Amazon Virtual Private Cloud
网络管理员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

将 Windows Server 2012 R2 配置为客户网关

您可以配置 Windows Server 2012 R2,使其作为您的 VPC 客户网关。无论您是在 VPC 中的 EC2 实例上还是在自己的服务器上运行 Windows Server 2012 R2,都应执行以下过程。

配置 Windows Server

要将 Windows Server 配置为客户网关,请确保您自己的网络上或 VPC 中的 EC2 实例上有 Windows Server 2012 R2。如果使用从 Windows AMI 启动的 EC2 实例,请执行以下操作:

  • 禁用实例的源/目标检查:

    1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

    2. 选择您的 Windows Server 实例,然后依次选择 ActionsNetworkingChange Source/Dest. Check。选择 Yes, Disable

  • 更新适配器设置,以便您可以路由来自其他实例的流量:

    1. 连接到您的 Windows 实例。有关更多信息,请参阅连接到您的 Windows 实例

    2. 打开控制面板,启动设备管理器。

    3. 展开网络适配器节点。

    4. 选择 AWS 半虚拟化网络设备,然后依次选择操作属性

    5. 高级选项卡中,禁用 IPv4 校验和卸载TCP 校验和卸载(IPv4)UDP 校验和卸载(IPv4) 属性,然后选择 确定

  • 将弹性 IP 地址与实例相关联:

    1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

    2. 在导航窗格中,选择 Elastic IPs。选择 Allocate new address

    3. 选择弹性 IP 地址,然后依次选择 ActionsAssociate Address

    4. 对于 Instance,选择您的 Windows Server 实例。选择 Associate

    请记下此地址。当您在 VPC 中创建客户网关时,将需要此地址。

  • 确保实例的安全组规则允许出站 IPsec 流量。默认情况下,安全组允许所有出站流量;不过,如果安全组的出站规则已修改为非原始状态,则必须针对 IPsec 流量创建以下出站自定义规则:IP 协议 50、IP 协议 51 和 UDP 500。

记下 Windows 服务器所在网络的 CIDR 范围,例如,172.31.0.0/16

步骤 1:创建 VPN 连接并配置您的 VPC

要从 VPC 创建 VPN 连接,您必须首先创建虚拟专用网关并将其附加到 VPC。然后您可以创建 VPN 连接和配置 VPC。您必须还要有 Windows 服务器所在网络的 CIDR 范围,例如 172.31.0.0/16

创建虚拟专用网关

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Virtual Private Gateways,然后选择 Create Virtual Private Gateway

  3. 您可选择为您的虚拟专用网关输入名称,然后选择 Yes, Create

  4. 选择您已创建的虚拟专用网关,然后选择 Attach to VPC

  5. Attach to VPC 对话框中,从列表中选择您的 VPC,然后选择 Yes, Attach

创建 VPN 连接

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 VPN Connections,然后选择 Create VPN Connection

  3. 从列表中选择虚拟专用网关。

  4. 对于 Customer Gateway,选择 New。对于 IP address,指定您的 Windows Server 的公有 IP 地址。

    注意

    IP 地址必须是静态的,可位于执行网络地址转换 (NAT) 任务的设备之后。为确保 NAT 遍历 (NAT-T) 能够正常工作,必须调整防火墙规则,使之开放 UDP 端口 4500。如果客户网关是 EC2 Windows Server 实例,请使用其弹性 IP 地址。

  5. 选择 Static 路由选项,用 CIDR 表示法输入网络的 Static IP Prefixes 值,然后选择 Yes, Create

配置您的 VPC

  • 在 VPC 中创建私有子网 (如果您还没有),以用于启动将与 Windows 服务器通信的实例。有关更多信息,请参阅向您的 VPC 添加子网

    注意

    私有子网是不路由到 Internet 网关的子网。下一个项目中描述了此子网的路由。

  • 更新您的 VPN 连接的路由表:

    • 向私有子网的路由表添加路由,以虚拟专用网关作为目标,以 Windows 服务器的网络 (CIDR 范围) 作为目的地。

    • 为虚拟专用网关启用路由传播。有关更多信息,请参阅 Amazon VPC 用户指南 中的路由表

  • 为您的实例创建安全组配置,以允许在 VPC 与您的网络之间进行通信:

    • 添加允许来自您的网络的入站 RDP 或 SSH 访问的规则。这样,您可以从您的网络连接到 VPC 中的实例。例如,要允许您的网络中的计算机访问您的 VPC 中的 Linux 实例,请创建一个 SSH 类型、源设置为您的网络的 CIDR 范围 (如 172.31.0.0/16) 的入站规则。有关更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组

    • 添加允许来自您的网络的入站 ICMP 访问的规则。这样,通过从 Windows 服务器对 VPC 中的实例执行 ping 操作,可以测试您的 VPN 连接。

第 2 步:下载 VPN 连接的配置文件

您可以使用 Amazon VPC 控制台为您的 VPN 连接下载 Windows 服务器配置文件。

下载配置文件

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 VPN Connections

  3. 选择您的 VPN 连接,然后选择 Download Configuration

  4. 选择 Microsoft 作为供应商,Windows Server 作为平台,2012 R2 作为软件。选择 Yes, Download。您可以打开或保存文件。

配置文件包含一节类似于以下示例的信息。这些信息将出现两次,每条隧道一次。您将使用此部分信息配置 Windows Server 2012 R2 服务器。

Copy
vgw-1a2b3c4d Tunnel1 -------------------------------------------------------------------- Local Tunnel Endpoint:       203.0.113.1 Remote Tunnel Endpoint:      203.83.222.237 Endpoint 1:                  [Your_Static_Route_IP_Prefix] Endpoint 2:                  [Your_VPC_CIDR_Block] Preshared key:               xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE
Local Tunnel Endpoint

客户网关 (此例中为您的 Windows 服务器) 的 IP 地址,客户网关可终止您的网络端的 VPN 连接。如果客户网关是 Windows 服务器实例,这就是该实例的私有 IP 地址。

Remote Tunnel Endpoint

虚拟专用网关的两个 IP 地址之一,可通过 VPN 连接的 AWS 一端终止连接。

Endpoint 1

在您创建 VPN 连接时,您指定作为静态路由的 IP 前缀。您的网络中的这些 IP 地址被允许使用 VPN 连接访问您的 VPC。

Endpoint 2

连接虚拟专用网关的 VPC 的 IP 地址范围 (CIDR 块) (例如 10.0.0.0/16)。

Preshared key

用于建立 Local Tunnel EndpointRemote Tunnel Endpoint 之间的 IPsec VPN 连接的预共享密钥。

我们建议您将两条隧道配置为 VPN 连接的一部分。每条隧道都连接一个单独的 VPN 集线器 (在 VPN 连接的 Amazon 一端)。尽管每次只可使用一条隧道,但第二条隧道会在第一条隧道出现故障时自动建立连接。冗余隧道可在出现设备故障时保证连续可用性。由于一次仅一条隧道可用,Amazon VPC 控制台指示一条隧道处于关闭状态。这是预期行为,因此无需您采取任何操作。

在配置完两条隧道后,如果 AWS 内出现设备故障,您的 VPN 连接会在几分钟之内自动故障转移到 AWS 虚拟专用网关的第二条隧道。在您配置客户网关时,务必配置两条隧道。

注意

AWS 会时常对虚拟专用网关执行例行维护。这项维护会在短时间内禁用您的 VPN 连接的两条隧道中的一条。当我们执行维护任务时,您的 VPN 连接会自动故障转移到第二条隧道。

有关 Internet 密钥交换 (IKE) 和 IPsec 安全关联 (SA) 的信息已发布在下载的配置文件中。因为 VPC VPN 建议设置与 Windows Server 2012 R2 默认 IPsec 配置设置相同,因此您只需完成极少的工作。

