Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Herunterladbare statische Routing-Konfigurationsdateien für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät
<a name="cgw-static-routing-examples"></a>

Um eine Beispielkonfigurationsdatei mit Werten herunterzuladen, die für Ihre Site-to-Site VPN-Verbindungskonfiguration spezifisch sind, verwenden Sie die Amazon VPC-Konsole, die AWS Befehlszeile oder die Amazon EC2 EC2-API. Weitere Informationen finden Sie unter [Schritt 6: Die Endpunkt-Konfigurationsdatei herunterladen](SetUpVPNConnections.md#vpn-download-config).

[Sie können auch allgemeine Beispielkonfigurationsdateien für statisches Routing herunterladen, die keine spezifischen Werte für Ihre Site-to-Site VPN-Verbindungskonfiguration enthalten: .zip static-routing-examples](samples/static-routing-examples.zip) 

Die Dateien verwenden Platzhalterwerte für einige Komponenten. Sie verwenden zum Beispiel:
+ Beispielwerte für die VPN-Verbindungs-ID, die Kunden-Gateway-ID und die ID des Virtual Private Gateways
+ Platzhalter für die (externen) AWS Remote-IP-Adressendpunkte (und) *AWS\$1ENDPOINT\$11* *AWS\$1ENDPOINT\$12*
+ Ein Platzhalter für die IP-Adresse der externen Schnittstelle, die über das Internet routbar ist, auf dem Kunden-Gateway-Gerät () *your-cgw-ip-address*
+ Ein Platzhalter für den Wert des vorab gemeinsam genutzten Schlüssels () pre-shared-key
+ Beispielwerte für den Tunnel innerhalb von IP-Adressen.
+ Beispielwerte für die MTU-Einstellung.

**Anmerkung**  
Die MTU-Einstellungen, die in den Beispielkonfigurationsdateien bereitgestellt werden, sind nur Beispiele. Weitere Informationen zur Einstellung des optimalen MTU-Wertes für Ihre Situation finden Sie unter [Bewährte Methoden für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät](cgw-best-practice.md).

Die Dateien stellen nicht nur Platzhalterwerte bereit, sondern spezifizieren auch die Mindestanforderungen für eine Site-to-Site VPN-Verbindung von AES128 SHA1, und Diffie-Hellman-Gruppe 2 in den meisten AWS Regionen und, AES128 SHA2, und Diffie-Hellman-Gruppe 14 in den Regionen. AWS GovCloud Sie geben auch Pre-Shared-Key für [authentication (Authentifizierung)](vpn-tunnel-authentication-options.md) an. Sie müssen die Beispielkonfigurationsdatei ändern, um zusätzliche SicherheitsalGORITHmen, Diffie-Hellman-Gruppen, private Zertifikate und Datenverkehr zu nutzen. IPv6 

Das folgende Diagramm gibt einen Überblick über die verschiedenen Komponenten, die auf dem Kunden-Gateway-Gerät konfiguriert werden. Es enthält Beispielwerte für die IP-Adressen der Tunnelschnittstelle.

![\[Kunden-Gateway-Gerät mit statischem Routing\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/cgw-static-routing.png)


# Konfigurieren Sie statisches Routing für ein AWS Site-to-Site VPN Kunden-Gateway-Gerät
<a name="cgw-static-routing-example-interface"></a>

Im Folgenden finden Sie einige Beispielverfahren zur Konfiguration eines Kunden-Gateway-Geräts unter Verwendung seiner Benutzeroberfläche (falls verfügbar).

------
#### [ Check Point ]

Im Folgenden finden Sie Schritte zur Konfiguration Ihres Kunden-Gateway-Geräts, falls es sich bei Ihrem Gerät um ein Check Point Security Gateway-Gerät mit R77.10 oder höher handelt, das das Gaia-Betriebssystem und Check Point verwendet. SmartDashboard Sie können auch den Artikel [Check Point Security Gateway IPsec VPN to Amazon Web Services VPC](https://support.checkpoint.com/results/sk/sk100726) im Check Point Support Center lesen.

