

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Herunterladbare dynamische Routing-Konfigurationsdateien für AWS Site-to-Site VPN Kunden-Gateway-Geräte
<a name="cgw-dynamic-routing-examples"></a>

Um eine Beispielkonfigurationsdatei mit Werten herunterzuladen, die für Ihre Site-to-Site VPN-Verbindungskonfiguration spezifisch sind, verwenden Sie die Amazon VPC-Konsole, die AWS Befehlszeile oder die Amazon EC2 EC2-API. Weitere Informationen finden Sie unter [Schritt 6: Die Endpunkt-Konfigurationsdatei herunterladen](SetUpVPNConnections.md#vpn-download-config).

[Sie können auch generische Beispielkonfigurationsdateien für dynamisches Routing herunterladen, die keine spezifischen Werte für Ihre Site-to-Site VPN-Verbindungskonfiguration enthalten: .zip dynamic-routing-examples](samples/dynamic-routing-examples.zip)

Die Dateien verwenden Platzhalterwerte für einige Komponenten. Sie verwenden zum Beispiel:
+ Beispielwerte für die VPN-Verbindungs-ID, die Kunden-Gateway-ID und die ID des Virtual Private Gateways
+ Platzhalter für die (externen) AWS Remote-IP-Adressendpunkte (und) *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
+ Ein Platzhalter für die IP-Adresse der externen Schnittstelle, die über das Internet routbar ist, auf dem Kunden-Gateway-Gerät () *your-cgw-ip-address*
+ Ein Platzhalter für den Wert des vorab gemeinsam genutzten Schlüssels () pre-shared-key
+ Beispielwerte für den Tunnel innerhalb von IP-Adressen.
+ Beispielwerte für die MTU-Einstellung.

**Anmerkung**  
Die MTU-Einstellungen, die in den Beispielkonfigurationsdateien bereitgestellt werden, sind nur Beispiele. Weitere Informationen zur Einstellung des optimalen MTU-Wertes für Ihre Situation finden Sie unter [Bewährte Methoden für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät](cgw-best-practice.md).

Die Dateien stellen nicht nur Platzhalterwerte bereit, sondern spezifizieren auch die Mindestanforderungen für eine Site-to-Site VPN-Verbindung von AES128 SHA1, und Diffie-Hellman-Gruppe 2 in den meisten AWS Regionen und, AES128 SHA2, und Diffie-Hellman-Gruppe 14 in den Regionen. AWS GovCloud Sie geben auch Pre-Shared-Key für [authentication (Authentifizierung)](vpn-tunnel-authentication-options.md) an. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche SicherheitsalGORITHmen, Diffie-Hellman-Gruppen, private Zertifikate und Datenverkehr zu nutzen. IPv6 

Das folgende Diagramm gibt einen Überblick über die verschiedenen Komponenten, die auf dem Kunden-Gateway-Gerät konfiguriert werden. Es enthält Beispielwerte für die IP-Adressen der Tunnelschnittstelle.

![\[Kunden-Gateway-Gerät mit dynamischem Routing\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/cgw-bgp.png)


# Konfigurieren Sie dynamisches Routing für ein AWS Virtual Private Network Kunden-Gateway-Gerät
<a name="cgw-dynamic-routing-example-interface"></a>

Im Folgenden finden Sie einige Beispielverfahren zur Konfiguration eines Kunden-Gateway-Geräts unter Verwendung seiner Benutzeroberfläche (falls verfügbar).

------
#### [ Check Point ]

Im Folgenden finden Sie Schritte zur Konfiguration eines Check Point Security Gateway-Geräts, auf dem R77.10 oder höher ausgeführt wird, mithilfe des Gaia-Webportals und Check Point. SmartDashboard Sie können auch den [Amazon Web Services (AWS) VPN BGP](https://support.checkpoint.com/results/sk/sk108958)-Artikel über das Check Point Support Center lesen.