Copy
MainModeSecMethods: DHGroup2-AES128-SHA1 MainModeKeyLifetime: 480min,0sess QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb QuickModePFS: DHGroup2
MainModeSecMethods

IKE SA 的加密和身份验证算法。这些是 VPN 连接的推荐设置和 Windows Server 2012 R2 IPsec VPN 连接的默认设置。

MainModeKeyLifetime

IKE SA 密钥使用期限。这是 VPN 连接的推荐设置以及 Windows Server 2012 R2 IPsec VPN 连接的默认设置。

QuickModeSecMethods

IPsec SA 的加密和身份验证算法。这些是 VPN 连接的推荐设置和 Windows Server 2012 R2 IPsec VPN 连接的默认设置。

QuickModePFS

我们建议您在 IPsec 会话中使用主密钥完美前向保密 (PFS)。

步骤 3:配置 Windows Server

在设置 VPN 隧道之前,您必须在 Windows 服务器上安装并配置路由和远程访问服务,以便允许远程用户访问您的网络上的资源。

在 Windows Server 2012 R2 上安装路由和远程访问服务

  1. 登录 Windows Server 2012 R2 服务器。

  2. 转到开始菜单,然后选择服务器管理器

  3. 安装路由和远程访问服务:

    1. 管理菜单中,选择添加角色和功能

    2. 开始之前页面中,确认您的服务器满足先决条件,然后选择下一步

    3. 选择基于角色或基于功能的安装,然后选择下一步

    4. 选择从服务器池中选择服务器,然后选择您的 Windows 2012 R2 服务器,最后选择下一步

    5. 在列表中选择网络策略和访问服务。在显示的对话框中选择添加功能以确认此角色所需的功能。

    6. 在同一列表中,选择远程访问,然后选择下一步

    7. 选择功能页面上,选择下一步

    8. 网络策略和访问服务 页面中,选择下一步。将网络策略服务器保留为选中状态,然后选择下一步

    9. 远程访问页面上,选择下一步。在下一页上,选择DirectAccess 和 VPN (RAS)。在显示的对话框中选择添加功能以确认此角色服务所需的功能。在同一列表中,选择路由,然后选择下一步

    10. Web 服务器角色(IIS) 页面上,选择下一步。保留默认选择,然后选择下一步

    11. 选择安装。安装完成后,选择关闭

配置和启用路由和远程访问服务器。

  1. 在仪表板上,选择通知 (旗帜图标)。此时应该还有一项任务是完成部署后配置。选择打开开始向导链接。

  2. 选择仅部署 VPN

  3. 路由和远程访问对话框中,选择服务器名称,选择操作,然后选择配置并启用路由和远程访问

  4. 路由和远程访问服务器安装向导的第一个页面上,选择下一步

  5. 配置页面中,选择自定义配置,然后选择下一步

  6. 依次选择 LAN 路由下一步完成

  7. 当出现路由和远程访问对话框提示时,选择启动服务

第 4 步:设置 VPN 隧道

通过运行所下载的配置文件中的 netsh 脚本,或者使用 Windows Server 中的“新建连接安全规则向导”,可以配置 VPN 隧道。

重要

我们建议您在 IPsec 会话中使用主密钥完美前向保密 (PFS)。如果您选择运行 netsh 脚本,它包含一个用于启用 PFS 的参数 (qmpfs=dhgroup2)。您不能使用 Windows Server 2012 R2 用户界面启用 PFS,而是必须使用命令行来启用。

选项 1:运行 netsh 脚本

复制已下载配置文件中的 Netsh 脚本,并更换变量。以下为示例脚本。

Copy
netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" ^ Enable=Yes Profile=any Type=Static Mode=Tunnel ^ LocalTunnelEndpoint=Windows_Server_Private_IP_address ^ RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix ^ Endpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut ^ Auth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^ QMSecMethods=ESP:SHA1-AES128+60min+100000kb ^ ExemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name:您可以用自己选择的名称替换建议名称(vgw-1a2b3c4d Tunnel 1)

