Oracle Cloud Infrastructure - Dokumentation

Check Point: Policy-basiert

Dieses Thema enthält Informationen zur policy-basierten Konfiguration für Check Point CloudGuard. Die Anweisungen wurden mit Check Point CloudGuard Version R80.20. validiert.

Wichtig

Oracle stellt Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten bereit. Verwenden Sie die richtige Konfiguration für Ihren Hersteller und Ihre Softwareversion.

Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht genau mit Ihrem Gerät oder Ihrer Software übereinstimmt, können Sie die erforderliche Konfiguration auf Ihrem Gerät möglicherweise noch erstellen. Ziehen Sie die Dokumentation Ihres Herstellers zu Rate, und nehmen Sie die erforderlichen Anpassungen vor.

Wenn Ihr Gerät für einen Hersteller ausgelegt ist, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration Ihres Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der unterstützten IPSec-Parameter und in der Dokumentation Ihres Herstellers.

Dieses Thema behandelt die policy-basierte Konfiguration. Wenn Sie stattdessen die routenbasierte (VTI-basierte) Konfiguration wünschen, lesen Sie Check Point: Routenbasiert.

Check Point-Erfahrung ist erforderlich. In diesem Thema wird nicht erläutert, wie Sie das Check Point CloudGuard Security Gateway zum Check Point CloudGuard Security Manager hinzufügen. Weitere Informationen zur Verwendung von Check Point-Produkten finden Sie in der Check Point-Dokumentation.

Wichtig

Oracle stellt Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten bereit. Verwenden Sie die richtige Konfiguration für Ihren Hersteller und Ihre Softwareversion.

Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht genau mit Ihrem Gerät oder Ihrer Software übereinstimmt, können Sie die erforderliche Konfiguration auf Ihrem Gerät möglicherweise noch erstellen. Ziehen Sie die Dokumentation Ihres Herstellers zu Rate, und nehmen Sie die erforderlichen Anpassungen vor.

Wenn Ihr Gerät für einen Hersteller ausgelegt ist, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration Ihres Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der unterstützten IPSec-Parameter und in der Dokumentation Ihres Herstellers.

Oracle Cloud Infrastructure bietet Site-to-Site-VPN, eine sichere IPsec-Verbindung zwischen Ihrem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN).

Das folgende Diagramm zeigt eine IPSec-Basisverbindung mit Oracle Cloud Infrastructure mit redundanten Tunneln. Die in diesem Diagramm verwendeten IP-Adressen dienen lediglich als Beispiel.

In dieser Abbildung wird das allgemeine Layout Ihres On-Premise-Netzwerks, der Site-to-Site-VPN-Tunnel und des VCN zusammengefasst.

Best Practices

In diesem Abschnitt werden allgemeine Best Practices und Überlegungen zur Verwendung von Site-to-Site-VPN beschrieben.

Alle Tunnel für jede IPSec-Verbindung konfigurieren

Oracle stellt zwei IPSec-Headends für jede Verbindung bereit, um High Availability für Ihre geschäftskritischen Workloads bereitzustellen. Auf der Oracle-Seite befinden sich diese beiden Headends zu Redundanzzwecken auf verschiedenen Routern. Oracle empfiehlt die Konfiguration aller verfügbaren Tunnel für maximale Redundanz. Dies ist ein wichtiger Teil der "Design for Failure"-Philosophie.

Redundante CPEs an Ihren On-Premise-Netzwerkspeicherorten

Jede Ihrer Sites, die über IPSec mit Oracle Cloud Infrastructure verbunden ist, muss redundante Edge-Geräte (auch als Customer Premises Equipment (CPE) bezeichnet) haben. Fügen Sie jedes CPE der Oracle-Konsole hinzu, und erstellen Sie eine separate IPSec-Verbindung zwischen dem dynamischen Routinggateway (DRG)  und den CPEs. Für jede IPSec-Verbindung stellt Oracle durch Provisioning zwei Tunnel auf geografisch redundanten IPSec-Headends bereit. Weitere Informationen finden Sie im Connectivity Redundancy Guide (PDF).

Hinweise zum Routingprotokoll

Wenn Sie eine IPsec-Verbindung für Site-to-Site-VPN erstellen, verfügt diese über zwei redundante IPsec-Tunnel. Oracle empfiehlt, dass Sie das CPE so konfigurieren, dass beide Tunnel verwendet werden (wenn dies vom CPE unterstützt wird). In der Vergangenheit hat Oracle IPsec-Verbindungen erstellt, die bis zu vier IPsec-Tunnel enthielten.

