Portal

Virtuelle Private Netzwerke (VPN)

Über VPN

VPN (Virtual Private Network) ist ein Werkzeug, um eine gesicherte Netzwerk-Verbindung über einen ungesicherten Kanal (Internet) herzustellen. Mit der bereitgestellten VPN-Funktionalität können Sie einen verschlüsselten Kanal zwischen unterschiedlichen Cloud-Umgebungen oder zwischen Cloud und On-Premise-Umgebungen herstellen, sodass z.B. Instanzen in einem Projekt Instanzen in einem anderen Projekt sehen können und umgekehrt, während der Verkehr zwischen den beiden Projekten verschlüsselt übertragen wird.

VPN wird in Form einer Marktplatz-Anwendung (Appliance) geliefert, die IPsec-Lösung namens strongswan. Die Appliance enthält ein UI-Frontend für die grundlegende Strongswan-Konfiguration und richtet das richtige Routing ein, um sicherzustellen, dass der Datenverkehr zwischen zwei Standorten ordnungsgemäß weitergeleitet wird. Nach der Bereitstellung baut die Appliance eine aktive Verbindung mit einer entfernten Seite auf und erhält diese aufrecht, sodass Clients auf beiden privaten Netzwerksegmenten miteinander kommunizieren können

Die VPN-Appliance unterstützt auch die Verbindung zu einem anderen Deployment der selben Appliance, die in einer anderen Cloud oder in einem anderen Projekt arbeitet (als Alternative zur Verbindung mit einem VPN-Gateways eines Drittanbieters). Auf diese Weise können Sie auf einfacher Weise die privaten Netzwerke zweier unterschiedlicher Projekte miteinander verbinden, wenn sie in verschiedenen Rechenzentren bereitgestellt werden.

Beachten Sie, dass Ihnen beim manuellen Erstellen der gleichen Konfiguration (Bereitstellen und Konfiguration der Instanz mit Strongswan, dieser Instanz eine Floating IP-Adresse zuweisen müssen, Routen auf dem Router konfigurieren, etc.), die Appliance erlaubt die Konfiguration viel einfacher und wiederholbar durchzuführen.

VPN einrichten

Gehen Sie wie folgt vor, um eine neue VPN-Verbindung einzurichten:

Gehen Sie im linken Teil des Bildschirms zum Abschnitt "Networking" und klicken Sie auf "VPN" und auf den Button "Neues VPN erstellen". Wenn das Fenster mit der Anwendungsbeschreibung angezeigt wird, klicken Sie auf "Jetzt starten", um fortzufahren.

Geben Sie bitte die folgenden Parameter ein:

  • Instanz-Name. Wenn Sie mehrere Appliances in einem einzigen Projekt verwenden, stellen sie sicher, dass für jede Appliance ein eindeutiger Name verwendet wird.
  • Schlüsselpaar zur Installation in der erstellten Appliance (wie bei einer regulären Instanz).
  • Floating IP. Wählen Sie die IP aus der Liste der verfügbaren Floating IP Adressen aus; wenn Sie noch keine haben, gehen Sie zurück zum Abschnitt "Floating IPs", um eine Adresse zuzuweisen.
  • Router zum Einlernen Ihrer neuen Routen zum entfernten Netzwerk, und dem Subnetz, mit dem sich die Appliance verbindet und von dem sie auch eine feste IP erhält. Beachten Sie, dass das Netzwerk des gewählten Subnetzes mit dem Router verbunden sein muss, da der Router in der Lage sein sollte, den VPN-Verkehr auf die IP Adresse der Appliance umzuleiten (die IP-Adresse die mit dem Netzwerk des gewählten Subnetzes verbunden wird).
  • Instanz-Flavor. Zum Testen können Sie den kleinsten verfügbaren Flavor verwenden; später können Sie die Leistung je nach Verbindungsanforderungen anpassen (Anzahl aktiver Verbindungen, Umfang des Datenverkehrs, verwendete Verschlüsselung usw.).
  • Richtige IP-Adresse und Richtiges Subnetz. Dies ist die andere Seite des VPN-Tunnels, den wir aufbauen - die IP-Adresse des Geräts auf der anderen Seite zu der eine Verbindung aufgebaut werden soll, und der CIDR des entfernten privaten Netzwerks, um das richtige Routing einzurichten. In einem Szenario, in dem Sie zwei Cloud-Konten miteinander verbinden möchten, würden Sie die Floating IP Adressen und Subnetze der zweiten Appliance verwenden. Sowie die Richtige IP Adresse und das Subnet der ersten Instanz.
  • Schlüsselaustausch-Protokollversion, IKE-Verschlüsselung und ESP (Encapsulating Security Payload) Einstellungen definieren die IPsec-Konfiguration, passend zur Konfiguration der Gegenseite (z. B. Datei /etc/ipsec.conf oder Cisco-Appliance-Konfiguration). Wenn Sie eine VPN-Verbindung zwischen zwei Clouds aufbauen, können Sie diese Einstellungen auf beiden Seiten unverändert lassen.
  • Secret Schlüssel, der zur Authentifizierung zwischen zwei Seiten verwendet wird. Stellen Sie sicher, dass der Schlüssel auf beiden Seiten übereinstimmt.

