View a markdown version of this page

Configurar o Windows Server como um dispositivo de gateway AWS Site-to-Site VPN do cliente - AWS Site-to-Site VPN
Configurar a instância do WindowsEtapa 1: Criar uma conexão VPN e configurar a VPCEtapa 2: Baixar o arquivo de configuração para a conexão VPNEtapa 3: configurar o Windows ServerEtapa 4: Configurar o túnel VPNEtapa 5: Habilitar a detecção de gateway inativoEtapa 6: Testar a conexão VPN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Windows Server como um dispositivo de gateway AWS Site-to-Site VPN do cliente

É possível configurar o servidor que executa o Windows Server como um dispositivo de gateway do cliente para sua VPC. Use o processo a seguir se estiver executando o Windows Server em uma instância do EC2, em uma VPC ou em seu próprio servidor. Os procedimentos a seguir se aplicam ao Windows Server 2012 R2 e versões posteriores.

Configurar a instância do Windows

Se você estiver configurando o Windows Server em uma instância do EC2 executada em uma AMI do Windows, faça o seguinte:

  • Desative a source/destination verificação da instância:

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. Selecione a sua instância do Windows e escolha Actions (Ações), Networking (Rede), Change source/destination check (Alterar verificação de origem/destino). Escolha Stop (Interromper) e, em seguida, escolha Save (Salvar).

  • Atualize as configurações do adaptador de modo que você possa rotear tráfego de outras instâncias:

    1. Conecte-se à sua instância do Windows. Para obter mais informações, consulte Conectar-se à sua instância do Windows.

    2. Abra o Painel de controle e inicie o Gerenciador de dispositivos.

    3. Expanda o nó Adaptadores de rede.

    4. Selecione o adaptador de rede (dependendo do tipo de instância, pode ser Amazon Elastic Network Adapter ou Intel 82599 Virtual Function) e escolha Action (Ação), Properties (Propriedades).

    5. Na guia Avançado, desative as propriedades IPv4Checksum Offload, TCP Checksum Offload (IPv4) e UDP Checksum Offload () e escolha OK. IPv4

  • Aloque um endereço IP elástico à sua conta e associe-o à instância. Para obter mais informações, consulte Endereços IP elásticos no Guia do usuário do Amazon EC2. Anote esse endereço, pois ele será necessário quando você criar o gateway do cliente.

  • Certifique-se de que as regras do grupo de segurança da instância permitam IPsec tráfego de saída. Por padrão, um grupo de segurança permite todo o tráfego de saída. No entanto, se as regras de saída do grupo de segurança tiverem sido modificadas de seu estado original, você deverá criar as seguintes regras de protocolo de saída personalizadas para IPsec tráfego: protocolo IP 50, protocolo IP 51 e UDP 500.

Tome nota do intervalo CIDR da rede na qual sua instância do Windows está localizada, por exemplo, 172.31.0.0/16.

Etapa 1: Criar uma conexão VPN e configurar a VPC

Para criar uma conexão VPN partindo de sua VPC, faça o seguinte:

  1. Crie um gateway privado virtual e anexe-o à sua VPC. Para obter mais informações, consulte Criar um gateway privado virtual.

  2. Crie uma conexão VPN e um novo gateway do cliente. Para o gateway do cliente, especifique o endereço IP público do Windows Server. Para a conexão VPN, escolha roteamento estático e insira o intervalo CIDR para a rede na qual o Windows Server está localizado, por exemplo, 172.31.0.0/16. Para obter mais informações, consulte Etapa 5: criar uma conexão VPN.

Depois de criar a conexão VPN, configure a VPC para habilitar a comunicação pela conexão VPN.

Para configurar a VPC

  • Crie uma sub-rede privada na sua VPC (se ainda não tiver uma) para executar instâncias que se comunicarão com o Windows Server. Para obter mais informações, consulte Criar uma sub-rede na sua VPC.

    nota

    Uma sub-rede privada é uma sub-rede que não tem uma rota para um gateway da Internet. O roteamento para esta sub-rede é descrito no próximo item.

