Amazon Virtual Private Cloud
网络管理员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

配置 Windows Server 2008 R2 作为客户网关

您可以配置 Windows Server 2008 R2,使其作为您的 VPC 客户网关。无论您是在 VPC 中的 EC2 实例上还是在自己的服务器上运行 Windows Server 2008 R2,都应执行以下过程。

配置 Windows Server

要将 Windows Server 配置为客户网关,请确保您自己的网络上或 VPC 中的 EC2 实例上有 Windows Server 2008 R2。如果使用从 Windows AMI 启动的 EC2 实例,请执行以下操作:

  • 禁用实例的源/目标检查:

    1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

    2. 选择您的 Windows Server 实例,然后依次选择 ActionsNetworkingChange Source/Dest. Check。选择 Yes, Disable

  • 更新适配器设置,以便您可以路由来自其他实例的流量:

    1. 连接到您的 Windows 实例。有关更多信息,请参阅连接到您的 Windows 实例

    2. 打开控制面板,启动设备管理器。

    3. 展开网络适配器节点。

    4. 右键单击“Citrix 网络适配器”,然后单击“属性”。

    5. 高级选项卡中,禁用 IPv4 校验和卸载TCP 校验和卸载(IPv4)UDP 校验和卸载(IPv4) 属性,然后选择 确定

  • 将弹性 IP 地址与实例相关联:

    1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

    2. 在导航窗格中,选择 Elastic IPs。选择 Allocate new address

    3. 选择弹性 IP 地址,然后依次选择 ActionsAssociate Address

    4. 对于 Instance,选择您的 Windows Server 实例。选择 Associate

    请记下此地址。当您在 VPC 中创建客户网关时,将需要此地址。

  • 确保实例的安全组规则允许出站 IPsec 流量。默认情况下,安全组允许所有出站流量;不过,如果安全组的出站规则已修改为非原始状态,则必须针对 IPsec 流量创建以下出站自定义规则:IP 协议 50、IP 协议 51 和 UDP 500。

记下 Windows 服务器所在网络的 CIDR 范围,例如,172.31.0.0/16

步骤 1:创建 VPN 连接并配置您的 VPC

要从 VPC 创建 VPN 连接,您必须首先创建虚拟专用网关并将其附加到 VPC。然后您可以创建 VPN 连接和配置 VPC。您必须还要有 Windows 服务器所在网络的 CIDR 范围,例如 172.31.0.0/16

创建虚拟专用网关

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Virtual Private Gateways,然后选择 Create Virtual Private Gateway

  3. 您可选择为您的虚拟专用网关输入名称,然后选择 Yes, Create

  4. 选择您已创建的虚拟专用网关,然后选择 Attach to VPC

  5. Attach to VPC 对话框中,从列表中选择您的 VPC,然后选择 Yes, Attach

创建 VPN 连接

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 VPN Connections,然后选择 Create VPN Connection

  3. 从列表中选择虚拟专用网关。

  4. 对于 Customer Gateway,选择 New。对于 IP address,指定您的 Windows Server 的公有 IP 地址。

    注意

    IP 地址必须是静态的,可位于执行网络地址转换 (NAT) 任务的设备之后。为确保 NAT 遍历 (NAT-T) 能够正常工作,必须调整防火墙规则,使之开放 UDP 端口 4500。如果客户网关是 EC2 Windows Server 实例,请使用其弹性 IP 地址。

  5. 选择 Static 路由选项,用 CIDR 表示法输入网络的 Static IP Prefixes 值,然后选择 Yes, Create

配置您的 VPC

  • 在 VPC 中创建私有子网 (如果您还没有),以用于启动将与 Windows 服务器通信的实例。有关更多信息,请参阅向您的 VPC 添加子网

    注意

    私有子网是不路由到 Internet 网关的子网。下一个项目中描述了此子网的路由。

  • 更新您的 VPN 连接的路由表:

    • 向私有子网的路由表添加路由,以虚拟专用网关作为目标,以 Windows 服务器的网络 (CIDR 范围) 作为目的地。

    • 为虚拟专用网关启用路由传播。有关更多信息,请参阅 Amazon VPC 用户指南 中的路由表

  • 为您的实例创建安全组配置,以允许在 VPC 与您的网络之间进行通信:

    • 添加允许来自您的网络的入站 RDP 或 SSH 访问的规则。这样,您可以从您的网络连接到 VPC 中的实例。例如,要允许您的网络中的计算机访问您的 VPC 中的 Linux 实例,请创建一个 SSH 类型、源设置为您的网络的 CIDR 范围 (如 172.31.0.0/16) 的入站规则。有关更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组

    • 添加允许来自您的网络的入站 ICMP 访问的规则。这样,通过从 Windows 服务器对 VPC 中的实例执行 ping 操作,可以测试您的 VPN 连接。

第 2 步:下载 VPN 连接的配置文件

您可以使用 Amazon VPC 控制台为您的 VPN 连接下载 Windows 服务器配置文件。

下载配置文件

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,单击 VPN Connections (VPN 连接)

  3. 选择您的 VPN 连接,然后单击“Download Configuration”。

  4. 选择 Microsoft 作为供应商,Windows Server 作为平台,2008 R2 作为软件。单击“Yes, Download”。您可以打开或保存文件。

配置文件包含一节类似于以下示例的信息。这些信息将出现两次,每条隧道一次。您将使用此部分信息配置 Windows Server 2008 R2 服务器。

Copy
vgw-1a2b3c4d Tunnel1 -------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1 Remote Tunnel Endpoint:      203.83.222.237 Endpoint 1:                  [Your_Static_Route_IP_Prefix] Endpoint 2:                  [Your_VPC_CIDR_Block] Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

客户网关 (此例中为您的 Windows 服务器) 的 IP 地址,客户网关可终止您的网络端的 VPN 连接。如果客户网关是 Windows 服务器实例,这就是该实例的私有 IP 地址。

Remote Tunnel Endpoint

虚拟专用网关的两个 IP 地址之一,可终止 AWS 一端的 VPN 连接的。

Endpoint 1

在您创建 VPN 连接时,您指定作为静态路由的 IP 前缀。在您的网络中存在允许使用 VPN 连接访问您的 VPC 的 IP 地址。

Endpoint 2

连接虚拟专用网关的 VPC 的 IP 地址范围 (CIDR 块) (例如 10.0.0.0/16)。

Preshared key

用于建立 Local Tunnel EndpointRemote Tunnel Endpoint 之间的 IPsec VPN 连接的预共享密钥。

我们建议您将两条隧道配置为 VPN 连接的一部分。每条隧道都连接一个单独的 VPN 集线器 (在 VPN 连接的 Amazon 一端)。尽管每次只可使用一条隧道,但第二条隧道会在第一条隧道出现故障时自动建立连接。冗余隧道可在出现设备故障时保证连续可用性。由于一次仅一条隧道可用,Amazon VPC 控制台指示一条隧道处于关闭状态。这是预期行为,因此无需您采取任何操作。

在配置完两条隧道后,如果 AWS 内出现设备故障,您的 VPN 连接会在几分钟之内自动故障转移到 AWS 虚拟专用网关的第二条隧道。在您配置客户网关时,务必配置两条隧道。

注意

AWS 会时常对虚拟专用网关执行例行维护。这项维护会在短时间内禁用您的 VPN 连接的两条隧道中的一条。当我们执行维护任务时,您的 VPN 连接会自动故障转移到第二条隧道。

有关 Internet 密钥交换 (IKE) 和 IPsec 安全关联 (SA) 的信息已发布在下载的配置文件中。因为 AWS VPC VPN 推荐设置与 Windows Server 2008 R2 默认 IPsec 配置设置相同,因此您只需完成最少的工作。