Die folgenden drei Routingtypen sind verfügbar. Wählen Sie den Routingtyp separat für jeden Tunnel im Site-to-Site-VPN aus:

  • Dynamisches BGP-Routing: Die verfügbaren Routen werden dynamisch über BGP erlernt. Vom DRG werden die Routen aus Ihrem On-Premise-Netzwerk dynamisch erlernt. Auf der Oracle-Seite werden vom DRG die VCN-Subnetze veröffentlicht.
  • Statisches Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu Ihrem On-Premise-Netzwerk an, über die das VCN informiert sein soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.
  • Policybasiertes Routing: Wenn Sie die IPsec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu Ihrem On-Premise-Netzwerk an, über die das VCN informiert sein soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.

Weitere Informationen über das Routing mit Site-to-Site-VPN, einschließlich Oracle-Empfehlungen zur Änderung des BGP-Algorithmus für die beste Pfadauswahl, finden Sie unter Routing für Site-to-Site-VPN.

Weitere wichtige CPE-Konfigurationen

Stellen Sie sicher, dass die Zugriffslisten in Ihrem CPE korrekt konfiguriert sind, damit der erforderliche Traffic von oder zu Oracle Cloud Infrastructure nicht blockiert wird.

Wenn mehrere Tunnel gleichzeitig hochgefahren sind, kann es zu asymmetrischem Routing kommen. Um asymmetrisches Routing zu ermöglichen, stellen Sie sicher, dass das CPE so konfiguriert ist, dass Traffic von Ihrem VCN in einem der Tunnel verarbeitet wird. Beispiel: Sie müssen die ICMP-Prüfung deaktivieren und die TCP-Statusumgehung konfigurieren. Für weitere Einzelheiten zur entsprechenden Konfiguration wenden Sie sich an den Support des CPE-Herstellers. Informationen zum Konfigurieren des symmetrischen Routings finden Sie unter Routing für Site-to-Site-VPN.

Hinweise und Einschränkungen

In diesem Abschnitt werden die allgemeinen wichtigen Merkmale und Einschränkungen von Site-to-Site-VPN beschrieben.

Unter Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung anfordern.

Asymmetrisches Routing

Oracle verwendet asymmetrisches Routing über mehrere Tunnel, aus denen die IPSec-Verbindung besteht. Konfigurieren Sie Ihre Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.

Wenn Sie mehrere Tunnel für Oracle Cloud Infrastructure verwenden, empfiehlt Oracle, dass Sie das Routing so konfigurieren, dass es den Traffic deterministisch über den bevorzugten Tunnel weiterleitet. Wenn Sie einen IPSec-Tunnel als primär und einen anderen als Backup verwenden möchten, konfigurieren Sie spezifischere Routen für den primären Tunnel (BGP) und weniger spezifische Routen (zusammenfassende oder Standardrouten) für den Backuptunnel (BGP/statisch). Wenn Sie dieselbe Route (z.B. eine Standardroute) über alle Tunnel anbieten, wird der Traffic vom VCN zum On-Premise-Netzwerk andernfalls an einen der verfügbaren Tunnel weitergeleitet. Das liegt daran, dass Oracle asymmetrisches Routing verwendet.

Spezifische Oracle-Routingempfehlungen zum Erzwingen des symmetrischen Routings finden Sie unter Routing für Site-to-Site-VPN.

Routenbasiertes oder policybasiertes Site-to-Site-VPN

Das IPSec-Protokoll verwendet Sicherheitszuordnungen (Security Associations, SAs), um zu bestimmen, wie Pakete verschlüsselt werden. Innerhalb jeder SA definieren Sie Verschlüsselungsdomains, um die Quell- und Ziel-IP-Adresse eines Pakets einem Eintrag in der SA-Datenbank zuzuordnen. Dadurch wird festgelegt, wie ein Paket verschlüsselt oder entschlüsselt werden soll.

Hinweis

Von anderen Anbietern oder in der Branchendokumentation werden in Bezug auf SAs oder Verschlüsselungsdomains möglicherweise die Begriffe Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor verwendet.