  • Atualize as tabelas de rotas para a conexão VPN:

  • Crie um grupo de segurança para suas instâncias que permita a comunicação entre a rede e sua VPC:

    • Adicione regras que permitam acesso de entrada RDP ou SSH de sua rede. Isso possibilita que você se conecte de sua rede a instâncias em sua VPC. Por exemplo, para permitir que computadores em sua rede acessem instâncias do Linux em sua VPC, crie uma regra de entrada com um tipo de SSH e o conjunto de fontes para o intervalo CIDR de sua rede (por exemplo, 172.31.0.0/16). Para mais informações, consulte Grupos de segurança para a VPC no Guia do usuário da Amazon VPC.

    • Adicione uma regra que permita acesso ICMP de entrada de sua rede. Isso possibilita que você teste sua conexão VPN executando ping em uma instância em sua VPC em seu Windows Server.

Etapa 2: Baixar o arquivo de configuração para a conexão VPN

É possível usar o console da Amazon VPC para baixar um arquivo de configuração do Windows Server para sua conexão VPN.

Para baixar o arquivo de configuração

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Site-to-Site VPN Connections (Conexões VPN).

  3. Selecione sua conexão VPN e escolha Download Configuration (Baixar configuração).

  4. Selecione Microsoft como fornecedor, Windows Server como plataforma e 2012 R2 como software. Escolha Baixar. É possível abrir ou salvar o arquivo.

O arquivo de configuração contém uma seção de informações semelhante ao exemplo a seguir. Essas informações serão apresentadas duas vezes, uma vez para cada túnel.

vgw-1a2b3c4d Tunnel1
--------------------------------------------------------------------	
Local Tunnel Endpoint:       203.0.113.1
Remote Tunnel Endpoint:      203.83.222.237
Endpoint 1:                  [Your_Static_Route_IP_Prefix]
Endpoint 2:                  [Your_VPC_CIDR_Block]
Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

O endereço IP especificado para o gateway do cliente quando criou a conexão VPN.

Remote Tunnel Endpoint

Um dos dois endereços IP do gateway privado virtual que encerra a conexão VPN no AWS lado da conexão.

Endpoint 1

O prefixo de IP especificado como rota estática ao criar a conexão VPN. Esses são os endereços IP em sua rede que têm permissão para usar a conexão VPN para acessar sua VPC.

Endpoint 2

O intervalo de endereços IP (bloco CIDR) da VPC anexado ao gateway privado virtual (por exemplo, 10.0.0.0/16).

Preshared key

A chave pré-compartilhada usada para estabelecer a conexão IPsec VPN entre Local Tunnel Endpoint e. Remote Tunnel Endpoint

Sugerimos que você configure os dois túneis como parte da conexão VPN. Cada túnel se conecta a um concentrador Site-to-Site VPN separado no lado Amazon da conexão VPN. Embora somente um túnel por vez fique ativo, o segundo túnel se estabelece quando o primeiro é desativado. Ter túneis redundantes garante disponibilidade contínua no caso de falha de um dispositivo. Pelo fato de somente um túnel por vez estar disponível, o console da Amazon VPC indica que um túnel está desativado. Como esse comportamento é esperado, nenhuma ação é necessária de sua parte.

Com dois túneis configurados, se ocorrer uma falha no dispositivo AWS, sua conexão VPN automaticamente passará para o segundo túnel do gateway privado virtual em questão de minutos. Ao configurar o dispositivo de gateway do cliente, é importante configurar ambos os túneis.

nota

De tempos em tempos, AWS realiza manutenção de rotina no gateway privado virtual. Essa manutenção pode desabilitar um dos dois túneis da conexão VPN durante um breve espaço de tempo. Sua conexão VPN executa failover automaticamente no segundo túnel enquanto realizamos essa manutenção.

Informações adicionais sobre o Internet Key Exchange (IKE) e as IPsec Security Associations (SA) são apresentadas no arquivo de configuração baixado.

MainModeSecMethods:        DHGroup2-AES128-SHA1
MainModeKeyLifetime:       480min,0sess
QuickModeSecMethods:       ESP:SHA1-AES128+60min+100000kb
QuickModePFS:              DHGroup2
MainModeSecMethods

Os algoritmos de criptografia e autenticação da SA IKE. Essas são as configurações sugeridas para a conexão VPN e as configurações padrão para conexões IPsec VPN do Windows Server.

MainModeKeyLifetime

Vida útil da chave SA IKE.  Essa é a configuração sugerida para a conexão VPN e é a configuração padrão para conexões IPsec VPN do Windows Server.