**So konfigurieren Sie die Tunnelschnittstelle**

Als Erstes müssen Sie die VPN-Tunnel erstellen und die privaten (internen) IP-Adressen des Kunden-Gateways und des Virtual Private Gateways für die einzelnen Tunnel angeben. Wie Sie den ersten Tunnel erstellen, ist im Abschnitt `IPSec Tunnel #1` der Konfigurationsdatei beschrieben. Verwenden Sie zum Erstellen des zweiten Tunnels die Werte im Abschnitt `IPSec Tunnel #2` der Konfigurationsdatei. 

1. Melden Sie sich über SSH bei Ihrem Sicherheits-Gateway an. Wenn Sie nicht die Standard-Shell verwenden, wechseln Sie mit folgendem Befehl zu Clish: `clish`

1. Stellen Sie die Kunden-Gateway-ASN ein (die ASN, die bei der Erstellung des Kunden-Gateways in angegeben wurde AWS), indem Sie den folgenden Befehl ausführen.

   ```
   set as 65000
   ```

1. Erstellen Sie die Tunnelschnittstelle für den ersten Tunnel anhand der Informationen aus dem Abschnitt `IPSec Tunnel #1` der Konfigurationsdatei. Geben Sie einen eindeutigen Namen für den Tunnel ein, z. B. `AWS_VPC_Tunnel_1`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 
   set interface vpnt1 state on 
   set interface vpnt1 mtu 1436
   ```

1. Wiederholen Sie diese Befehle, um den zweiten Tunnel zu erstellen. Verwenden Sie dafür die Informationen im Bereich `IPSec Tunnel #2` der Konfigurationsdatei. Geben Sie einen eindeutigen Namen für den Tunnel ein, z. B. `AWS_VPC_Tunnel_2`.

   ```
   add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 
   set interface vpnt2 state on 
   set interface vpnt2 mtu 1436
   ```

1. Legen Sie die ASN des Virtual Private Gateways fest.

   ```
   set bgp external remote-as 7224 on 
   ```

1. Konfigurieren Sie das BGP für den ersten Tunnel anhand der Informationen im Abschnitt `IPSec Tunnel #1` der Konfigurationsdatei:

   ```
   set bgp external remote-as 7224 peer 169.254.44.233 on 
   set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10
   ```

1. Konfigurieren Sie das BGP für den zweiten Tunnel anhand der Informationen im Abschnitt `IPSec Tunnel #2` der Konfigurationsdatei:

   ```
   set bgp external remote-as 7224 peer 169.254.44.37 on 
   set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30
   set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10
   ```

1. Speichern Sie die Konfiguration.

   ```
   save config
   ```

**So erstellen Sie eine BGP-Richtlinie**

Erstellen Sie als Nächstes eine BGP-Richtlinie, die den Import von Routen erlaubt, die von AWS verbreitet werden. Anschließend konfigurieren Sie Ihr Kunden-Gateway so, dass dessen lokale Routen an AWS gesendet werden.

1. Klicken Sie im Gaia WebUI auf **Advanced Routing** und dann auf **Inbound Route Filters**. Klicken Sie auf **Add** und wählen Sie **Add BGP Policy (Based on AS)** aus.

1. Wählen Sie für **Add BGP Policy (BGP-Richtlinie hinzufügen)** im ersten Feld einen Wert zwischen 512 und 1024 aus und geben Sie im zweiten Feld die ASN des Virtual Private Gateways ein, z. B. `7224`.

1. Wählen Sie **Speichern**.

**So kündigen Sie lokale Routen an**

In den folgenden Schritten wird die Verteilung von lokalen Schnittstellenrouten beschrieben. Sie können Routen auch von anderen Quellen neu verteilen, z. B. statische Routen oder Routen, die Sie über dynamische Routing-Protokolle erhalten haben. Weitere Informationen finden Sie unter [Gaia Advanced Routing R77 Versions Administration Guide](https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm).

1. Klicken Sie im Gaia WebUI auf **Advanced Routing** und dann auf **Routing Redistribution**. Wählen Sie **Add Redistribution From (Neuverteilung hinzufügen von)** aus. Wählen Sie dann **Interface (Schnittstelle)** aus.