Es gibt zwei allgemeine Methoden zur Implementierung von IPSec-Tunneln:

  • Routenbasierte Tunnel: Auch als Next-Hop-Tunnel bezeichnet. Eine Routentabellensuche wird anhand der Ziel-IP-Adresse eines Pakets durchgeführt. Wenn es sich bei der Egress-Schnittstelle dieser Route um einen IPSec-Tunnel handelt, wird das Paket verschlüsselt und an das andere Ende des Tunnels gesendet.
  • Policy-basierte Tunnel: Die Quell- und-Ziel-IP-Adressen sowie das Protokoll des Pakets werden mit einer Liste von Policy-Anweisungen abgeglichen. Wenn eine Übereinstimmung gefunden wird, wird das Paket basierend auf den Regeln in dieser Policy-Anweisung verschlüsselt.

Die Site-to-Site-VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, zu denen einige Hinweise in den folgenden Abschnitten aufgeführt sind.

Verschlüsselungsdomain für routenbasierte Tunnel

Wenn Ihr CPE routenbasierte Tunnel unterstützt, konfigurieren Sie den Tunnel mit dieser Methode. Es handelt sich dabei um die einfachste Konfiguration mit der umfassendsten Interoperabilität mit dem Oracle-VPN-Headend.

Routingbasierte IPSec verwendet eine Verschlüsselungsdomain mit den folgenden Werten:

  • Quell-IP-Adresse: Beliebig (0.0.0.0/0)
  • Ziel-IP-Adresse: Beliebig (0.0.0.0/0)
  • Protokoll: IPv4

Wenn Sie spezifischer sein müssen, können Sie eine einzelne Zusammenfassungsroute für Ihre Verschlüsselungsdomainwerte anstelle einer Standardroute verwenden.

Verschlüsselungsdomain für policy-basierte Tunnel

Wenn Sie policybasierte Tunnel verwenden, generiert jeder Policy-Eintrag (ein CIDR-Block auf einer Seite der IPsec-Verbindung), den Sie definieren, eine IPsec-Sicherheitsverknüpfung (SA) mit jedem berechtigten Eintrag am anderen Ende des Tunnels. Dieses Paar wird als Verschlüsselungsdomain bezeichnet.

In diesem Diagramm enthält die Oracle-DRG-Seite des IPsec-Tunnels Policy-Einträge für drei IPv4-CIDR-Blöcke und einen IPv6-CIDR-Block. Die On-Premise-CPE-Seite des Tunnels enthält Policy-Einträge für zwei IPv4-CIDR-Blöcke und zwei IPv6-CIDR-Blöcke. Jeder Eintrag generiert eine Verschlüsselungsdomain mit allen möglichen Einträgen am anderen Ende des Tunnels. Beide Seiten eines SA-Paars müssen dieselbe IP-Version verwenden. Das Ergebnis sind insgesamt acht Verschlüsselungsdomains.

Diagramm mit mehreren Verschlüsselungsdomains, das veranschaulicht, wie ihre Anzahl bestimmt wird
Wichtig

Wenn das CPE nur policybasierte Tunnel unterstützt, beachten Sie die folgenden Einschränkungen.

  • Site-to-Site-VPN unterstützt mehrere Verschlüsselungsdomains, weist aber einen oberen Grenzwert von 50 Verschlüsselungsdomains auf.
  • Wenn Sie in einer Situation wie im obigen Beispiel nur drei der sechs möglichen IPv4-Verschlüsselungsdomains auf CPE-Seite konfiguriert haben, würde der Link mit dem Status "Teilweise hochgefahren" aufgelistet werden, weil auf DRG-Seite immer alle möglichen Verschlüsselungsdomains erstellt werden.
  • Policybasiertes Routing stützt sich auf Site-to-Site-VPN v2. Weitere Informationen zu Site-to-Site-VPN v2 finden Sie unter Aktualisierter Site-to-Site-VPN-Service.
  • Je nachdem, wann der Tunnel erstellt wurde, können Sie einen vorhandenen Tunnel möglicherweise nicht bearbeiten, um policybasiertes Routing zu verwenden. Sie müssen den Tunnel möglicherweise durch einen neuen IPsec-Tunnel ersetzen.
  • Die CIDR-Blöcke, die auf der Oracle-DRG-Seite des Tunnels verwendet werden, dürfen sich nicht mit den CIDR-Blöcken überschneiden, die auf der On-Premise-CPE-Seite des Tunnels verwendet werden.
  • Eine Verschlüsselungsdomain muss sich immer zwischen zwei CIDR-Blöcken derselben IP-Version befinden.