Copy
MainModeSecMethods:         DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime:        480min,0sec QuickModeSecMethods:        ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS:               DHGroup2
MainModeSecMethods

IKE SA 的加密和身份验证算法。这些是 VPN 连接的推荐设置和 Windows Server 2008 R2 IPsec VPN 连接的默认设置。

MainModeKeyLifetime

IKE SA 密钥生命周期。这是 VPN 连接的建议设置,也是 Windows Server 2008 R2 IPsec VPN 连接的默认设置。

QuickModeSecMethods

IPsec SA 的加密和身份验证算法。这些是 VPN 连接的推荐设置和 Windows Server 2008 R2 IPsec VPN 连接的默认设置。

QuickModePFS

我们建议对您的 IPsec 会话使用主密钥完美前向保密 (PFS)。

步骤 3:配置 Windows Server

在设置 VPN 隧道之前,您必须在 Windows 服务器上安装并配置路由和远程访问服务,以便允许远程用户访问您的网络上的资源。

在 Windows Server 2008 R2 上安装路由和远程访问服务

  1. 登录 Windows Server 2008 R2 服务器。

  2. 单击Start,指向All Programs,指向Administrative Tools,然后单击Server Manager

  3. 安装路由和远程访问服务:

    1. 在服务器管理器导航窗格中,单击 Roles (角色)

    2. 在“Roles”窗格中,单击“Add Roles”。

    3. 开始之前页面中,验证您的服务器已经满足先决条件,然后单击“Next”。

    4. 选择服务器角色页面中,单击“Network Policy and Access Services”然后单击“Next”。

    5. 网络策略和访问服务页面中,单击“Next”。

    6. 选择角色服务页面中,单击“Routing and Remote Access Services”,选定“Remote Access Service”和“Routing”,然后单击“Next”。

      添加角色向导:选择角色服务
    7. 确认安装选项页面中,单击“Install”。

    8. 在向导结束时,单击“Close”。

配置和启用路由和远程访问服务器。

  1. 在 Server Manager 导航窗格中,展开“Roles”然后展开“Network Policy and Access”。

  2. 右键单击“Routing and Remote Access Server”,然后单击“Configure and Enable Routing and Remote Access”。

  3. 在“Routing and Remote Access Setup Wizard”中,在欢迎页面中,单击“Next”。

  4. 配置页面中,单击“Custom Configuration”然后单击“Next”。

  5. 单击“LAN routing”,然后单击“Next”。

  6. 单击 Finish (完成)

  7. 当出现“Routing and Remote Access”对话框提示时,单击“Start service”。

第 4 步:设置 VPN 隧道

通过运行所下载的配置文件中的 netsh 脚本,或者使用 Windows Server 中的“新建连接安全规则向导”,可以配置 VPN 隧道。

重要

我们建议您在 IPsec 会话中使用主密钥完美前向保密 (PFS)。但是,您无法使用 Windows Server 2008 R2 用户界面启用 PFS;您只可以通过运行 Netsh 脚本“qmpfs=dhgroup2”启用此设置。因此,在您确定选项之前,您应考虑您的要求。有关更多信息,请转到 Microsoft TechNet 库 中的密钥交换设置部分。

选项 1:运行 netsh 脚本

复制已下载配置文件中的 Netsh 脚本,并更换变量。以下为示例脚本。

Copy
netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^ Profile=any Type=Static Mode=Tunnel LocalTunnelEndpoint=Windows_Server_Private_IP_address ^ RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix ^ Endpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^ Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^ QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name:您可以用自己选择的名称替换建议名称(VGW-1a2b3c4d Tunnel 1)

LocalTunnelEndpoint:输入您网络上的 Windows Server 的私有 IP 地址。

Endpoint1:Windows Server 所在网络的 CIDR 块,例如 172.31.0.0/16

Endpoint2:您的 VPC 或 VPC 中的子网的 CIDR 块,例如,10.0.0.0/16

在命令提示符窗口中运行已更新的脚本。(^可让您剪切和粘贴命令行中的折叠文本)。要设置此 VPN 连接的第二条 VPN 隧道,请使用配置文件中的第二个 Netsh 脚本重复该过程。