**So konfigurieren Sie die Tunnelschnittstelle**

Als Erstes müssen Sie die VPN-Tunnel erstellen und die privaten (internen) IP-Adressen des Kunden-Gateways und des Virtual Private Gateways für die einzelnen Tunnel angeben. Wie Sie den ersten Tunnel erstellen, ist im Abschnitt `IPSec Tunnel #1` der Konfigurationsdatei beschrieben. Verwenden Sie zum Erstellen des zweiten Tunnels die Werte im Abschnitt `IPSec Tunnel #2` der Konfigurationsdatei. 

1. Öffnen Sie das Gaia-Portal Ihres Check Point-Sicherheits-Gateway-Geräts.

1. Klicken Sie auf **Network Interfaces**, **Add** und **VPN tunnel**.

1. Konfigurieren Sie im Dialogfeld die Einstellungen wie nachfolgend beschrieben und klicken Sie dann auf **OK**:
   + Geben Sie unter **VPN Tunnel ID** einen eindeutigen Wert, z. B. 1, ein.
   + Geben Sie unter **Peer** einen eindeutigen Namen für den Tunnel ein, z. B. `AWS_VPC_Tunnel_1` oder `AWS_VPC_Tunnel_2`.
   + Stellen Sie sicher, dass **Numbered (Nummeriert)** ausgewählt ist, und geben Sie unter **Local Address (Lokale Adresse)** die IP-Adresse für `CGW Tunnel IP` aus der Konfigurationsdatei ein, z. B. `169.254.44.234`. 
   + Geben Sie unter **Remote Address** die IP-Adresse für `VGW Tunnel IP` aus der Konfigurationsdatei ein, z. B. `169.254.44.233`.  
![\[Check Point-Dialogfeld "VPN-Tunnel hinzufügen"\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-create-tunnel.png)

1. Melden Sie sich über SSH bei Ihrem Sicherheits-Gateway an. Wenn Sie nicht die Standard-Shell verwenden, wechseln Sie mit folgendem Befehl zu Clish: `clish`

1. Führen Sie für Tunnel 1 den folgenden Befehl aus:

   ```
   set interface vpnt1 mtu 1436
   ```

   Führen Sie für Tunnel 2 den folgenden Befehl aus:

   ```
   set interface vpnt2 mtu 1436
   ```

1. Wiederholen Sie diese Schritte, um den zweiten Tunnel zu erstellen. Verwenden Sie dafür die Informationen im Bereich `IPSec Tunnel #2` der Konfigurationsdatei.

**So konfigurieren Sie die statischen Routen**

In diesem Schritt legen Sie für die einzelnen Tunnel die statische Route zum Subnetz in der VPC fest, damit Sie Datenverkehr über die Tunnelschnittstellen senden können. Der zweite Tunnel dient als Failover, falls der erste Tunnel ausfällt. Falls ein Fehler auftritt, wird die richtlinienbasierte statische Route aus der Routing-Tabelle entfernt und es wird eine zweite Route aktiviert. Außerdem müssen Sie das Check Point-Gateway aktivieren, um einen Ping ans andere Ende des Tunnels zu senden und zu prüfen, ob der Tunnel aktiv ist.

1. **Wählen Sie im Gaia-Portal **IPv4 Static Routes, Add**.**

1. Geben Sie den CIDR-Bereich Ihres Subnetzes an, z. B. `10.28.13.0/24`.

1. Klicken Sie auf **Add Gateway** und **IP Address**.

1. Geben Sie die IP-Adresse für `VGW Tunnel IP` aus der Konfigurationsdatei ein (z. B. `169.254.44.233`) und legen Sie als Priorität "1" fest.

1. Wählen Sie **Ping** aus.

1. Wiederholen Sie die Schritte 3 und 4 für den zweiten Tunnel und verwenden Sie den Wert `VGW Tunnel IP` im Bereich `IPSec Tunnel #2` der Konfigurationsdatei. Legen Sie als Priorität "2" fest.  
![\[Check Point-Dialogfeld "Zieladressroute bearbeiten"\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-static-routes.png)

1. Wählen Sie **Speichern**.

Wenn Sie einen Cluster verwenden, wiederholen Sie die vorhergehenden Schritte für die anderen Mitglieder des Clusters. 