QuickModeSecMethods

Os algoritmos de criptografia e autenticação para o IPsec SA. Essas são as configurações sugeridas para a conexão VPN e as configurações padrão para conexões IPsec VPN do Windows Server.

QuickModePFS

Sugerimos que você use a chave mestra perfect forward secrecy (PFS) para suas sessões. IPsec

Etapa 3: configurar o Windows Server

Antes de configurar o túnel VPN, você precisa instalar e configurar os Serviços de Roteamento e Acesso Remoto no Windows Server. Isso permite que os usuários remotos acessem os recursos na rede.

Para instalar os Serviços de Roteamento e Acesso Remoto

  1. Faça logon no seu Windows Server.

  2. Vá para o menu Start e escolha Server Manager.

  3. Instale Serviços de Roteamento e Acesso Remoto:

    1. No menu Manage (Gerenciar), escolha Add Roles and Features (Adicionar funções e recursos).

    2. Na página Before You Begin (Antes de iniciar), verifique se seu servidor atende aos pré-requisitos e escolha Next (Próximo).

    3. Escolha Role-based or feature-based installation (Instalação baseada em funções ou recursos) e Next (Próximo).

    4. Escolha Select a server from the server pool (Selecionar um servidor no pool de servidor), selecione o Windows Server e escolha Next (Avançar).

    5. Selecione Network Policy and Access Services (Política de rede e serviços de acesso) na lista. Na caixa de diálogo exibida, escolha Add Features (Adicionar recursos) para confirmar os recursos necessários para esta função.

    6. Na mesma lista, escolha Acesso Remoto, Próximo.

    7. Na página Select features (Selecionar recursos), escolha Next (Próximo).

    8. Na página Network Policy and Access Services (Política de rede e serviços de acesso), escolha Next (Próximo).

    9. Na página Remote Access (Acesso remoto), escolha Next (Próximo). Na próxima página, selecione DirectAccess VPN (RAS). Na caixa de diálogo exibida, escolha Add Features (Adicionar Recursos) para confirmar os recursos necessários para este serviço de função. Na mesma lista, selecione Routing (Roteamento) e escolha Next (Próximo).

    10. Na página Web Server Role (IIS), escolha Next. Deixe a seleção padrão e escolha Next (Próximo).

    11. Escolha Instalar. Quando a instalação terminar, escolha Fechar.

Para configurar e ativar o Servidor de Roteamento e Acesso Remoto

  1. No painel, selecione Notifications (Notificações). Deve haver uma tarefa a ser concluída na configuração depois da implantação. Escolha o link Open the Getting Started Wizard (Abra o assistente de primeiros passos).

  2. Escolha Deploy VPN only (Implantar apenas VPN).

  3. Na caixa de diálogo Routing and Remote Access (Roteamento e acesso remoto), escolha o nome do servidor, escolha Action (Ação) e Configure and Enable Routing and Remote Access (Configurar e habilitar o roteamento e o acesso remoto).

  4. Em Routing and Remote Access Server Setup Wizard, na primeira página, escolha Next.

  5. Na página Configuração, escolha Configuração Personalizada, Próximo.

  6. Escolha Roteamento de LAN, Próximo, Concluir.

  7. Quando solicitado pela caixa de diálogo Routing and Remote Access (Roteamento e acesso remoto), escolha Start service (Iniciar serviço).

Etapa 4: Configurar o túnel VPN

É possível configurar o túnel de VPN executando os scripts netsh incluídos no arquivo de configuração baixado ou usando a interface do usuário do Windows Server.

Importante

Sugerimos que você use a chave mestra perfect forward secrecy (PFS) para suas sessões. IPsec Se você optar por executar o script netsh, ele incluirá um parâmetro para ativar o PFS ()qmpfs=dhgroup2. Você não pode habilitar o PFS usando a interface do usuário do Windows — é preciso habilitá-lo usando a linha de comando.

Opção 1: Executar o script netsh

Copie o script netsh do arquivo de configuração baixado e substitua as variáveis. A seguir encontra-se um exemplo de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^
Enable=Yes Profile=any Type=Static Mode=Tunnel ^
LocalTunnelEndpoint=Windows_Server_Private_IP_address ^
RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^
Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^
Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^
QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^
ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name: É possível substituir o nome sugerido (vgw-1a2b3c4d Tunnel 1) por um nome de sua escolha.

LocalTunnelEndpoint: insira o endereço IP privado do Windows Server na sua rede.