LocalTunnelEndpoint:输入您网络上的 Windows Server 的私有 IP 地址。

Endpoint1:Windows Server 所在网络的 CIDR 块,例如 172.31.0.0/16

Endpoint2:您的 VPC 或 VPC 中的子网的 CIDR 块,例如,10.0.0.0/16

在 Windows 服务器上的命令提示行窗口中运行已更新的脚本。(^可让您剪切和粘贴命令行中的折叠文本)。要设置此 VPN 连接的第二条 VPN 隧道,请使用配置文件中的第二个 Netsh 脚本重复该过程。

完成后,请转到 2.4:配置 Windows 防火墙

有关 Netsh 参数的更多信息,请转到 Microsoft TechNet 库 中的 Netsh AdvFirewall Consec 命令部分。

选项 2:使用 Windows Server 用户界面

您还可以使用 Windows Server 用户界面以设置 VPN 隧道。此部分将引导您完成此步骤。

重要

您无法使用 Windows Server 2012 R2 用户界面启用主密钥完美前向保密 (PFS)。您必须如启用主密钥完全向前保密所述使用命令行启用 PFS。

2.1:为 VPN 隧道配置安全规则

在这部分中,将在 Windows 服务器上配置安全规则以创建 VPN 隧道。

为 VPN 隧道配置一个安全规则

  1. 打开“服务器管理器”,选择工具,然后选择高级安全 Windows 防火墙

  2. 选择连接安全规则操作新建规则

  3. 新建连接安全规则向导中的规则类型页面上,选择隧道,然后选择下一步

  4. 隧道类型页面中的您希望创建什么类型的隧道? 下,选择自定义配置。在“Would you like to exempt IPsec-protected connections from this tunnel”选项下,选定默认值(“No.通过隧道发送与该连接安全规则匹配的所有网络流量),然后选择下一步

  5. 要求页面中,选择要求对入站连接进行身份验证。不要为出站连接建立隧道,然后选择下一步

  6. 隧道终结点页面中,在终结点 1 中的计算机选项下,选择添加。输入您的网络的 CIDR 范围 (在 Windows 服务器客户网关之后,例如 172.31.0.0/16),然后选择确定。(请注意,范围可包含您的客户网关的 IP 地址。)

  7. 什么是本地隧道终结点(最接近终结点 1 中的计算机) 下,选择编辑。在 IPv4 地址字段中,输入您的 Windows 服务器私有 IP 地址,然后选择确定

  8. 什么是远程隧道终结点(最接近终结点 2 中的计算机) 下,选择编辑。在 IPv4 地址字段中,输入配置文件中隧道 1 的虚拟专用网关的 IP 地址 (请参阅 Remote Tunnel Endpoint),然后选择确定

    重要

    如果您正在对隧道 2 重复此步骤,请确保选择隧道 2 的终端节点。

  9. 终结点 2 中的计算机下,选择添加。在此 IP 地址或子网字段中,输入您的 VPC 的 CIDR 块,然后选择确定

    重要

    您必须在此对话框中进行滚动,直至您找到 Which computers are in Endpoint 2 (终端节点 2 中的计算机) 为止。在完成此步骤之前请勿单击下一步,否则您将无法连接到您的服务器。

    新连接安全规则向导:隧道终端节点
  10. 确认您指定的所有设置都正确无误,然后选择下一步

  11. 身份验证方法页面中,选择高级,然后选择自定义

  12. 第一身份验证方法下,选择添加

  13. 选择预共享密钥,输入配置文件中的预共享密钥值,然后选择确定

    重要

    如果要对隧道 2 重复此步骤,请确保选择隧道 2 的预共享密钥。

  14. 确保未选中第一身份验证可选,然后选择确定

  15. 选择 Next

  16. 配置文件 页面上,选择全部三个复选框:私有公有,然后单击下一步

  17. 名称页面中,为您的连接规则输入名称;例如 VPN to AWS Tunnel 1,然后选择完成

重复以上步骤,从配置文件中指定隧道 2 的数据。

完成后,您的 VPN 连接即配置了两条隧道。

2.3:确认隧道配置

确认隧道配置

  1. 打开服务器管理器,选择工具,选择高级安全 Windows 防火墙,然后选择连接安全规则

  2. 验证两条隧道的以下设置:

    • Enabled (已启用)Yes

    • 终结点 1 是您的网络的 CIDR 块

    • 终结点 2 是您的 VPC 的 CIDR 块

    • 身份验证模式Require inbound and clear outbound

    • 身份验证方法Custom

    • Endpoint 1 port (终端节点 2 端口)Any

    • Endpoint 2 port (终端节点 2 端口)Any

    • Protocol (协议)Any

  3. 选择第一个规则,然后选择属性

  4. 身份验证 选项卡中的方法下,选择自定义并确认第一身份验证方法包含隧道配置文件中的正确预共享密钥,然后选择确定

  5. Advanced (高级) 选项卡中,验证 Domain (域)Private (私有)Public (公有) 都已被选定。

  6. IPsec 隧道下,选择自定义。验证以下 IPsec 隧道设置,然后两次选择确定,再关闭对话框。

    • Use IPsec tunneling (使用 IPsec 隧道) 已选定。

    • 本地隧道终结点(最接近终结点 1) 包含 Windows 服务器的 IP 地址。如果客户网关是 EC2 实例,这就是该实例的私有 IP 地址。

    • Remote tunnel endpoint (closest to Endpoint 2) (本地隧道终端节点 (最接近终端节点 2)) 中包含此隧道的虚拟专用网关的 IP 地址。

  7. 打开您的第二条隧道的属性。对此隧道重复第 4 步到第 7 步。

启用主密钥完全向前保密

您可以使用命令行启用主密钥完全向前保密。此功能不能通过用户界面启用。

启用主密钥完全向前保密

  1. 在您的 Windows 服务器中打开新的命令提示符窗口。

  2. 输入以下命令,将 rule_name 替换为您为第一个连接规则提供的名称。

    Copy
    netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb
  3. 对第二条隧道重复执行步骤 2,这次使用您为第二个连接规则提供的名称替换 rule_name

2.4:配置 Windows 防火墙

在您设置了服务器的安全规则之后,您需要配置一些基本 IPsec 设置以供虚拟专用网关使用。

配置 Windows 防火墙

  1. 打开“服务器管理器”,选择工具,选择高级安全 Windows 防火墙,然后选择属性

  2. IPsec 设置选项卡中的 IPsec 免除下,确认从 IPSec 免除 ICMP 已设置为否(默认值)。验证“IPsec tunnel authorization”为“None”。

  3. IPsec 默认值下,选择自定义

  4. 密钥交换(主模式) 下,选择高级,然后选择自定义

  5. Customize Advanced Key Exchange Settings (自定义高级密钥交换设置)Security methods (安全方式) 选项下,验证第一项条目使用的是这些默认值。

    • 完整性:SHA-1

    • 加密术:AES-CBC 128

    • 密钥交换算法:Diffie-Hellman Group 2

    • 在“Key lifetimes”选项下,验证“Minutes”为480,并且“Sessions”为0

    以下配置与配置文件中的条目对应:

    Copy
    MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec
  6. 密钥交换选项下,选择将 Diffie-Hellman 用于增强的安全性,然后选择确定

  7. 数据保护(快速模式)下,选择高级,然后选择自定义

  8. 选择要求所有使用这些设置的连接安全规则使用加密

  9. Data integrity and encryption (数据完整性和加密算法) 选项下,保留默认值:

    • 协议:ESP

    • 完整性:SHA-1

    • 加密术:AES-CBC 128

    • 使用期限:60 分钟

    这些值与配置文件中的以下条目对应。

    Copy
    QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb
  10. 选择确定以返回到自定义 IPsec 设置对话框,再次选择确定以保存配置。