**So definieren Sie ein neues Netzwerkobjekt**

In diesem Schritt erstellen Sie ein Netzwerkobjekt für jeden VPN-Tunnel und legen die öffentlichen (externen) IP-Adressen für das Virtual Private Gateway fest. Später fügen Sie diese Netzwerkobjekte als Satelliten-Gateways für Ihre VPN-Community hinzu. Außerdem müssen Sie eine leere Gruppe erstellen, die als Platzhalter für die VPN-Domäne dient. 

1. Öffnen Sie den Check Point SmartDashboard.

1. Öffnen Sie für **Groups** das Kontextmenü und klicken Sie auf **Groups** und **Simple Group**. Sie können für alle Netzwerkobjekte dieselbe Gruppe verwenden.

1. Öffnen Sie mit der rechten Maustaste für **Network Objects** das Kontextmenü und wählen Sie **New** und **Interoperable Device** aus.

1. Geben Sie unter **Name** den Namen des Tunnels ein, z. B. `AWS_VPC_Tunnel_1` oder `AWS_VPC_Tunnel_2`.

1. Geben Sie unter **IPv4 Adresse** die externe IP-Adresse des virtuellen privaten Gateways ein, die in der Konfigurationsdatei angegeben ist, `54.84.169.196` z. B. Speichern Sie die Einstellungen und schließen Sie das Dialogfeld.  
![\[Check Point-Dialogfeld "Interoperables Gerät"\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-network-device.png)

1. Öffnen Sie Ihre Gateway-Eigenschaften und wählen Sie im Kategorienbereich **Topologie** aus. SmartDashboard 

1. Klicken Sie auf **Get Topology**, um die Schnittstellenkonfiguration abzurufen.

1. Klicken Sie im Bereich **VPN Domain (VPN-Domäne)** auf **Manually defined (Manuell definiert)** und wählen Sie die leere einfache Gruppe aus, die Sie in Schritt 2 erstellt haben. Wählen Sie **OK** aus.
**Anmerkung**  
Sie können eine vorhandene VPN-Domäne, die Sie bereits konfiguriert haben, beibehalten. Stellen Sie jedoch sicher, dass die verwendeten Hosts und Netzwerke von der neuen VPN-Verbindung bedient werden und nicht in dieser VPN-Domäne deklariert werden, insbesondere wenn die VPN-Domäne automatisch abgeleitet wird.

1. Wiederholen Sie diese Schritte, um ein zweites Netzwerkobjekt zu erstellen. Verwenden Sie dafür die Informationen im Bereich `IPSec Tunnel #2` der Konfigurationsdatei.

**Anmerkung**  
Wenn Sie Cluster verwenden, bearbeiten Sie die Topologie und legen Sie die Schnittstellen als Cluster-Schnittstellen fest. Verwenden Sie die IP-Adressen, die in der Konfigurationsdatei angegeben sind. 

**So erstellen und konfigurieren Sie die VPN-Community, IKE und IPsec Einstellungen**

In diesem Schritt erstellen Sie eine VPN-Community in Ihrem Check Point-Gateway, zu dem Sie die Netzwerkobjekte (interoperablen Geräte) für die einzelnen Tunnel hinzufügen. Sie konfigurieren auch den Internet Key Exchange (IKE) und die IPsec Einstellungen.

1. Wählen Sie in Ihren Gateway-Eigenschaften im Kategorienbereich die Option **IPSecVPN** aus.

1. Klicken Sie auf **Communities**, **New** und **Star Community**.

1. Geben Sie einen Namen für die Community ein (z. B. `AWS_VPN_Star`) und klicken Sie im Kategoriebereich auf **Center Gateways**.