完成后,请转到 2.4:配置 Windows 防火墙

有关 Netsh 参数的更多信息,请转到 Microsoft TechNet 库 中的 Netsh AdvFirewall Consec 命令部分。

选项 2:使用 Windows Server 用户界面

您还可以使用 Windows Server 用户界面以设置 VPN 隧道。此部分将引导您完成此步骤。

重要

您无法使用 Windows Server 2008 R2 用户界面启用主密钥完美前向保密 (PFS)。因此,如果您决定使用 PFS,您必须使用选项 1 中描述的 Netsh 脚本,而不是此选项中描述的用户界面。

2.1:为 VPN 隧道配置安全规则

在这部分中,将在 Windows 服务器上配置安全规则以创建 VPN 隧道。

为 VPN 隧道配置一个安全规则

  1. 在 Server Manager 导航窗格中,展开“Configuration”,然后展开“Windows Firewall with Advanced Security”。

  2. 右键单击“Connection Security Rules”,然后单击“New Rule”。

  3. 在“New Connection Security Rule”向导中,在规则类型页面中,单击“Tunnel”然后单击“Next”。

  4. 隧道类型页面中,在“What type of tunnel would you like to create”项下,单击“Custom Configuration”。在“Would you like to exempt IPsec-protected connections from this tunnel”选项下,选定默认值(“No.Send all network traffic that matches this connection security rule through the tunnel”),然后单击“Next”。

  5. 要求页面中,单击“Require authentication for inbound connections.Do not establish tunnels for outbound connections”,然后单击“Next”。

    要求页面
  6. 隧道终端节点页面中,在“Which computers are in Endpoint 1”选项下,单击“Add”。输入您的网络的 CIDR 范围 (Windows 服务器客户网关之后),然后单击 OK (确定)。(请注意,范围可包含您的客户网关的 IP 地址。)

  7. 在“What is the local tunnel endpoint (closest to computer in Endpoint 1)”选项下,单击“Edit”。输入您的 Windows 服务器的私有 IP 地址,然后单击 OK (确定)

  8. 在“What is the remote tunnel endpoint (closest to computers in Endpoint 2)”选项下,单击“Edit”。从配置文件中输入隧道 1 的虚拟专用网关的 IP 地址 (参见Remote Tunnel Endpoint),然后单击“OK”。

    重要

    如果您正在对隧道 2 重复此步骤,请确保选择隧道 2 的终端节点。

  9. 在“Which computers are in Endpoint 2”选项下,单击“Add”。输入您的 VPC 的 CIDR 块,然后单击“OK”。

    重要

    您必须在此对话框中进行滚动,直至您找到 Which computers are in Endpoint 2 (终端节点 2 中的计算机) 为止。在完成此步骤之前请勿单击 Next (下一步),否则您将无法连接到您的服务器。

    新连接安全规则向导:隧道终端节点
  10. 确认您指定的所有设置都正确无误,然后单击“Next”。

  11. 身份验证方法页面中,选择“Advanced”然后单击“Customize”。

  12. First authentication methods (基本身份验证方法) 选项下,单击 Add (添加)

  13. 选择 Pre-Shared key (预共享密钥值),从配置文件中输入预共享密钥值,然后单击 OK (确定)

    重要

    如果要对隧道 2 重复此步骤,请确保选择隧道 2 的预共享密钥。

    添加基本身份验证方法
  14. 确保“First authentication is optional”未被选定,然后单击“OK”。

  15. 身份验证方法页面中,单击“Next”。

  16. 配置文件页面中,勾选所有三个选框:“Domain”、“Private”和“Public”,然后单击“Next”。

  17. 名称页面中,为您的连接规则输入名称,然后单击“Finish”。

    新连接安全规则向导

重复以上步骤,从配置文件中指定隧道 2 的数据。

完成后,您的 VPN 连接即配置了两条隧道。

2.3:确认隧道配置

确认隧道配置

  1. 在 Server Manager 导航窗格中,展开“Configuration”节点,展开“Windows Firewall with Advanced Security”,然后单击“Connection Security Rules”。