第 5 步:启用失效网关检测

接下来,您需要配置 TCP,以删除无法使用的网关。也可以修改注册表键以完成此操作:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters。在完成前面的部分之前,不要执行此步骤。在您更改注册密钥之后,您必须重新启动服务器。

启用失效网关检测

  1. 在您的 Windows 服务器上,启动命令提示符或 PowerShell 会话,并键入 regedit 以启动注册表编辑器。

  2. 展开“HKEY_LOCAL_MACHINE”、展开“SYSTEM”、展开“CurrentControlSet”、展开“Services”、展开“Tcpip”然后展开“Parameters”。

  3. 编辑菜单中,选择新建,然后选择 DWORD (32-位)值

  4. 输入名称EnableDeadGWDetect

  5. 选择 EnableDeadGWDetect,然后选择编辑菜单中的修改

  6. 值数据中,输入 1,然后选择确定

  7. 关闭注册表编辑器,并重新启动服务器。

有关更多信息,请参阅 Microsoft TechNet 库 中的 EnableDeadGWDetect

步骤 6:测试 VPN 连接

要测试 VPN 连接是否正常工作,请在 VPC 中启动一个实例,并确保该实例没有 Internet 连接。启动实例后,从您的 Windows 服务器对该实例的私有 IP 地址执行 Ping 操作。当客户网关生成流量时,VPN 隧道会启动,因此 Ping 命令还会启动 VPN 连接。

在 VPC 中启动实例并获取其私有 IP 地址

  1. 打开 Amazon EC2 控制台,然后选择 Launch Instance

  2. 选择 Amazon Linux AMI,然后选择实例类型。

  3. Step3: Configure Instance Details 页面上,从 Network 列表中选择 VPC,并从 Subnet 列表中选择子网。确保选择您在 步骤 1:创建 VPN 连接并配置您的 VPC中配置的私有子网。

  4. Auto-assign Public IP 列表中,确保该设置已设置为 Disable

  5. 选择 Next,直至到达 Step 6: Configure Security Group 页面。您可以选择已在 步骤 1:创建 VPN 连接并配置您的 VPC中配置的现有安全组,也可以创建新安全组并确保该组有规则允许来自您的 Windows 服务器的 IP 地址的所有 ICMP 流量。

  6. 完成向导中的其余步骤,然后启动实例。

  7. Instances (实例) 页面上,选择您的 实例。在详细信息窗格上的 Private IPs 字段中获取私有 IP 地址。

连接或登录您的 Windows 服务器,打开命令提示符,然后使用 ping 命令和实例的私有 IP 地址对实例执行 Ping 操作;例如:

Copy
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
Reply from 10.0.0.4: bytes=32 time=2ms TTL=62
		
Ping statistics for 10.0.0.4:
	Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
	Minimum = 2ms, Maximum = 2ms, Average = 2ms

如果 ping 命令失败,请检查以下信息:

  • 确保您配置了安全组规则以允许 ICMP 流向您的 VPC 中的实例。如果您的 Windows 服务器是 EC2 实例,请确保其安全组出站规则允许 IPsec 流量。有关更多信息,请参阅 配置 Windows Server

  • 确保您向其发送 ping 命令的实例上的操作系统已配置为响应 ICMP。建议您使用一个 Amazon Linux AMI。

  • 如果您向其发送 ping 命令的实例是 Windows 实例,请连接该实例,然后在 Windows 防火墙上启用入站 ICMPv4。

  • 确保为您的 VPC 或子网正确配置了路由表。有关更多信息,请参阅 步骤 1:创建 VPN 连接并配置您的 VPC

  • 如果客户网关是 Windows 服务器实例,请确保您已禁用该实例的源/目标检查。有关更多信息,请参阅 配置 Windows Server

在 Amazon VPC 控制台中的 VPN Connections (VPN 连接) 页面上,选择您的 VPN 连接。第一条隧道处于 UP 状态。第二条隧道应同时配置,但除非第一条隧道出现故障,否则第二条隧道将无法使用。稍候几分钟,以建立加密隧道。