Endpoint1: o bloco CIDR da sua rede em que o Windows Server reside, por exemplo, 172.31.0.0/16. Cerque esse valor com aspas duplas (“).

Endpoint2: o bloco CIDR da sua VPC ou uma sub-rede na sua VPC, por exemplo, 10.0.0.0/16. Cerque esse valor com aspas duplas (“).

Execute o script atualizado em uma janela do prompt de comando no Windows Server. (O sinal ^ permite que você corte e cole o texto contornado na linha de comando.) Para configurar o segundo túnel VPN para essa conexão VPN, repita o processo usando o segundo script netsh no arquivo de configuração.

Quando terminar, vá para Configurar o firewall do Windows.

Para obter mais informações sobre os parâmetros netsh, consulte Comandos Netsh AdvFirewall Consec na Microsoft Library. TechNet

Opção 2: Usar a interface de usuário do Windows Server

É possível também usar a interface do usuário do Windows Server para configurar o túnel de VPN.

Importante

Você não pode habilitar o Perfect Forward Secrecy (PFS - "sigilo encaminhado") da chave mestra usando a interface do usuário do Windows Server. Você precisa habilitar o PFS usando a linha de comando, conforme descrito em Habilitar segredo de encaminhamento perfeito da chave mestra.

Configurar uma regra de segurança para um túnel de VPN

Nesta seção, você configurará uma regra de segurança no Windows Server para criar um túnel de VPN.

Para configurar uma regra de segurança para um túnel VPN

  1. Abra o Gerenciador do Servidor, escolha Tools (Ferramentas) e selecione Windows Firewall with Advanced Security (Firewall do Windows com Segurança Avançada).

  2. Selecione Connection Security Rules, escolha Action e New Rule.

  3. No assistente New Connection Security Rule (Nova Regra de Segurança de Conexão) da página Rule Type (Tipo de regra), selecione Tunnel (Túnel) e Next (Próximo).

  4. Na página Tunnel Type (Tipo de túnel), em What type of tunnel would you like to create (Qual tipo de túnel gostaria de criar), selecione Custom configuration (Configuração personalizada). Em Você gostaria de isentar conexões IPsec protegidas desse túnel, deixe o valor padrão marcado (Não. Envie todo o tráfego de rede que corresponda a essa regra de segurança de conexão (através do túnel) e escolha Avançar.

  5. Na página Requisitos, escolha Exigir autenticação para conexões de entrada. Não estabeleça túneis para conexões de saída e escolha Próximo.

  6. Na página Tunnel Endpoints (Endpoints de túnel), em Which computers are in Endpoint 1 (Quais computadores estão no endpoint 1), escolha Add (Adicionar). Insira o intervalo CIDR da sua rede (atrás do dispositivo de gateway do cliente do Windows Server; por exemplo, 172.31.0.0/16) e escolha OK. O intervalo pode incluir o endereço IP do dispositivo de gateway do cliente.

  7. Em What is the local tunnel endpoint (closest to computer in Endpoint 1), escolha Edit. No campo de IPv4 endereço, insira o endereço IP privado do Windows Server e escolha OK.

  8. Em What is the remote tunnel endpoint (closest to computers in Endpoint 2), escolha Edit. No campo de IPv4 endereço, insira o endereço IP do gateway privado virtual para o túnel 1 do arquivo de configuração (consulteRemote Tunnel Endpoint) e escolha OK.

    Importante

    Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar o endpoint para o túnel 2.

  9. Em Which computers are in Endpoint 2(Quais computadores estão no Endpoint 2), escolha Add (Adicionar). Em This IP address or subnet field (Este endereço IP ou campo de sub-rede), digite o bloco CIDR da VPC e escolha OK.

    Importante

    Você precisa rolar para baixo na caixa de diálogo até localizar Which computers are in Endpoint 2 (Quais computadores estão no Endpoint 2). Não escolha Next (Próximo) até ter concluído esta etapa, caso contrário, não poderá se conectar ao servidor.

    Assistente para nova regra de segurança de conexão: Endpoints de túnel

  10. Confirme se todas as configurações especificadas estão corretas e escolha Next (Próximo).

  11. Na página Método de Autenticação, selecione Avançado e escolha Personalizar.

  12. Em First authentication methods (Primeiros métodos de autenticação), escolha Add (Adicionar).

  13. Selecione Preshared key (Chave pré-compartilhada), insira o valor da chave pré-compartilhada do arquivo de configuração e escolha OK.