  2. 验证两条隧道的以下设置:

    • Enabled (已启用)Yes

    • 身份验证模式Require inbound and clear outbound

    • 身份验证方法Custom

    • Endpoint 1 port (终端节点 2 端口)Any

    • Endpoint 2 port (终端节点 2 端口)Any

    • Protocol (协议)Any

  3. 双击第一条隧道的安全规则。

  4. 在“Computers”选项卡中,验证以下设置:

    • Endpoint 1中,CIDR 块范围显示匹配您的网络的 CIDR 块范围。

    • Endpoint 2中,CIDR 块范围显示匹配您的 VPC 的 CIDR 块范围。

  5. Authentication (身份验证) 选项卡中,在 Method (方式) 下,单击 Customize (自定义) 并确认 First authentication methods (基本身份验证方法) 包含选自隧道配置文件的正确预共享密钥,然后单击 OK (确定)

  6. Advanced (高级) 选项卡中,验证 Domain (域)Private (私有)Public (公有) 都已被选定。

  7. 在“IPsec tunneling”选项下,单击“Customize”。验证以下 IPsec 隧道化设置。

    • Use IPsec tunneling (使用 IPsec 隧道) 已选定。

    • Local tunnel endpoint (closest to Endpoint 1) (本地隧道终端节点(最接近终端节点 1)) 中包含您的服务器的 IP 地址。如果客户网关是 Windows 服务器实例,这就是该实例的私有 IP 地址。

    • Remote tunnel endpoint (closest to Endpoint 2) (本地隧道终端节点 (最接近终端节点 2)) 中包含此隧道的虚拟专用网关的 IP 地址。

  8. 双击第二条隧道的安全规则。对此隧道重复第 4 步到第 7 步。

2.4:配置 Windows 防火墙

在您设置了服务器的安全规则之后,您需要配置一些基本 IPsec 设置以供虚拟专用网关使用。

配置 Windows 防火墙

  1. 在服务器管理器导航窗格中,右键单击 Windows Firewall with Advanced Security (高级安全 Windows 防火墙),然后单击 Properties (属性)

  2. 单击“IPsec Settings”选项卡。

  3. 在“IPsec exemptions”选项下,验证“Exempt ICMP from IPsec”为“No (默认值)”。验证“IPsec tunnel authorization”为“None”。

  4. 在“IPsec defaults”选项下,单击“Customize”。

  5. 在“Customize IPsec Settings”对话框的“Key exchange (Main Mode)”选项下,选择“Advanced”,然后单击“Customize”。

  6. Customize Advanced Key Exchange Settings (自定义高级密钥交换设置)Security methods (安全方式) 选项下,验证第一项条目使用的是这些默认值。

    • 完整性:SHA-1

    • 加密术:AES-CBC 128

    • 密钥交换算法:Diffie-Hellman Group 2

    • 在“Key lifetimes”选项下,验证“Minutes”为480,并且“Sessions”为0

    以下配置与配置文件中的条目对应:

    Copy
    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec
    自定义高级密钥交换设置
  7. 在“Key exchange options”选项下,选择“Use Diffie-Hellman for enhanced security”然后单击“OK”。

  8. 在“Data protection (Quick Mode)”选项下,单击“Advanced”然后单击“Customize”。

  9. 单击 Require encryption for all connection security rules that use these settings

  10. Data integrity and encryption algorithms 选项下,保留默认值:

    • 协议:ESP

    • 完整性:SHA-1

    • 加密术:AES-CBC 128

    • 使用期限:60 分钟

    这些数值与配置文件中的以下条目对应。

    Copy
    QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb
  11. 单击 OK 返回 Customize IPsec Settings 对话框,再次单击 OK 保存配置。