1. Wählen Sie für **To Protocol (Zu Protokoll)** die ASN des Virtual Private Gateways aus, z. B. `7224`.

1. Wählen Sie für **Interface** eine interne Schnittstelle aus. Wählen Sie **Speichern**.

**So definieren Sie ein neues Netzwerkobjekt**

Dann erstellen Sie ein Netzwerkobjekt für jeden VPN-Tunnel und legen die öffentlichen (externen) IP-Adressen für das Virtual Private Gateway fest. Später fügen Sie diese Netzwerkobjekte als Satelliten-Gateways für Ihre VPN-Community hinzu. Außerdem müssen Sie eine leere Gruppe erstellen, die als Platzhalter für die VPN-Domäne dient. 

1. Öffnen Sie den Check Point. SmartDashboard

1. Öffnen Sie für **Groups** das Kontextmenü und klicken Sie auf **Groups** und **Simple Group**. Sie können für alle Netzwerkobjekte dieselbe Gruppe verwenden.

1. Öffnen Sie mit der rechten Maustaste für **Network Objects** das Kontextmenü und wählen Sie **New** und **Interoperable Device** aus.

1. Geben Sie unter **Name** den Namen des Tunnels aus Schritt 1 ein, z. B. `AWS_VPC_Tunnel_1` oder `AWS_VPC_Tunnel_2`.

1. Geben Sie unter **IPv4 Adresse** die externe IP-Adresse des virtuellen privaten Gateways ein, die in der Konfigurationsdatei angegeben ist, `54.84.169.196` z. B. Speichern Sie die Einstellungen und schließen Sie das Dialogfeld.  
![\[Check Point-Dialogfeld "Interoperables Gerät"\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Wählen Sie im linken Kategoriebereich **Topology** aus. 

1. Klicken Sie im Bereich **VPN Domain (VPN-Domäne)** auf **Manually defined (Manuell definiert)** und wählen Sie die leere einfache Gruppe aus, die Sie in Schritt 2 erstellt haben. Wählen Sie **OK** aus.

1. Wiederholen Sie diese Schritte, um ein zweites Netzwerkobjekt zu erstellen. Verwenden Sie dafür die Informationen im Bereich `IPSec Tunnel #2` der Konfigurationsdatei.

1. Rufen Sie das Gateway-Netzwerkobjekt auf, öffnen Sie das Gateway oder Cluster-Objekt und klicken Sie auf **Topology**.

1. Klicken Sie im Bereich **VPN Domain (VPN-Domäne)** auf **Manually defined (Manuell definiert)** und wählen Sie die leere einfache Gruppe aus, die Sie in Schritt 2 erstellt haben. Wählen Sie **OK** aus.
**Anmerkung**  
Sie können eine vorhandene VPN-Domäne, die Sie bereits konfiguriert haben, beibehalten. Stellen Sie jedoch sicher, dass die verwendeten Hosts und Netzwerke von der neuen VPN-Verbindung bedient werden und nicht in dieser VPN-Domäne deklariert werden, insbesondere wenn die VPN-Domäne automatisch abgeleitet wird.

**Anmerkung**  
Wenn Sie Cluster verwenden, bearbeiten Sie die Topologie und legen Sie die Schnittstellen als Cluster-Schnittstellen fest. Verwenden Sie die IP-Adressen, die in der Konfigurationsdatei angegeben sind. 

**Um die VPN-Community, IKE und IPsec Einstellungen zu erstellen und zu konfigurieren**

Dann erstellen Sie eine VPN-Community in Ihrem Check Point-Gateway, zu dem Sie die Netzwerkobjekte (interoperablen Geräte) für die einzelnen Tunnel hinzufügen. Sie konfigurieren auch den Internet Key Exchange (IKE) und die IPsec Einstellungen.

1. Wählen Sie in Ihren Gateway-Eigenschaften im Kategorienbereich die Option **IPSecVPN** aus.

1. Klicken Sie auf **Communities**, **New** und **Star Community**.

1. Geben Sie einen Namen für die Community ein (z. B. `AWS_VPN_Star`) und klicken Sie im Kategoriebereich auf **Center Gateways**.

1. Klicken Sie auf **Add** und fügen Sie Ihr Gateway bzw. Ihren Cluster der Liste der teilnehmenden Gateways hinzu.

