Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Private IP AWS Site-to-Site VPN mit Direct Connect
Mit Private IP VPN können Sie IPsec VPN über Direct Connect bereitstellen und dabei den Datenverkehr zwischen Ihrem lokalen Netzwerk verschlüsseln AWS, ohne öffentliche IP-Adressen oder zusätzliche VPN-Geräte von Drittanbietern verwenden zu müssen.
Einer der Hauptanwendungsfälle für privates IP-VPN Direct Connect ist die Unterstützung von Kunden in der Finanz-, Gesundheits- und Bundesbranche bei der Einhaltung gesetzlicher Vorschriften und Compliance-Ziele. Private IP VPN Over Direct Connect stellt sicher, dass der Datenverkehr zwischen AWS und lokalen Netzwerken sowohl sicher als auch privat ist, sodass Kunden ihre regulatorischen und sicherheitstechnischen Anforderungen einhalten können.
## Vorteile von privatem IP-VPN
+ **Vereinfachtes Netzwerkmanagement und -betrieb:** Ohne privates IP-VPN müssen Kunden VPNs und Router von Drittanbietern einsetzen, um private VPNs Netzwerke zu implementieren.Direct Connect Mit der Funktion für privates IP-VPN müssen Kunden keine eigene VPN-Infrastruktur bereitstellen und verwalten. Das Ergebnis ist ein vereinfachter Netzwerkbetrieb zu geringeren Kosten.
+ **Verbesserter Sicherheitsstatus:** Bisher mussten Kunden eine öffentliche Direct Connect virtuelle Schnittstelle (VIF) für die Verschlüsselung des Datenverkehrs verwenden Direct Connect, wofür öffentliche IP-Adressen für VPN-Endpunkte erforderlich waren. Die Nutzung öffentlicher IPs Netzwerke erhöht die Wahrscheinlichkeit von externen Angriffen (DOS), was wiederum Kunden dazu zwingt, zusätzliche Sicherheitsausrüstung für den Netzwerkschutz einzusetzen. Darüber hinaus ermöglicht ein öffentliches VIF den Zugang zwischen allen AWSöffentlichen Diensten und den Netzwerken der Kunden vor Ort, was die Schwere des Risikos erhöht. Die private IP-VPN-Funktion ermöglicht die Verschlüsselung über die Direct ConnectÜbertragung VIFs (statt über die öffentliche Verbindung VIFs) und bietet zudem die Möglichkeit, private Verbindungen zu konfigurieren. IPs Dies bietet zusätzlich zur Verschlüsselung end-to-end private Konnektivität und verbessert so die allgemeine Sicherheitslage.
+ **Höherer Routenumfang:** Private IP-VPN-Verbindungen bieten höhere Routenlimits (5000 ausgehende Routen und 1000 eingehende Routen) im Vergleich zu Direct Connect reinen Verbindungen, bei denen derzeit ein Limit von 200 ausgehenden und 100 eingehenden Routen gilt.
## Funktionsweise von privatem IP-VPN
Privates Site-to-Site IP-VPN funktioniert über eine virtuelle Direct Connect Transitschnittstelle (VIF). Es verwendet ein Direct Connect Gateway und ein Transit-Gateway, um Ihre lokalen Netzwerke miteinander zu verbinden.AWS VPCs Eine private IP-VPN-Verbindung hat Endpunkte am Transit-Gateway auf der AWS Seite und an Ihrem Kunden-Gateway-Gerät auf der lokalen Seite. Sie müssen sowohl dem Transit-Gateway als auch dem Kunden-Gateway-Geräteende der IPsec Tunnel private IP-Adressen zuweisen. Sie können private IP-Adressen aus einem RFC1918 oder RFC6598 privaten IPv4 Adressbereichen verwenden.
Sie hängen eine private IP-VPN-Verbindung an ein Transit Gateway an. Anschließend leiten Sie den Verkehr zwischen der VPN-Verbindung und allen VPCs (oder anderen Netzwerken) weiter, die ebenfalls an das Transit-Gateway angeschlossen sind. Dazu ordnen Sie dem VPN-Anhang eine Routing-Tabelle zu. In umgekehrter Richtung können Sie den Verkehr von Ihrem VPCs zum privaten IP-VPN-Anhang weiterleiten, indem Sie Routentabellen verwenden, die dem zugeordnet sind VPCs.