1. Klicken Sie auf **Add** und fügen Sie Ihr Gateway bzw. Ihren Cluster der Liste der teilnehmenden Gateways hinzu.

1. Klicken Sie im Kategoriebereich auf **Satellite Gateways (Satelliten-Gateways)** und **Add (Hinzufügen)** und fügen Sie die interoperablen Geräte, die Sie vorher erstellt haben (`AWS_VPC_Tunnel_1` und `AWS_VPC_Tunnel_2`) der Liste der teilnehmenden Gateways hinzu.

1. Klicken Sie im Kategoriebereich auf **Encryption**. Wählen Sie im Abschnitt **Verschlüsselungsmethode** die Option **IKEv1 Nur** aus. Wählen Sie im Bereich **Encryption Suite** **Custom** und **Custom Encryption** aus.

1. Konfigurieren Sie im Dialogfeld die Verschlüsselungseigenschaften wie nachfolgend beschrieben und klicken Sie dann auf **OK**:
   + Eigenschaften von IKE Security Association (Phase 1):
     + **Perform key exchange encryption with**: AES-128
     + **Perform data integrity with**: SHA-1
   + IPsec Eigenschaften von Security Association (Phase 2):
     + ** IPsec Datenverschlüsselung durchführen mit**: AES-128
     + **Perform data integrity with**: SHA-1

1. Klicken Sie im Kategoriebereich auf **Tunnel Management**. Klicken Sie auf **Set Permanent Tunnels** und **On all tunnels in the community**. Wählen Sie im Bereich **VPN Tunnel Sharing** **One VPN tunnel per Gateway pair** aus.

1. Erweitern Sie im Kategoriebereich **Advanced Settings** und klicken Sie auf **Shared Secret**.

1. Wählen Sie den Peer-Namen für den ersten Tunnel aus, klicken Sie auf **Edit (Bearbeiten)** und geben Sie den vorinstallierten Schlüssel aus dem Bereich `IPSec Tunnel #1` der Konfigurationsdatei ein.

1. Wählen Sie den Peer-Namen für den zweiten Tunnel aus, klicken Sie auf **Edit (Bearbeiten)** und geben Sie den vorinstallierten Schlüssel aus dem Bereich `IPSec Tunnel #2` der Konfigurationsdatei ein.  
![\[Check Point-Dialogfeld "Gemeinsamer geheimer Schlüssel"\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-shared-secret.png)

1. Klicken Sie – noch immer in der Kategorie **Advanced Settings (Erweiterte Einstellungen)** – auf **Advanced VPN Properties (Erweiterte VPN-Eigenschaften)**, konfigurieren Sie die Eigenschaften wie nachfolgend beschrieben und klicken Sie abschließend auf **OK**:
   + IKE (Phase 1):
     + ** Diffie-Hellman-Gruppe verwenden**: `Group 2`
     + **Renegotiate IKE security associations every** `480` **minutes**
   + IPsec (Phase 2):
     + **Use Perfect Forward Secrecy** auswählen
     + ** Diffie-Hellman-Gruppe verwenden**: `Group 2`
     + **Verhandeln Sie IPsec Sicherheitszuordnungen alle** **Sekunden neu `3600`**

**So erstellen Sie Firewall-Regeln**

In diesem Schritt konfigurieren Sie eine Richtlinie mit Firewall-Regeln und direktionalen Übereinstimmungsregeln, um Kommunikation zwischen der VPC und dem lokalen Netzwerk zu ermöglichen. Dann installieren Sie diese Richtlinie auf Ihrem Gateway.

1. Wählen Sie im SmartDashboard **Global Properties** für Ihr Gateway aus. Erweitern Sie im Kategoriebereich **VPN** und klicken Sie auf **Advanced**.

1. Klicken Sie auf **Enable VPN Directional Match in VPN Column** und speichern Sie die Änderungen.

1. Wählen Sie im die SmartDashboard Option **Firewall** aus und erstellen Sie eine Richtlinie mit den folgenden Regeln: 
   + Erlauben Sie dem VPC-Subnetz, über die erforderlichen Protokolle mit dem lokalen Netzwerk zu kommunizieren. 
   + Erlauben Sie dem lokalen Netzwerk, über die erforderlichen Protokolle mit dem VPC-Subnetz zu kommunizieren.