Wenn sich das CPE hinter einem NAT-Gerät befindet

Im Allgemeinen muss die CPE-IKE-ID, die an Ihrem Ende der Verbindung konfiguriert wurde, mit der CPE-IKE-ID übereinstimmen, die von Oracle verwendet wird. Standardmäßig verwendet Oracle die öffentliche IP-Adresse des CPE, die Sie beim Erstellen des CPE-Objekts in der Oracle-Konsole angeben. Wenn Ihr CPE sich jedoch hinter einem NAT-Gerät befindet, kann es sich bei der an Ihrem Ende konfigurierten CPE-IKE-ID um die private IP-Adresse des CPE handeln, wie im folgenden Diagramm dargestellt.

Diese Abbildung zeigt das CPE hinter einem NAT-Gerät, die öffentlichen und privaten IP-Adressen sowie die CPE-IKE-ID.
Hinweis

Einige CPE-Plattformen lassen die Änderung der lokalen IKE-ID nicht zu. In diesem Fall müssen Sie die Remote-IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID Ihres CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Unterstützte IPSec-Parameter

Eine Liste der vom Hersteller unterstützten IPSec-Parameter für alle Regionen finden Sie unter Unterstützte IPSec-Parameter.

Die Oracle BGP-ASN für die kommerzielle Cloud-Realm ist 31898. Wenn Sie Site-to-Site-VPN für die US Government Cloud konfigurieren, finden Sie weitere Informationen unter Erforderliche Site-to-Site-VPN-Parameter für die Government Cloud und BGP-ASN von Oracle. Informationen zur United Kingdom Government Cloud finden Sie unter BGP-ASN von Oracle.

CPE-Konfiguration (policy-basiert)

Wichtig

Die Konfigurationsanweisungen in diesem Abschnitt werden von Oracle Cloud Infrastructure für Ihr CPE bereitgestellt. Wenn Sie Support oder weitere Unterstützung benötigen, wenden Sie sich direkt an den Support des CPE-Herstellers.

In der folgenden Abbildung wird das Basislayout der IPSec-Verbindung dargestellt.

Diese Abbildung fasst das allgemeine Layout der IPSec-Verbindung und -Tunnel zusammen.

IKEv2 verwenden

Oracle unterstützt Internet Key Exchange Version 1 (IKEv1) und Version 2 (IKEv2). Wenn Sie die IPSec-Verbindung in der Konsole für die Verwendung von IKEv2 konfigurieren, müssen Sie das CPE so konfigurieren, dass nur IKEv2 und zugehörige IKEv2-Verschlüsselungsparameter verwendet werden, die Ihr CPE unterstützt. Eine Liste der Parameter, die Oracle für IKEv1 oder IKEv2 unterstützt, finden Sie unter Unterstützte IPSec-Parameter.

Wenn Sie IKEv2 verwenden möchten, gibt es eine Variation einer der im nächsten Abschnitt angezeigten Aufgaben. Wählen Sie insbesondere unter Aufgabe 4 beim Konfigurieren der Verschlüsselung IKEv2 only für die Verschlüsselungsmethode.

Konfigurationsprozess

Aufgabe 1: Site-to-Site-VPN auf dem Check Point CloudGuard Security Gateway installieren
Voraussetzung: Fügen Sie zunächst das Check Point CloudGuard Security Gateway zum Check Point CloudGuard Security Manager hinzu. Richten Sie außerdem die Secure Internal Communication (SIC) ein, damit Sie den IPSec-Tunnel mit der Check Point Smart-Konsole konfigurieren können. Anweisungen zum Hinzufügen des Security Gateways zu CloudGuard oder zum Einrichten der SIC finden Sie in der Check Point-Dokumentation.
In diesem Bild werden die Voraussetzungen dargestellt.

  1. Installieren Sie das IPSec-VPN-Modul. Oracle empfiehlt außerdem die Installation des Monitoring-Moduls für die Trafficanalyse.

    In dieser Abbildung wird dargestellt, wo das IPSec-VPN-Modul aktiviert wird.

  2. Klicken Sie auf OK, um die Änderungen zu speichern.
Aufgabe 2: IPSec-Einstellungen für das Check Point CloudGuard Security Gateway konfigurieren

Diese Aufgabe deckt die wichtigsten Optionen ab, die für einen IPSec-Tunnel mit Oracle Cloud Infrastructure verwendet werden.