第 5 步:启用失效网关检测

接下来,您需要配置 TCP,以删除无法使用的网关。也可以修改注册表键以完成此操作:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters。在完成前面的部分之前,不要执行此步骤。在您更改注册密钥之后,您必须重新启动服务器。

启用失效网关检测

  1. 在服务器上,单击开始并输入 regedit 以启动注册表编辑器。

  2. 展开 HKEY_LOCAL_MACHINE、展开 SYSTEM、展开 CurrentControlSet、展开 Services、展开 Tcpip,然后展开 Parameters

  3. 在另一个窗格中,右键单击,指向新建,并选择 DWORD (32 位) 值

  4. 输入名称EnableDeadGWDetect

  5. 右键单击 EnableDeadGWDetect,然后单击修改

  6. 值数据中,输入 1,然后单击确定

  7. 关闭注册表编辑器,并重新启动服务器。

有关更多信息,请参阅 Microsoft TechNet 库 中的 EnableDeadGWDetect

步骤 6:测试 VPN 连接

要测试 VPN 连接是否正常工作,请在 VPC 中启动一个实例,并确保该实例没有 Internet 连接。启动实例后,从您的 Windows 服务器对该实例的私有 IP 地址执行 Ping 操作。当客户网关生成流量时,VPN 隧道会启动,因此 Ping 命令还会启动 VPN 连接。

在 VPC 中启动实例并获取其私有 IP 地址

  1. 打开 Amazon EC2 控制台,单击 Launch Instance

  2. 选择 Amazon Linux AMI,然后选择实例类型。

  3. Step3: Configure Instance Details 页面上,从 Network 列表中选择 VPC,并从 Subnet 列表中选择子网。确保选择您在 步骤 1:创建 VPN 连接并配置您的 VPC中配置的私有子网。

  4. Auto-assign Public IP 列表中,确保该设置已设置为 Disable

  5. 单击 Next,直至到达 Step 6: Configure Security Group 页面。您可以选择已在 步骤 1:创建 VPN 连接并配置您的 VPC中配置的现有安全组,也可以创建新安全组并确保该组有规则允许来自您的 Windows 服务器的 IP 地址的所有 ICMP 流量。

  6. 完成向导中的其余步骤,然后启动实例。

  7. Instances (实例) 页面上,选择您的 实例。在详细信息窗格上的 Private IPs 字段中获取私有 IP 地址。

连接或登录您的 Windows 服务器,打开命令提示符,然后使用 ping 命令和实例的私有 IP 地址对实例执行 Ping 操作;例如:

Copy
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
		
Ping statistics for 10.0.0.4:
	Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
	Minimum = 2ms, Maximum = 2ms, Average = 2ms

如果 ping 命令失败,请检查以下信息:

  • 确保您配置了安全组规则以允许 ICMP 流向您的 VPC 中的实例。如果您的 Windows 服务器是 EC2 实例,请确保其安全组出站规则允许 IPsec 流量。有关更多信息,请参阅 配置 Windows Server

  • 确保您向其发送 ping 命令的实例上的操作系统已配置为响应 ICMP。建议您使用一个 Amazon Linux AMI。

  • 如果您向其发送 ping 命令的实例是 Windows 实例,请登录实例,然后在 Windows 防火墙上启用入站 ICMPv4。

  • 确保为您的 VPC 或子网正确配置了路由表。有关更多信息,请参阅 步骤 1:创建 VPN 连接并配置您的 VPC

  • 如果客户网关是 Windows 服务器实例,请确保您已禁用该实例的源/目标检查。有关更多信息,请参阅 配置 Windows Server

在 Amazon VPC 控制台的 VPN Connections 页面上,选择 VPC 连接。第一条隧道处于 UP 状态。第二条隧道应同时配置,但除非第一条隧道出现故障,否则第二条隧道将无法使用。稍候几分钟,以建立加密隧道。