1. Öffnen Sie das Kontextmenü für die Zelle in der VPN-Spalte und klicken Sie auf **Edit Cell**. 

1. Klicken Sie im Dialogfeld **VPN Match Conditions** auf **Match traffic in this direction only**. Klicken Sie jeweils auf **Add** und abschließend auf **OK**, um die folgenden direktionalen Übereinstimmungsregeln zu erstellen:
   + `internal_clear` > VPN-Community (die VPN-Star-Community, die Sie vorher erstellt haben, z. B. `AWS_VPN_Star`)
   + VPN-Community > VPN-Community
   + VPN-Community > `internal_clear`

1. Wählen Sie im die SmartDashboard Option **Richtlinie**, **Installieren** aus. 

1. Wählen Sie im Dialogfeld das Gateway aus und klicken Sie auf **OK**, um die Richtlinie zu installieren.

**So ändern Sie die Eigenschaft "tunnel\$1keepalive\$1method"**

Sie können für Ihren Check Point-Gateway Dead Peer Detection (DPD) verwenden, um Ausfälle bei der IKE-Zuordnung zu identifizieren. Um DPD für einen permanenten Tunnel zu konfigurieren, muss der permanente Tunnel in der AWS VPN-Community konfiguriert werden (siehe Schritt 8).

Standardmäßig ist für die Eigenschaft `tunnel_keepalive_method` eines VPN-Gateways der Wert `tunnel_test` festgelegt. Sie müssen diesen Wert zu `dpd` ändern. Für alle VPN-Gateways innerhalb der VPN-Community, einschließlich VPN-Gateways von Drittanbietern, für die Sie DPD-Überwachung aktivieren möchten, muss die Eigenschaft `tunnel_keepalive_method` konfiguriert werden. Es ist nicht möglich, für dasselbe Gateway unterschiedliche Überwachungsmechanismen zu konfigurieren.

Sie können die `tunnel_keepalive_method` Eigenschaft mit dem DBedit GUI-Tool aktualisieren.

1. Öffnen Sie den Check Point SmartDashboard und wählen Sie **Security Management Server**, **Domain Management Server**.

1. Klicken Sie auf **File** und **Database Revision Control…** und erstellen Sie einen Versions-Snapshot.

1. Schließen Sie alle SmartConsole Fenster, z. B. SmartView Tracker und SmartView Monitor. SmartDashboard

1. Starten Sie das BDedit GUI-Tool. Weitere Informationen finden Sie im Artikel [Check Point Database Tool](https://support.checkpoint.com/results/sk/sk13009) im Check Point-Supportcenter. 

1. Klicken Sie auf **Security Management Server** und **Domain Management Server**.

1. Klicken Sie oben links auf **Table**, **Network Objects** und **network\$1objects**. 

1. Wählen Sie oben rechts das entsprechende **Security Gateway**-**Cluster**-Objekt aus. 

1. Drücken Sie STRG \$1 F oder verwenden Sie das **Suchmenü**, um nach folgender Zeichenfolge zu suchen: `tunnel_keepalive_method`.

1. Öffnen Sie im unteren Bereich das Kontextmenü für `tunnel_keepalive_method` und klicken Sie auf **Edit… (Bearbeiten...)**. Wählen Sie **dpd** aus. Wählen Sie dann **OK** aus.

1. Wiederholen Sie die Schritte 7 bis 9 für jedes Gateway, das Teil der AWS VPN-Community ist.

1. Klicken Sie auf **File** und **Save All**.

1. Schließen Sie das DBedit GUI-Tool.

1. Öffnen Sie den Check Point SmartDashboard und wählen Sie **Security Management Server**, **Domain Management Server**.

1. Installieren Sie die Richtlinie für das entsprechende **Security Gateway**-**Cluster**-Objekt.

Weitere Informationen finden Sie im Artikel [New VPN features in R77.10](https://support.checkpoint.com/results/sk/sk97746) im Check Point-Supportcenter.