Die Routing-Tabelle, die der VPN-Anlage zugeordnet ist, kann dieselbe oder eine andere sein als die Routing-Tabelle, die der zugrunde liegenden Direct Connect Anlage zugeordnet ist. Auf diese Weise können Sie sowohl verschlüsselten als auch unverschlüsselten Datenverkehr gleichzeitig zwischen Ihren VPCs und Ihren lokalen Netzwerken weiterleiten.
Weitere Informationen zum Datenverkehrspfad, der das VPN verlässt, finden Sie unter [Routing-Richtlinien für private virtuelle Schnittstellen und virtuelle Transitschnittstellen](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies) im *Direct Connect Benutzerhandbuch*.
## Voraussetzungen
In der folgenden Tabelle werden die Voraussetzungen beschrieben, bevor Sie ein privates IP-VPN über Direct Connect einrichten.
| Item | Schritte | Informationen |
| --- | --- | --- |
| Bereiten Sie das Transit-Gateway für Site-to-Site VPN vor. | Erstellen Sie das Transit-Gateway mithilfe der Amazon Virtual Private Cloud(VPC-) Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden Sie unter [Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) im *Amazon VPC Transit Gateways-Handbuch*. | Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, über den Sie Ihre Netzwerke und Ihre VPCs lokalen Netzwerke miteinander verbinden können. Sie können ein neues Transit Gateway erstellen oder ein vorhandenes für die private IP-VPN-Verbindung verwenden. Wenn Sie das Transit Gateway erstellen oder ein vorhandenes Transit Gateway ändern, geben Sie einen privaten IP-CIDR-Block für die Verbindung an. Wenn Sie den CIDR-Block des Transit Gateways angeben, der mit Ihrem privaten IP-VPN verknüpft werden soll, stellen Sie sicher, dass sich der CIDR-Block nicht mit IP-Adressen für andere Netzwerkanhänge auf dem Transit Gateway überschneidet. Wenn sich IP-CIDR-Blöcke überschneiden, kann dies zu Problemen bei der Konfiguration Ihres Kunden-Gateway-Geräts führen. |
| Erstellen Sie das Direct Connect Gateway für Site-to-Site VPN. | Erstellen Sie das Direct Connect-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden [Sie unter Erstellen eines AWS Direct Connect-Gateways](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) im *Direct Connect Benutzerhandbuch*. | Ein Direct Connect-Gateway ermöglicht es Ihnen, virtuelle Schnittstellen (VIFs) über mehrere AWS Regionen hinweg zu verbinden. Dieses Gateway wird verwendet, um eine Verbindung zu Ihrer VIF herzustellen. |
| Erstellen Sie die Transit-Gateway-Zuordnung für Site-to-Site VPN. | Erstellen Sie die Zuordnung zwischen dem Direct Connect-Gateway und dem Transit-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Zuordnen oder Direct Connect Aufheben der Verbindung zu einem Transit-Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html).Direct Connect* | Nachdem Sie das Direct Connect Gateway erstellt haben, erstellen Sie eine Transit-Gateway-Zuordnung für das Direct Connect Gateway. Geben Sie das private IP-CIDR für das Transit Gateway an, das zuvor in der Liste zulässiger Präfixe identifiziert wurde. |
**Topics**
+ [Vorteile von privatem IP-VPN](#private-ip-dx-features)
+ [Funktionsweise von privatem IP-VPN](#private-ip-dx-how)
+ [Voraussetzungen](#private-ip-dx-prereqs)
+ [Erstellen Sie ein privates IP-VPN über Direct Connect](private-ip-dx-steps.md)
# Erstellen Sie eine private IP AWS Site-to-Site VPN über Direct Connect
Gehen Sie Direct Connect folgendermaßen vor, um ein privates IP-VPN mit zu erstellen. Bevor Sie das private IP-VPN über Direct Connect erstellen, müssen Sie sicherstellen, dass zuerst ein Transit-Gateway und ein Direct Connect-Gateway erstellt werden. Nachdem Sie die beiden Gateways erstellt haben, müssen Sie dann eine Zuordnung zwischen den beiden erstellen. Diese Voraussetzungen werden in der folgenden Tabelle beschrieben. Nachdem Sie die beiden Gateways erstellt und verknüpft haben, erstellen Sie mithilfe dieser Zuordnung ein VPN-Kundenportal und eine VPN-Verbindung.