1. Klicken Sie im Kategoriebereich auf **Satellite Gateways (Satelliten-Gateways)** und **Add (Hinzufügen)** und fügen Sie die interoperablen Geräte, die Sie vorher erstellt haben (`AWS_VPC_Tunnel_1` und `AWS_VPC_Tunnel_2`) der Liste der teilnehmenden Gateways hinzu.

1. Klicken Sie im Kategoriebereich auf **Encryption**. Wählen Sie im Abschnitt **Verschlüsselungsmethode** die Optionen **IKEv1 für IPv4 und IKEv2 für** aus IPv6. Wählen Sie im Bereich **Encryption Suite** **Custom** und **Custom Encryption** aus.
**Anmerkung**  
Sie müssen **IKEv1 für die IKEv1 Funktionalität die IPv6 Optionen IKEv2 für IPv4 und** für auswählen.

1. Konfigurieren Sie im Dialogfeld die Verschlüsselungseigenschaften wie nachfolgend beschrieben und klicken Sie dann auf **OK**:
   + Eigenschaften von IKE Security Association (Phase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Eigenschaften von Security Association (Phase 2):
     + **Führen Sie eine IPsec Datenverschlüsselung durch mit**: AES-128
     + **Perform data integrity with**: SHA-1

1. Klicken Sie im Kategoriebereich auf **Tunnel Management**. Klicken Sie auf **Set Permanent Tunnels** und **On all tunnels in the community**. Wählen Sie im Bereich **VPN Tunnel Sharing** **One VPN tunnel per Gateway pair** aus.

1. Erweitern Sie im Kategoriebereich **Advanced Settings** und klicken Sie auf **Shared Secret**.

1. Wählen Sie den Peer-Namen für den ersten Tunnel aus, klicken Sie auf **Edit (Bearbeiten)** und geben Sie den vorinstallierten Schlüssel aus dem Bereich `IPSec Tunnel #1` der Konfigurationsdatei ein.

1. Wählen Sie den Peer-Namen für den zweiten Tunnel aus, klicken Sie auf **Edit (Bearbeiten)** und geben Sie den vorinstallierten Schlüssel aus dem Bereich `IPSec Tunnel #2` der Konfigurationsdatei ein.  
![\[Check Point-Dialogfeld "Gemeinsamer geheimer Schlüssel"\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Klicken Sie – noch immer in der Kategorie **Advanced Settings (Erweiterte Einstellungen)** – auf **Advanced VPN Properties (Erweiterte VPN-Eigenschaften)**, konfigurieren Sie die Eigenschaften wie nachfolgend beschrieben und klicken Sie abschließend auf **OK**:
   + IKE (Phase 1):
     + ** Diffie-Hellman-Gruppe verwenden**: `Group 2 (1024 bit)`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Phase 2):
     + **Use Perfect Forward Secrecy** auswählen
     + ** Diffie-Hellman-Gruppe verwenden**: `Group 2 (1024 bit)`
     + **Verhandeln Sie IPsec Sicherheitszuordnungen alle** **Sekunden neu `3600`**

**So erstellen Sie Firewall-Regeln**

Dann konfigurieren Sie eine Richtlinie mit Firewall-Regeln und direktionalen Übereinstimmungsregeln, um Kommunikation zwischen der VPC und dem On-Premise-Netzwerk zu ermöglichen. Dann installieren Sie diese Richtlinie auf Ihrem Gateway.

1. Wählen Sie im SmartDashboard **Global Properties** für Ihr Gateway aus. Erweitern Sie im Kategoriebereich **VPN** und klicken Sie auf **Advanced**.

1. Klicken Sie auf **Enable VPN Directional Match in VPN Column** und anschließend auf **OK**.

1. Wählen Sie im die SmartDashboard Option **Firewall** aus und erstellen Sie eine Richtlinie mit den folgenden Regeln: 
   + Erlauben Sie dem VPC-Subnetz, über die erforderlichen Protokolle mit dem lokalen Netzwerk zu kommunizieren. 
   + Erlauben Sie dem lokalen Netzwerk, über die erforderlichen Protokolle mit dem VPC-Subnetz zu kommunizieren.

1. Öffnen Sie das Kontextmenü für die Zelle in der VPN-Spalte und klicken Sie auf **Edit Cell**. 

1. Klicken Sie im Dialogfeld **VPN Match Conditions** auf **Match traffic in this direction only**. Klicken Sie jeweils auf **Add (Hinzufügen)** und abschließend auf **OK**:
   + `internal_clear` > VPN-Community (die VPN-Star-Community, die Sie vorher erstellt haben, z. B. `AWS_VPN_Star`)
   + VPN-Community > VPN-Community
   + VPN-Community > `internal_clear`

1. Wählen Sie im die SmartDashboard Option **Richtlinie**, **Installieren** aus. 

1. Wählen Sie im Dialogfeld das Gateway aus und klicken Sie auf **OK**, um die Richtlinie zu installieren.

**So ändern Sie die Eigenschaft "tunnel\$1keepalive\$1method"**

Sie können für Ihren Check Point-Gateway Dead Peer Detection (DPD) verwenden, um Ausfälle bei der IKE-Zuordnung zu identifizieren. Um DPD für einen permanenten Tunnel zu konfigurieren, muss der permanente Tunnel in der AWS VPN-Community konfiguriert werden.

Standardmäßig ist für die Eigenschaft `tunnel_keepalive_method` eines VPN-Gateways der Wert `tunnel_test` festgelegt. Sie müssen diesen Wert zu `dpd` ändern. Für alle VPN-Gateways innerhalb der VPN-Community, einschließlich VPN-Gateways von Drittanbietern, für die Sie DPD-Überwachung aktivieren möchten, muss die Eigenschaft `tunnel_keepalive_method` konfiguriert werden. Es ist nicht möglich, für dasselbe Gateway unterschiedliche Überwachungsmechanismen zu konfigurieren.

Sie können die `tunnel_keepalive_method` Eigenschaft mit dem DBedit GUI-Tool aktualisieren.

1. Öffnen Sie den Check Point SmartDashboard und wählen Sie **Security Management Server**, **Domain Management Server**.

1. Klicken Sie auf **File** und **Database Revision Control…** und erstellen Sie einen Versions-Snapshot.

1. Schließen Sie alle SmartConsole Fenster, z. B. SmartView Tracker und SmartView Monitor. SmartDashboard

1. Starten Sie das BDedit GUI-Tool. Weitere Informationen finden Sie im Artikel [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) im Check Point-Supportcenter. 

1. Klicken Sie auf **Security Management Server** und **Domain Management Server**.

1. Klicken Sie oben links auf **Table**, **Network Objects** und **network\$1objects**. 

1. Wählen Sie oben rechts das entsprechende **Security Gateway**-**Cluster**-Objekt aus. 

1. Drücken Sie STRG \$1 F oder verwenden Sie das **Suchmenü**, um nach folgender Zeichenfolge zu suchen: `tunnel_keepalive_method`.

1. Öffnen Sie im unteren Bereich das Kontextmenü für `tunnel_keepalive_method` und klicken Sie auf **Edit…**. Wählen Sie **dpd**, **OK**.

1. Wiederholen Sie die Schritte 7 bis 9 für jedes Gateway, das Teil der AWS VPN-Community ist.

1. Klicken Sie auf **File** und **Save All**.

1. Schließen Sie das DBedit GUI-Tool.

1. Öffnen Sie den Check Point SmartDashboard und wählen Sie **Security Management Server**, **Domain Management Server**.

1. Installieren Sie die Richtlinie für das entsprechende **Security Gateway**-**Cluster**-Objekt.

Weitere Informationen finden Sie im Artikel [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) im Check Point-Supportcenter.

**So aktivieren Sie TCP MSS Clamping**

Mit TCP MSS Clamping können Sie die maximale Segmentgröße von TCP-Paketen reduzieren, um eine Paketfragmentierung zu vermeiden.

1. Öffnen Sie das folgende Verzeichnis: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Führen Sie die Datei `GuiDBEdit.exe` aus, um das Check Point-Datenbank-Tool zu starten.

1. Wählen Sie **Table**, **Global Properties** und **properties** aus.

1. Klicken Sie für `fw_clamp_tcp_mss` auf **Edit**. Ändern Sie den Wert in `true` und wählen Sie dann **OK**.

**So überprüfen Sie den Tunnelstatus**  
Sie können den Tunnelstatus überprüfen, indem Sie den folgenden Befehl vom Befehlszeilen-Tool aus im Expertenmodus ausführen. 