    Importante

    Se você estiver repetindo este procedimento para o túnel 2, certifique-se de selecionar a chave pré-compartilhada para o túnel 2.

  14. Certifique-se de que First authentication is optional não esteja selecionada e escolha OK.

  15. Escolha Próximo.

  16. Na página Perfil, marque todas as três caixas de seleção: Domínio, Privado e Público. Escolha Próximo.

  17. Na página Name (Nome), digite um nome para a regra de conexão, por exemplo, VPN to Tunnel 1 e escolha Finish (Concluir).

Repita o procedimento anterior especificando os dados para o túnel 2 de seu arquivo de configuração.

Assim que concluir, terá dois túneis configurados para sua conexão VPN.

Confirmar a configuração do túnel

Para confirmar a configuração do túnel

  1. Abra o Server Manager, escolha Tools (Ferramentas), selecione Windows Firewall with Advanced Security (Firewall do Windows com segurança avançada) e Connection Security Rules (Regras de segurança de conexão).

  2. Verifique o seguinte para os dois túneis:

    • Enabled (Habilitado) está como Yes

    • Endpoint 1 é o bloco CIDR para a rede

    • Endpoint 2 é o bloco CIDR da VPC

    • Authentication mode (Modo de autenticação) é Require inbound and clear outbound.

    • Authentication method (Método de autenticação) é Custom

    • Endpoint 1 port (Porta do endpoint 1) é Any

    • Endpoint 2 port (Porta do endpoint 2) é Any

    • Protocol (Protocolo) é Any

  3. Selecione a primeira regra e escolha Properties (Propriedades).

  4. Na guia Authentication (Autenticação) em Method (Método), escolha Customize (Personalizar). Verifique se a opção First authentication methods (Primeiros métodos de autenticação) contém a chave pré-compartilhada correta do arquivo de configuração para o túnel e escolha OK.

  5. Na guia Avançado, verifique se Domínio, Privado e Público estão todos selecionados.

  6. Em IPsec Tunelamento, escolha Personalizar. Verifique as configurações de IPsec tunelamento a seguir e escolha OK e OK novamente para fechar a caixa de diálogo.

    • Usar IPsec tunelamento está selecionado.

    • Local tunnel endpoint (closest to Endpoint 1) (Ponto de extremidade de túnel local (mais próximo ao Ponto de Extremidade 1)) contém o endereço IP do Windows Server. Se o dispositivo de gateway do cliente for uma instância do EC2, esse será o endereço IP privado da instância.

    • Remote tunnel endpoint (closest to Endpoint 2) (Ponto de extremidade de túnel remoto [mais próximo ao Ponto de Extremidade 2]) contém o endereço IP do gateway privado virtual para esse túnel.

  7. Abra as propriedades para o segundo túnel. Repita as etapas 4 a 7 para esse túnel.

Habilitar segredo de encaminhamento perfeito da chave mestra

É possível habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestra usando a linha de comando. Você não pode habilitar esse recurso usando a interface do usuário.

Para habilitar o Perfect Forward Secrecy (PFS - Sigilo de encaminhamento perfeito) da chave mestra

  1. No Windows Server, abra uma nova janela do prompt de comando.

  2. Insira o comando a seguir, substituindo rule_name pelo nome que você deu à primeira regra de conexão.

    netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

  3. Repita a etapa 2 para o segundo túnel, desta vez substituindo rule_name pelo nome que você deu à segunda regra de conexão.

Configurar o firewall do Windows

Depois de configurar suas regras de segurança no servidor, defina algumas IPsec configurações básicas para trabalhar com o gateway privado virtual.

Para configurar o Firewall do Windows

  1. Abra o Gerenciador do Servidor, escolha Tools (Ferramentas), selecione Windows Defender Firewall with Advanced Security (Firewall do Windows Defender com Segurança Avançada) e escolha Properties (Propriedades).

  2. Na guia IPsec Configurações, em IPsecisenções, verifique se Isentar ICMP de IPsec é Não (padrão). Verifique se a autorização IPsec do túnel é Nenhuma.