## Voraussetzungen
In der folgenden Tabelle werden die Voraussetzungen beschrieben, bevor Sie ein privates IP-VPN über Direct Connect einrichten.
| Item | Schritte | Informationen |
| --- | --- | --- |
| Bereiten Sie das Transit-Gateway für Site-to-Site VPN vor. | Erstellen Sie das Transit-Gateway mithilfe der Amazon Virtual Private Cloud (VPC-) Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden Sie unter [Transit-Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) im *Amazon VPC Transit Gateways-Handbuch*. | Ein Transit-Gateway ist ein Netzwerk-Transit-Hub, über den Sie Ihre Netzwerke und Ihre VPCs lokalen Netzwerke miteinander verbinden können. Sie können ein neues Transit Gateway erstellen oder ein vorhandenes für die private IP-VPN-Verbindung verwenden. Wenn Sie das Transit Gateway erstellen oder ein vorhandenes Transit Gateway ändern, geben Sie einen privaten IP-CIDR-Block für die Verbindung an. Wenn Sie den CIDR-Block des Transit Gateways angeben, der mit Ihrem privaten IP-VPN verknüpft werden soll, stellen Sie sicher, dass sich der CIDR-Block nicht mit IP-Adressen für andere Netzwerkanhänge auf dem Transit Gateway überschneidet. Wenn sich IP-CIDR-Blöcke überschneiden, kann dies zu Problemen bei der Konfiguration Ihres Kunden-Gateway-Geräts führen. |
| Erstellen Sie das Direct Connect Gateway für Site-to-Site VPN. | Erstellen Sie das Direct Connect-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API. Weitere Informationen finden [Sie unter Erstellen eines AWS Direct Connect-Gateways](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html) im *Direct Connect Benutzerhandbuch*. | Ein Direct Connect-Gateway ermöglicht es Ihnen, virtuelle Schnittstellen (VIFs) über mehrere AWS Regionen hinweg zu verbinden. Dieses Gateway wird verwendet, um eine Verbindung zu Ihrer VIF herzustellen. |
| Erstellen Sie die Transit-Gateway-Zuordnung für Site-to-Site VPN. | Erstellen Sie die Zuordnung zwischen dem Direct Connect-Gateway und dem Transit-Gateway mithilfe der Direct Connect-Konsole oder mithilfe der Befehlszeile oder API. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Zuordnen oder Direct Connect Aufheben der Verbindung zu einem Transit-Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html).Direct Connect * | Nachdem Sie das Direct Connect Gateway erstellt haben, erstellen Sie eine Transit-Gateway-Zuordnung für das Direct Connect Gateway. Geben Sie das private IP-CIDR für das Transit Gateway an, das zuvor in der Liste zulässiger Präfixe identifiziert wurde. |
## Erstellen Sie das Kunden-Gateway und die Verbindung für Site-to-Site VPN
Ein Kunden-Gateway ist eine Ressource, die Sie in erstellen AWS. Es stellt das Kunden-Gateway-Gerät in Ihrem On-Premises-Netzwerk dar. Wenn Sie ein Kunden-Gateway erstellen, geben Sie Informationen über Ihr Gerät an AWS. Weitere Details finden Sie unter [Kunden-Gateway](how_it_works.md#CustomerGateway).
**So erstellen Sie ein Kunden-Gateway mithilfe der Konsole**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Kunden-Gateways** aus.
1. Wählen Sie **Kunden-Gateway erstellen** aus.
1. (Optional) Geben Sie bei **Name tag (Name-Tag)** einen Namen für Ihr Kunden-Gateway ein. Auf diese Weise wird ein Tag mit dem Schlüssel `Name` und dem von Ihnen angegebenen Wert erstellt.