**So aktivieren Sie TCP MSS Clamping**

Mit TCP MSS Clamping können Sie die maximale Segmentgröße von TCP-Paketen reduzieren, um eine Paketfragmentierung zu vermeiden.

1. Öffnen Sie das folgende Verzeichnis: `C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\`.

1. Führen Sie die Datei `GuiDBEdit.exe` aus, um das Check Point-Datenbank-Tool zu starten.

1. Wählen Sie **Table**, **Global Properties** und **properties** aus.

1. Klicken Sie für `fw_clamp_tcp_mss` auf **Edit**. Ändern Sie den Wert in `true` und klicken Sie auf **OK**.

**So überprüfen Sie den Tunnelstatus**  
Sie können den Tunnelstatus überprüfen, indem Sie den folgenden Befehl vom Befehlszeilen-Tool aus im Expertenmodus ausführen.

```
vpn tunnelutil
```

Wählen Sie in den angezeigten Optionen **1** aus, um die IKE-Verknüpfungen zu überprüfen, und **2**, um die IPsec Verknüpfungen zu überprüfen.

Im Check Point Smart Tracker-Protokoll können Sie auch überprüfen, ob Pakete über diese Verbindung verschlüsselt werden. Dem folgenden Protokoll können Sie beispielsweise entnehmen, dass ein Paket verschlüsselt über Tunnel 1 an die VPC gesendet wurde.

![\[Check Point-Protokolldatei\]](http://docs.aws.amazon.com/de_de/vpn/latest/s2svpn/images/check-point-log.png)


------
#### [ SonicWALL ]

Das folgende Verfahren zeigt die Konfiguration von VPN-Tunneln auf dem SonicWALL-Gerät über die SonicOS-Managementschnittstelle.

**So konfigurieren Sie die Tunnel**

1. Öffnen Sie die SonicWALL SonicOS-Management-Schnittstelle. 

1. Wählen Sie im linken Bereich **VPN**, **Settings** aus. Wählen Sie unter **VPN Policies** **Add...** aus.

1. Geben Sie die folgenden Informationen im VPN-Richtlinienfenster auf der Registerkarte **General ** ein:
   + **Policy Type (Richtlinientyp)**: Wählel Sie **Tunnel Interface**.
   + **Authentication Method**: Wählen Sie **IKE using Preshared Secret** aus.
   + **Name**: Geben Sie einen Namen für die VPN-Richtlinie ein. Wir empfehlen, dass Sie den Namen der VPN-ID aus der Konfigurationsdatei verwenden.
   + **IPsec Name oder Adresse des primären Gateways**: Geben Sie die IP-Adresse des Virtual Private Gateways ein, wie sie in der Konfigurationsdatei angegeben ist (z. B.`72.21.209.193`).
   + **IPsec Name oder Adresse des sekundären Gateways**: Behalten Sie den Standardwert bei.
   + **Shared Secret**: Geben Sie den vorinstallierten Schlüssel aus der Konfigurationsdatei ein. Geben Sie ihn erneut in **Confirm Shared Secret** ein.
   + **Lokale IKE-ID**: Geben Sie die IPv4 Adresse des Kunden-Gateways (das SonicWALL-Gerät) ein. 
   + **Peer-IKE-ID**: Geben Sie die IPv4 Adresse des virtuellen privaten Gateways ein.

1. Füllen Sie auf der Registerkarte **Network** die folgenden Informationen aus:
   + Wählen Sie unter **Local Networks** **Any address** aus. Wir empfehlen diese Option, um Verbindungsprobleme aus Ihrem lokalen Netzwerk zu vermeiden. 
   + Wählen Sie unter **Remote Networks** **Choose a destination network from list** aus. Erstellen Sie ein Adressobjekt mit der CIDR Ihrer VPC in AWS.