  1. Importieren Sie auf der Seite Network Management alle Schnittstellen. Klicken Sie dazu auf Get Interfaces. Das Dialogfeld enthält Optionen für Get Interfaces With Topology und Get Interfaces Without Topology. In diesem Beispiel wird Get Interfaces Without Topology verwendet, damit Sie den Zweck jeder Schnittstelle als externes oder internes Netzwerk definieren können.

    Alle Schnittstellen werden in der VPN-Domain als Subnetze verwendet, die vom Check Point CloudGuard Security Gateway in der IPSec-Verschlüsselungsdomain angeboten werden.

    In dieser Abbildung wird dargestellt, wo die Schnittstellen importiert werden.

  2. Oracle empfiehlt, dass in der VPN-Domain die Option All IP Addresses behind Gateway are based on Topology information aktiviert wird. Mit dieser Option werden alle Subnetze, die im Network Management erkannt wurden, zur IPSec-Verschlüsselungsdomain hinzugefügt.

    Andernfalls können Sie die Option für Manually defined auswählen. Dafür ist jedoch ein Netzwerkobjekt bei allen Subnetzen erforderlich, die in die IPSec-Verschlüsselungsdomain aufgenommen werden sollen.

    In dieser Abbildung wird dargestellt, wo die VPN-Domain eingerichtet wird.

  3. Wenn Ihr Check Point CloudGuard Security Gateway öffentlichen IP-Adressen unter Verwendung von 1:1 NAT private IP-Adressen zuordnet: Wählen Sie auf der Seite Link Selection unter Always use this IP address die Option Statically NATed-IP, und geben Sie die IP-Adresse an, die Sie als IKE-ID verwenden möchten.

    In dieser Abbildung wird dargestellt, wo die NAT-IP-Adresse eingerichtet wird, die die lokale IKE-ID sein wird.

    Wenn Sie keine öffentliche IP-Adresse als lokale IKE-ID verwenden möchten, können Sie einen anderen Wert (z.B. eine private IP-Adresse) verwenden. Der Wert stimmt dann jedoch nicht mit dem Wert überein, der im Oracle-DRG erwartet wird. Um dies zu beheben, können Sie den Wert ändern, den Oracle in der Oracle-Konsole verwendet (siehe folgende Anweisungen).

    So ändern Sie den CPE-IKE-Bezeichner, den Oracle verwendet (Oracle-Konsole)

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Site-to-Site-VPN.

      Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn Sie den gewünschten Mitarbeiter nicht sehen, prüfen Sie, ob Sie das korrekte Compartment anzeigen (in der Liste links auf der Seite auswählen).

    2. Klicken Sie für die gewünschte Verbindung IPSec auf das Menü Aktionen (Menü "Aktionen"), und klicken Sie dann auf Bearbeiten.

      Die von Oracle verwendete, aktuelle CPE-IKE-ID wird unten im Dialogfeld angezeigt.

    3. Geben Sie die neuen Werte für den CPE-IKE-ID-Typ und die CPE-IKE-ID ein, und klicken Sie auf Änderungen speichern.
  4. Klicken Sie auf OK, um die Änderungen zu speichern.
Aufgabe 3: Interoperables Gerät erstellen

Später erstellen Sie eine VPN-Community. Davor müssen Sie zunächst ein interoperables Gerät erstellen, das im Check Point CloudGuard Security Gateway zur Definition des Oracle-DRG verwendet wird.

  1. Erstellen Sie das neue interoperable Gerät.

    In dieser Abbildung wird dargestellt, wo ein neues interoperables Gerät erstellt wird.

  2. Fügen Sie auf der Seite General Properties des neuen interoperablen Geräts einen Namen hinzu, um den IPSec-Tunnel zu identifizieren. Geben Sie die IP-Adresse ein, die Oracle beim Erstellen der IPSec-Verbindung für die Oracle-Seite des Tunnels zugewiesen hat.

    In dieser Abbildung wird dargestellt, wo das interoperable Gerät konfiguriert werden kann.

  3. Auf der Seite Topology empfiehlt Oracle die Erstellung einer neuen Topologie. Klicken Sie dazu auf New, und fügen Sie dann die Oracle VCN-Subnetze hinzu, die für den Tunnel verwendet werden sollen.

    Andernfalls können Sie die Option für Manually defined auswählen. Dafür ist jedoch ein Netzwerkobjekt bei allen Subnetzen erforderlich, die in die IPSec-Verschlüsselungsdomain aufgenommen werden sollen.