1. Geben Sie unter **BGP ASN** eine Border Gateway Protocol (BGP) Autonomous System Number (ASN) für Ihr Kunden-Gateway ein.
1. Geben Sie unter **IP address** (IP-Adresse) die private IP-Adresse für Ihr Kunden-Gateway-Gerät ein.
**Wichtig**
Bei der Konfiguration von AWS Private IP AWS Site-to-Site VPN müssen Sie Ihre eigenen IP-Adressen für Tunnelendpunkte mithilfe von RFC 1918-Adressen angeben. Verwenden Sie die point-to-point IP-Adressen nicht für das eBGP-Peering zwischen Ihrem Kunden-Gateway-Router und dem Endpunkt. Direct Connect AWS empfiehlt, anstelle von Verbindungen eine Loopback- oder LAN-Schnittstelle auf Ihrem Kunden-Gateway-Router als Quell- oder Zieladresse zu verwenden. point-to-point
Weitere Informationen zu RFC 1918 finden Sie unter [Adresszuweisung für private Internets](https://datatracker.ietf.org/doc/html/rfc1918).
1. (Optional) Geben Sie bei **Device (Gerät)** einen Namen für das Gerät ein, das dieses Kunden-Gateway hostet.
1. Wählen Sie **Kunden-Gateway erstellen** aus.
1. Wählen Sie im Navigationsbereich **Site-to-Site VPN-Verbindungen** aus.
1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus.
1. (Optional) Geben Sie **unter Namensschild** einen Namen für Ihre Site-to-Site VPN-Verbindung ein. Auf diese Weise wird ein Tag mit dem Schlüssel `Name` und dem von Ihnen angegebenen Wert erstellt.
1. Wählen Sie für **Target gateway type** (Typ des Ziel-Gateways) die Option **Transit gateway** (Transit Gateway) aus. Wählen Sie dann das zuvor identifizierte Transit-Gateway aus.
1. Wählen Sie für **Customer gateway** (Kunden-Gateway) die Option **Existing** (Vorhanden) aus. Wählen Sie dann das zuvor identifizierte Kunden-Gateway aus.
1. Wählen Sie eine der Routing-Optionen aus, je nachdem, ob Ihr Kunden-Gateway-Gerät das Border Gateway Protocol (BGP) unterstützt:
+ Wenn Ihr Kunden-Gateway-Gerät BGP unterstützt, wählen Sie **Dynamic (requires BGP) (Dynamisch (erfordert BGP))** aus.
+ Wenn Ihr Kunden-Gateway-Gerät BGP nicht unterstützt, wählen Sie **Static (Statisch)** aus.
1. Geben Sie für die **IP-Version „Tunnel innerhalb** von IP“ an, ob die VPN-Tunnel IPv6 Datenverkehr unterstützen IPv4 .
1. (Optional) Wenn Sie die Option **Tunnel inside IP Version** angegeben **IPv4**haben, können Sie optional die IPv4 CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Der Standardwert ist `0.0.0.0/0`.
Wenn Sie die **IP-Version **IPv6**für Tunnel** angegeben haben, können Sie optional die IPv6 CIDR-Bereiche für das Kunden-Gateway und die AWS Seiten angeben, die über die VPN-Tunnel kommunizieren dürfen. Die Standardeinstellung für beide Bereiche lautet `::/0`.
1. Wählen Sie für den **Typ der externen IP-Adresse** die Option **PrivateIpv4.**
1. Wählen Sie **unter Transport Attachment ID** den Transit-Gateway-Anhang für das entsprechende Direct Connect Gateway aus.
1. Wählen Sie **Create VPN connection (VPN-Verbindung erstellen)** aus.
**Anmerkung**
Die Option **Enable acceleration** (Beschleunigung aktivieren) ist für VPN-Verbindungen über Direct Connect nicht anwendbar.
**So erstellen Sie ein Kunden-Gateway über die Befehlszeile oder API**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html)(Amazon EC2 EC2-Abfrage-API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)