```
vpn tunnelutil
```

Wählen Sie in den angezeigten Optionen **1** aus, um die IKE-Verknüpfungen zu überprüfen, und **2**, um die IPsec Verknüpfungen zu überprüfen.

Im Check Point Smart Tracker-Protokoll können Sie auch überprüfen, ob Pakete über diese Verbindung verschlüsselt werden. Dem folgenden Protokoll können Sie beispielsweise entnehmen, dass ein Paket verschlüsselt über Tunnel 1 an die VPC gesendet wurde.

![\[Check Point-Protokolldatei\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

Sie können ein SonicWALL-Gerät über die SonicOS-Verwaltungsoberfläche konfigurieren. Weitere Informationen zur Konfiguration von Tunneln finden Sie unter [Konfigurieren Sie statisches Routing für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät](cgw-static-routing-example-interface.md).

Sie können das BGP des Geräts nicht mit der Management-Schnittstelle konfigurieren. Verwenden Sie stattdessen die Befehlszeilenanleitungen, die in der oben gezeigten Beispielkonfigurationsdatei unter dem Abschnitt **BGP** genannt sind.

------

## Cisco-Geräte: zusätzliche Informationen
<a name="cgw-dynamic-routing-examples-cisco"></a>

Einige Cisco unterstützen ASAs nur Active/Standby den Modus. Wenn Sie diese Cisco verwenden ASAs, können Sie jeweils nur einen aktiven Tunnel haben. Der andere Standby-Tunnel wird aktiv, falls der erste Tunnel nicht verfügbar ist. Diese Redundanz sorgt dafür, dass immer ein Tunnel für die Verbindung zu Ihrer VPC verfügbar ist. 

Cisco unterstützt ASAs ab Version 9.7.1 und höher den Active/Active Unterstützungsmodus. Wenn Sie diese Cisco verwenden ASAs, können Sie beide Tunnel gleichzeitig aktiv haben. Diese Redundanz sorgt dafür, dass immer ein Tunnel für die Verbindung zu Ihrer VPC verfügbar ist.

Für Cisco-Geräte müssen Sie die folgenden Schritte ausführen:
+ Konfigurieren Sie die Außenschnittstelle.
+ Stellen Sie sicher, dass die Crypto ISAKMP-Richtliniensequenznummer eindeutig ist.
+ Stellen Sie sicher, dass die Crypto List-Richtliniensequenznummer eindeutig ist.
+ Stellen Sie sicher, dass das Crypto IPsec Transform Set und die Crypto ISAKMP Policy Sequence mit allen anderen IPsec Tunneln, die auf dem Gerät konfiguriert sind, harmonieren.
+ Stellen Sie sicher, dass die SLA-Überwachungsnummer eindeutig ist.
+ Konfigurieren Sie sämtliche internen Routen, über die Datenverkehr zwischen dem Kunden-Gateway-Gerät und Ihrem On-Premise-Netzwerk gesendet wird.

## Juniper-Geräte: zusätzliche Informationen
<a name="cgw-dynamic-routing-examples-juniper"></a>

Die folgenden Informationen beziehen sich auf die Beispielkonfigurationsdateien für Kunden-Gateway-Geräte der Juniper J-Serie und SRX. 
+ Die externe Schnittstelle wird als *ge-0/0/0.0* bezeichnet.
+ Die Tunnelschnittstelle IDs wird als *st0.1* und bezeichnet*st0.2*.
+ Vergewissern Sie sich, dass Sie die Sicherheitszone für die Uplink-Schnittstelle identifizieren (die Konfigurationsinformationen verwenden die standardmäßige "Nicht vertrauenswürdig"-Zone).
+ Stellen Sie sicher, dass Sie die Sicherheitszone für die interne Schnittstelle identifizieren (die Konfigurationsinformationen verwenden die standardmäßige "Vertrauenswürdig"Zone).