Konfiguration von VPN-Verbindungen in VPNaaS ohne Verwendung von Endpunktgruppen (legacy way)

Endpunktgruppen sind Entitäten, die die Gruppierung von lokalen Netzwerken ermöglichen, woraufhin diese Gruppen bei der Konfiguration der IPsec-Verbindung verwendet werden können. Hier wird die Konfiguration der Verbindung ohne Endpunktgruppen beschrieben. Lokale Netzwerke, die an der Konfiguration teilnehmen, werden direkt in den entsprechenden Feldern angegeben.

Hinweis

Um eine IPsec-VPN-Verbindung einzurichten, müssen folgende Voraussetzungen erfüllt sein:

  • Netzwerkverfügbarkeit zwischen den Routern:

    • Protocol: UDP, port 500 (für IKE, zur Verwaltung von encryption keys).
    • Protocol: UDP, port 4500 (für IPSEC NAT-Traversal mode).
    • Protocol: ESP, value 50 (für IPSEC).
    • Protocol: AH, value 51 (für IPSEC).
  • Die Firewall-Regeln dürfen den Netzwerkverkehr zwischen den Routern und den privaten Subnetzen nicht blockieren.

  • Die privaten Subnetze, die über IPSec verbunden werden, müssen unterschiedlich sein und dürfen sich nicht gegenseitig einschließen.

Die Konfiguration eines VPN-Dienstes besteht aus den folgenden Schritten:

Hinzufügen der IKE Policy

  1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
  2. Öffnen SIe „IKE POLICIES“ .
  3. Klicken Sie auf IKE POLICY HINZUFÜGEN.
  4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:
„Add IKE Policy“
Name Enter name of policy
Encryption algorithm Select the required encryption algorithm
IKE version Select the required IKE version

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

  1. Klicken Sie auf HINZUFÜGEN.

Hinzufügen einer IPsec Policy

  1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
  2. Öffnen Sie „IPSEC POLICIES“ .
  3. Klicken Sie auf „IPSEC POLICY HINZUFÜGEN“.
  4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:
„Add IPSec Policy“
Name Enter name of policy
Encryption algorithm Select the required encryption algorithm

Belassen Sie die übrigen Felder auf ihren Standardeinstellungen.

  1. Klicken Sie auf HINZUFÜGEN.

Hinzufügen des VPN-Dienstes

  1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
  2. Öffnen Sie „VPN SERVICES“ .
  3. Klicken Sie auf ‘VPN SERVICE HINZUFÜGEN’.
  4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:
„Add IKE Policy“
Name Enter name of policy
Router Select the required encryption algorithm
Subnet Select the required IKE version

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

  1. Klicken Sie auf HINZUFÜGEN.

Warnung

Vergewissern Sie sich, dass die Schnittstelle des unter „Subnet“ angegebenen privaten Netzwerks zum Router hinzugefügt wird. Andernfalls kann der VPN-Dienst nicht hinzugefügt werden.

Hinweis

Nach der Erstellung wird der VPN-Dienst mit dem Status PENDING_CREATE angezeigt. Sobald die IPsec-Verbindung erfolgreich erstellt wurde, ändert sich dieser Status in ACTIVE. Warten Sie daher nicht darauf, dass er sich jetzt ändert, sondern fahren Sie mit dem nächsten Schritt fort.

Hinzufügen der IPSec-Verbindung

  1. Gehen Sie zu „PROJEKT“ → „NETZWERK“ → „VPN“ im SIM-Cloud Dashboard.
  2. Öffnen Sie „IPSEC SITE CONNECTIONS“ .
  3. Klicken Sie auf IPSEC SITE CONNECTIONS HINZUFÜGEN.
  4. Füllen Sie in dem sich öffnenden Dialogfeld die folgenden Felder aus:
„Add IPSec Site Connection“
Name Enter name of connection
VPN service associated with this connection The VPN service that was created in the previous step
IKE policy associated with this connection The IKE policy that was created in the previous steps
IPsec policy associated with this connection The IPsec policy that was created in the previous steps
Peer gateway public IPv4/IPv6 Address or FQDN The public IP address of the remote side
Peer router identity for authentication (Peer ID) Can be an IPv4/IPv6 address, an e-mail address, an ID key or an FQDN. Generally the IP from the previous field is used
Remote peer subnet(s) Give the local network(s) of the remote side for routing. If there are several subnetworks, they must be separated by commas
Pre-Shared Key (PSK) string The PSK key required between two VPN connection points

Belassen Sie die übrigen Felder in ihren Standardeinstellungen.

  1. Klicken Sie auf HINZUFÜGEN.

Warnung

Vergewissern Sie sich, dass die Schnittstelle des unter „Subnet“ angegebenen privaten Netzwerks zum Router hinzugefügt wird. Andernfalls kann der VPN-Dienst nicht hinzugefügt werden.

Hinweis

Nach der Erstellung wird der VPN-Dienst mit dem Status PENDING_CREATE angezeigt. Sobald die IPsec-Verbindung erfolgreich erstellt wurde, ändert sich dieser Status in ACTIVE. Warten Sie daher nicht darauf, dass er sich jetzt ändert, sondern fahren Sie mit dem nächsten Schritt fort.

Konfigurieren Sie die VPN-Verbindung mit Openstack CLI

Alle beschriebenen Schritte können auch über die Kommandozeilenschnittstelle Openstack CLI durchgeführt werden.
Eine detaillierte Beschreibung aller Schritte zur Konfiguration von VPNaaS findet sich in der offiziellen Openstack Dokumentation .

Die VPN-Verbindung des VPNaaS-Dienstes ist nun aufgebaut.

Nun ist es notwendig, die Konfiguration von der anderen Seite aus durchzuführen. Beachten Sie, dass die Parameter für die in der Konfiguration verwendeten Policies identisch sein müssen.

Warnung

Das IPsec-Protokoll verlangt, dass die erstellten Richtlinien und Verschlüsselungsalgorithmen auf beiden Seiten des Tunnels identisch sein müssen. Wenn sie nicht übereinstimmen, wird der Tunnel nicht erstellt.