create-vpn-connection) + [AWS Site-to-Site VPN Tunneloptionen ändern](modify-vpn-tunnel-options.md)