VPN-Verbindungen in VPNaaS über Endpunktgruppen konfigurieren (empfohlen)

Bei der Konfiguration eines VPN-Dienstes in VPNaaS kann standardmäßig nur ein lokales Netz angegeben werden. Endpunktgruppen sind Entitäten, die die Gruppierung von lokalen Netzwerken ermöglichen, woraufhin diese Gruppen bei der Konfiguration der IPsec-Verbindung verwendet werden können. Hier wird die Konfiguration der Verbindung anhand von Endpunktgruppen beschrieben. Die internen Netzwerke, die an der Konfiguration beteiligt sind (lokal und remote), werden in Endpunktgruppen angegeben.

Hinweis

Um eine IPsec-VPN-Verbindung aufzubauen, müssen folgende Voraussetzungen erfüllt sein:

• Netzwerkverfügbarkeit zwischen den Routern:

  • Protocol: UDP, port 500 (für IKE, zur Verwaltung von encryption keys).
  • Protocol: UDP, port 4500 (für IPSEC NAT-Traversal mode).
  • Protocol: ESP, value 50 (für IPSEC).
  • Protocol: AH, value 51 (für IPSEC).

• Die Firewall-Regeln dürfen den Netzwerkverkehr zwischen den Routern und den privaten Subnetzen nicht blockieren.

• Die privaten Subnetze, die über IPSec verbunden werden, müssen unterschiedlich sein und dürfen sich nicht gegenseitig einschließen.

Die Konfiguration eines VPNaaS-Dienstes unter Verwendung von Endpunktgruppen besteht aus den folgenden Schritten:

• Hinzufügen der IKE Policy
• Hinzufügen der IPsec Policy
• Hinzufügen des VPN-Dienstes
• Erstellen Sie eine Endpunktgruppe für lokale Netzwerke des Cloud-Projekts
• `Erstellen einer Endpunktgruppe für entfernte lokale Netzwerke`_
• Hinzufügen der IPSec-Verbindung
• Konfigurieren Sie die VPN-Verbindung mit Openstack CLI

Hinzufügen der IKE Policy

1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
2. Öffnen Sie „IKE POLICIES“ .
3. Klicken Sie auf IKE POLICY HINZUFÜGEN.
4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:

„Add IKE Policy“

Name	Enter name of policy
Encryption algorithm	Select the required encryption algorithm
IKE version	Select the required IKE version

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

5. Klicken Sie auf HINZUFÜGEN.

Hinzufügen der IPsec Policy

1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
2. Öffnen Sie „IPSEC POLICIES“ .
3. Klicken Sie auf „IPSEC POLICY HINZUFÜGEN“.
4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:

„Add IPSec Policy“

Name	Enter name of policy
Encryption algorithm	Select the required encryption algorithm

Belassen Sie die übrigen Felder auf ihren Standardeinstellungen.

5. Klicken Sie auf „HINZUFÜGEN“.

Hinzufügen des VPN-Dienstes

1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
2. Öffnen Sie „VPN SERVICES“ .
3. Klicken Sie auf ‘VPN SERVICE HINZUFÜGEN’.
4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:

„Add IKE Policy“

Name	Enter service name
Router	Select the project router that will be used

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

5. Klicken Sie auf “ HINZUFÜGEN“.

Hinweis

Nach der Erstellung wird der VPN-Dienst mit dem Status PENDING_CREATE angezeigt. Sobald die IPsec-Verbindung erfolgreich erstellt wurde, ändert sich dieser Status in ACTIVE. Warten Sie daher nicht darauf, dass er sich jetzt ändert, sondern fahren Sie mit dem nächsten Schritt fort.

Erstellen Sie eine Endpunktgruppe für lokale Netzwerke des Cloud-Projekts

1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
2. Öffnen Sie „ENDPOINT GROUPS“ .
3. Klicken Sie auf „ENDPOINT GROUP HINZUFÜGEN“.
4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:

„Add Local Endpoint Group“

Name	Enter name of group
Type	Select SUBNET(FOR LOCAL SYSTEMS)
Local System Subnets	Select the required local network(s) set up in the cloud project

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

5. Klicken Sie auf „HINZUFÜGEN“.

Warnung

Stellen Sie sicher, dass die Schnittstelle des/der privaten Netzwerks/Netzwerke, das/die unter „Lokale Systemteilnetze“ ausgewählt wird/werden, zum Router hinzugefügt wird. Andernfalls führt der vorherige Schritt zu einem Fehler.

Erstellen einer Endpunktgruppe für Remote Local Networks

1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
2. Öffnen Sie „ENDPOINT GROUPS“ .
3. Klicken Sie auf „ENDPOINT GROUP HINZUFÜGEN“.
4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:

„Add Remote Endpoint Group“

Name	Enter name of group
Type	Select ‘CIDR’ (FOR EXTERNAL SYSTEMS)
External System CIDRs	Give the remote local network(s) (separated by commas)

Belassen Sie die übrigen Felder in ihrer Standardeinstellung.

5. Klicken Sie auf “ HINZUFÜGEN „.

Hinzufügen der IPSec-Verbindung

1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
2. Öffnen Sie „IPSEC SITE CONNECTIONS“ .
3. Klicken Sie auf „IPSEC SITE CONNECTIONS HINZUFÜGEN“.
4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:

„Add IPSec Site Connection“

Name	Enter name of connection
VPN service associated with this connection	The VPN service that was created in the previous step
Endpoint group for local subnet(s)	Select a previously created endpoint group for local networks of the cloud project
IKE policy associated with this connection	The IKE policy that was created in the previous steps
IPsec policy associated with this connection	The IPsec policy that was created in the previous steps
Peer gateway public IPv4/IPv6 Address or FQDN	The public IP address of the remote side
Peer router identity for authentication (Peer ID)	Can be an IPv4/IPv6 address, an e-mail address, an ID key or an FQDN. Generally the IP from the previous field is used
Endpoint group for remote peer CIDR(s)	Select a previously created endpoint group for local networks of the remote side
Pre-Shared Key (PSK) string	The PSK key required between two VPN connection points

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

5. Klicken Sie auf „HINZUFÜGEN“.

Konfigurieren Sie die VPN-Verbindung mit Openstack CLI

Alle beschriebenen Schritte können auch über die Openstack CLI ommandozeilenschnittstelle durchgeführt werden.

Eine detaillierte Beschreibung aller Schritte zur Konfiguration von VPNaaS findet sich in der offiziellen Openstack Dokumentation .

Die VPN-Verbindung des VPNaaS-Dienstes ist nun aufgebaut

Nun ist es notwendig, die Konfiguration von der anderen Seite aus durchzuführen. Beachten Sie, dass die Parameter für die in der Konfiguration verwendeten Policies identisch sein müssen.

Warnung

Das IPsec-Protokoll verlangt, dass die erstellten Richtlinien und Verschlüsselungsalgorithmen auf beiden Seiten des Tunnels identisch sein müssen. Wenn sie nicht übereinstimmen, wird der Tunnel nicht erstellt.