Wenn Sie fertig sind, klicken Sie auf die Schaltfläche "Jetzt starten". Es wird einige Minuten dauern, bis die Appliance bereitgestellt, konfiguriert und verbunden ist. Nachdem die Anwendung erfolgreich erstellt wurde, können Sie die Verbindung überprüfen, indem Sie sich bei einer Instanz anmelden, die mit dem oben angegebenen Router verbunden ist, und versuchen Hosts auf der anderen Seite des Tunnels anzupingen.

Zur Fehlersuche und zur Behebung können Sie sich auch direkt auf der Appliance mit dem angegebenen Schlüsselpaar anmelden und die Verbindung zu der entfernten Seite überprüfen.

Aufbau einer Site-to-Site-VPN-Verbindung zwischen zwei VPN-Appliances

Die VPN-Appliance kann sich auch mit einer anderen identischen Appliance (mit einer anderer Konfiguration) verbinden, um eine Site-to-Site-VPN-Verbindung zwischen zwei Projekten (die in der gleichen oder in verschiedenen Clouds laufen) herzustellen.

Verwenden Sie in diesem Fall die folgende Konfiguration:

  • Die Floating IP der einen Seite wird zur "richtigen IP-Adresse" der anderen Seite weitergeleitet und umgekehrt. Um die IP im Voraus für die Erstellung von Site A zu kennen, können Sie die IP in Site B vorab zuweisen, notieren sie die IP dazu und geben sie diese auf Site A als "Richtige IP-Adresse" an. Die Floating IP, die Site A erhält, ist als "Richtige IP-Adresse für die Site B einzutragen.
  • Ähnlich wird das Subnetz von Site A zum "richtigen Subnetz" von Site B und umgekehrt. Auf diese Weise wissen beide Seiten, wie sie den Verkehr zueinander leiten sollen.
  • Schlüsselaustausch-Protokollversion, IKE-Verschlüsselung und ESP (Encapsulating Security Payload)-Einstellungen definieren die IPsec-Konfiguration, und denprivaten Schlüssel, der zur Authentifizierung zwischen den zwei Seiten verwendet wird. Stellen Sie sicher dass diese Felder auf beiden Seiten identisch sind.

Sobald Sie auf beiden Seiten VPN-Appliances angelegt haben, wird die Verbindung innerhalb weniger Minuten aufgebaut. Um zu überprüfen, ob die Verbindung aktiv ist, pingen Sie eine Instanz von Site A nach Site B (oder umgekehrt) an. Stellen Sie sicher, dass die Sicherheitsgruppen und die Firewall des Betriebssystems (falls sie existieren) so konfiguriert sind, dass der Ping durchgelassen wird. Zur Fehlersuche können Sie Netzwerkpfad-Tools wie traceroute, tracert, tracepath. benutzen.