  3. Em IPsec padrões, escolha Personalizar.

  4. Em Key exchange (Main Mode), selecione Advanced e Customize.

  5. Em Customize Advanced Key Exchange Settings (Personalizar configurações de troca de chaves avançada), sob Security methods (Métodos de segurança), verifique se os seguintes valores padrão são usados para a primeira entrada:

    • Integridade: SHA-1

    • Criptografia: AES-CBC 128

    • Algoritmo de troca de chaves: Grupo Diffie-Hellman 2

    • Em Key lifetimes, verifique se Minutes está 480 e se Sessions está 0.

    Essas configurações correspondem às seguintes entradas no arquivo de configuração:

    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1
MainModeKeyLifetime: 480min,0sec

  6. Em Key exchange options, selecione Use Diffie-Hellman for enhanced security e escolha OK.

  7. Em Data protection (Quick Mode), selecione Advanced e Customize.

  8. Selecione Require encryption for all connection security rules that use these settings (Exigir criptografia para todas as regras de segurança de conexão que usam essas configurações).

  9. Em Data integrity and encryption (Integridade e criptografia de dados), deixe os valores padrão:

    • Protocolo: ESP

    • Integridade: SHA-1

    • Criptografia: AES-CBC 128

    • Tempo de vida: 60 minutos

    Esses valores correspondem à seguinte entrada no arquivo de configuração.

    QuickModeSecMethods: 
ESP:SHA1-AES128+60min+100000kb

  10. Escolha OK para retornar à caixa de diálogo Personalizar IPsec configurações e escolha OK novamente para salvar a configuração.

Etapa 5: Habilitar a detecção de gateway inativo

Em seguida, configure o TCP para detectar quando um gateway fica indisponível. É possível fazer isso, modificando esta chave de registro: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Não execute esta etapa enquanto não concluir as seções precedentes. Assim que alterar a chave de registro, deverá reinicializar o servidor.

Para habilitar a detecção de gateway inativo

  1. No Windows Server, inicie o prompt de comando ou uma PowerShell sessão e digite regedit para iniciar o Editor do Registro.

  2. Expanda HKEY_LOCAL_MACHINE, expanda SYSTEM, expanda, expanda Serviços, expanda Tcpip e CurrentControlSet, em seguida, expanda Parâmetros.

  3. No menu Editar, selecione Novo e DWORD (32-bit) Value.

  4. Insira o nome EnableDeadGWDetect.

  5. Selecione EnableDeadGWDetecte escolha Editar, Modificar.

  6. Em Value data (Dados de valor), digite 1 e escolha OK.

  7. Feche o Registry Editor e reinicie o servidor.

Para obter mais informações, consulte EnableDeadGWDetectna Microsoft TechNet Library.

Etapa 6: Testar a conexão VPN

Para testar se a conexão VPN está funcionando corretamente, execute uma instância em sua VPC e garanta que ela não tenha uma conexão com a Internet. Assim que executar a instância, execute ping no respectivo endereço IP privado no Windows Server. O túnel VPN é ativado quando tráfego é gerado no dispositivo de gateway do cliente. Portanto, o comando ping também inicia a conexão VPN.

Para obter as etapas para testar a conexão VPN, consulte Testar uma conexão com o AWS Site-to-Site VPN.

Se o comando ping falhar, verifique as seguintes informações:

  • Confira se você configurou as regras de security group para permitir ICMP na instância de sua VPC. Se o seu Windows Server for uma instância do EC2, certifique-se de que as regras de saída do grupo de segurança permitam IPsec tráfego. Para obter mais informações, consulte Configurar a instância do Windows.

  • Confirme se o sistema operacional da instância em que você está executando ping está configurada para responder a ICMP. Recomendamos que você use um dos Amazon Linux AMIs.

  • Se a instância que você está fazendo ping for uma instância do Windows, conecte-se à instância e ative a entrada ICMPv4 no firewall do Windows.

  • Verifique se configurou as tabelas de rota corretamente para a sua VPC ou sub-rede. Para obter mais informações, consulte Etapa 1: Criar uma conexão VPN e configurar a VPC.

  • Se o dispositivo de gateway do cliente for uma instância do EC2, certifique-se de ter desativado a source/destination verificação da instância. Para obter mais informações, consulte Configurar a instância do Windows.

No console da Amazon VPC, na página VPN Connections, selecione sua conexão VPN. O primeiro túnel encontra-se no estado ATIVO. O segundo túnel deve ser configurado, mas ele somente será usado se o primeiro ficar inativo. Pode demorar alguns instantes para estabelecer os túneis criptografados.