1. Füllen Sie auf der Registerkarte **Proposals (Vorschläge)** die folgenden Informationen aus. 
   + Führen Sie unter **IKE (Phase 1) Proposal** die folgenden Schritte aus:
     + **Exchange**: Wählen Sie **Main Mode** aus.
     + **DH Group**: Geben Sie einen Wert für die Diffie-Hellman-Gruppe ein (z. B. `2`). 
     + **Encryption**: Wählen Sie **AES-128** oder **AES-256** aus.
     + **Authentifizierung**: Wählen Sie **SHA1**oder **SHA256**.
     + **Life Time**: Geben Sie `28800` ein.
   + Führen Sie unter **IKE (Phase 2) Proposal** die folgenden Schritte aus:
     + **Protocol**: Wählen Sie **ESP** aus.
     + **Encryption**: Wählen Sie **AES-128** oder **AES-256** aus.
     + **Authentifizierung**: Wählen Sie **SHA1**oder **SHA256**.
     + Wählen Sie das Kontrollkästchen **Enable Perfect Forward Secrecy** und die Diffie-Hellman-Gruppe aus.
     + **Life Time**: Geben Sie `3600` ein.
**Wichtig**  
Wenn Sie Ihr Virtual Private Gateway vor Oktober 2015 erstellt haben, müssen Sie Diffie-Hellman-Gruppe 2, AES-128, und für beide Phasen angeben. SHA1

1. Füllen Sie auf der Registerkarte **Advanced** die folgenden Informationen aus:
   + Wählen Sie **Enable Keep Alive** aus.
   + Wählen Sie **Enable Phase2 Dead Peer Detection** aus und geben Sie Folgendes ein:
     + Geben Sie für **Dead Peer Detection Interval** `60` ein (der Minimalwert für das SonicWALL-Gerät).
     + Geben Sie in **Failure Trigger Level** `3` ein.
   + Wählen Sie für **VPN Policy bound to** **Interface X1** aus. Dies ist die Schnittstelle, die normalerweise für öffentliche IP-Adressen vorgesehen ist.

1. Wählen Sie **OK** aus. Auf der Seite **Einstellungen** sollte das Kontrollkästchen **Aktivieren** für den Tunnel standardmäßig aktiviert sein. Der grüne Punkt zeigt an, dass der Tunnel aktiv ist.

------

## Cisco-Geräte: zusätzliche Informationen
<a name="cgw-static-routing-examples-cisco"></a>

Einige Cisco unterstützen ASAs nur Active/Standby den Modus. Wenn Sie diese Cisco verwenden ASAs, können Sie jeweils nur einen aktiven Tunnel haben. Der andere Standby-Tunnel wird aktiv, falls der erste Tunnel nicht verfügbar ist. Diese Redundanz sorgt dafür, dass immer ein Tunnel für die Verbindung zu Ihrer VPC verfügbar ist. 

Cisco unterstützt ASAs ab Version 9.7.1 und höher den Active/Active Unterstützungsmodus. Wenn Sie diese Cisco verwenden ASAs, können Sie beide Tunnel gleichzeitig aktiv haben. Diese Redundanz sorgt dafür, dass immer ein Tunnel für die Verbindung zu Ihrer VPC verfügbar ist.

Für Cisco-Geräte müssen Sie die folgenden Schritte ausführen:
+ Konfigurieren Sie die Außenschnittstelle.
+ Stellen Sie sicher, dass die Crypto ISAKMP-Richtliniensequenznummer eindeutig ist.
+ Stellen Sie sicher, dass die Crypto List-Richtliniensequenznummer eindeutig ist.
+ Stellen Sie sicher, dass das Crypto IPsec Transform Set und die Crypto ISAKMP Policy Sequence mit allen anderen IPsec Tunneln, die auf dem Gerät konfiguriert sind, harmonieren.
+ Stellen Sie sicher, dass die SLA-Überwachungsnummer eindeutig ist.
+ Konfigurieren Sie sämtliche internen Routen, über die Datenverkehr zwischen dem Kunden-Gateway-Gerät und Ihrem On-Premise-Netzwerk gesendet wird.