    In dieser Abbildung wird dargestellt, wo die Topologie für das interoperable Gerät konfiguriert wird.

  4. Auf der Seite IPSec VPN können Sie optional das neue interoperable Gerät zu einer vorhandenen VPN-Community hinzufügen. Sie können diesen Schritt überspringen, wenn noch keine VPN-Communitys erstellt wurden.

    Beachten Sie, dass Sie die traditionelle Moduskonfiguration überspringen, da Sie in einem späteren Schritt alle Parameter für Phase 1 und Phase 2 in der VPN-Community definieren. Die VPN-Community wendet diese Parameter auf alle interoperablen Geräte an, die zur VPN-Community gehören.

    In dieser Abbildung wird dargestellt, wo das interoperable Gerät zu einer VPN-Community hinzugefügt werden kann.

  5. Wählen Sie auf der Seite Link Selection unter Always use this IP address die Option Main address. Dies ist die Adresse, die Sie beim Erstellen des interoperablen Geräts angegeben haben. Falls erforderlich können Sie eine bestimmte IP-Adresse als IKE-ID verwenden.

    In dieser Abbildung wird dargestellt, wo die Adresse für das interoperable Gerät angegeben werden soll.

  6. Wählen Sie auf der Seite VPN Advanced die Option Use the community settings, die alle Optionen und Werte in der VPN-Community anwendet, einschließlich der Parameter für Phase 1 und Phase 2.

    In dieser Abbildung wird dargestellt, wo erweiterte VPN-Einstellungen angegeben werden.
  7. Klicken Sie auf OK, um die Änderungen zu speichern.
Aufgabe 4: VPN-Community erstellen
  1. Gehen Sie zu Security Policies, und wählen Sie unter Access Tools VPN Communities.

  2. Erstellen Sie eine Star Community.

    In dieser Abbildung wird dargestellt, wo eine VPN-Community erstellt wird.

  3. Fügen Sie für die Star Community einen Namen hinzu.

  4. Wählen Sie auf der Seite Gateways die Werte für Center Gateways und Satellite Gateways. Diese Star Community dient als Einstellungsvorlage für die interoperablen Geräten, die Sie in Center Gateways und Satellite Gateways angeben.

    • Center Gateways: Für das Check Point CloudGuard Security Gateway.
    • Satellite Gateways: Für das CPE, das für jeden IPSec-Tunnel eine Verbindung zum Oracle-DRG herstellt.
    In dieser Abbildung wird dargestellt, wo die Gateways für die VPN-Community konfiguriert werden.

  5. Wenn dies ein Proof of Concept-(POC-)Szenario ist: Wählen Sie auf der Seite Encrypted Traffic die Option Accept all verschlüsselter Traffic on aus. Der Standardwert für diese Einstellung ermöglicht den Trafficfluss zwischen Center und Satellite Gateways. Diese Einstellung ist für ein POC-Szenario geeignet. Bei einem Produktionsszenario empfiehlt Oracle jedoch stattdessen das Erstellen bestimmter Sicherheits-Policys unter Access Control und in der Registerkarte Policy. Dieser Vorgang wird in der letzten Aufgabe dieses Prozesses beschrieben.

    Diese Abbildung zeigt, wo Sie konfigurieren können, welcher Traffic verschlüsselt ist.

  6. Konfigurieren Sie auf der Seite Encryption die Parameter für Phase 1 und Phase 2, die von Oracle unterstützt werden. Eine Liste dieser Werte finden Sie unter Unterstützte IPSec-Parameter.

    Wenn Sie Site-to-Site-VPN für die Government Cloud konfigurieren, finden Sie weitere Informationen unter Erforderliche Site-to-Site-VPN-Parameter für die Government Cloud.

    Wenn Sie IKEv2 verwenden möchten, wählen Sie als Encryption Method stattdessen IKEv2 only.

    In dieser Abbildung wird dargestellt, wo Sie die Parameter für Phase 1 und Phase 2 konfigurieren können.

  7. Wählen Sie auf der Seite Tunnel Management die Option Set Permanent Tunnels. Oracle empfiehlt, dass Sie:

    • Wählen Sie On all tunnels in the community, damit alle Oracle-IPSec-Tunnel permanent hochgefahren bleiben.
    • Wählen Sie im Abschnitt VPN Tunnel Sharing die Option One VPN tunnel per Gateway pair aus.

    Die letztere Option generiert nur ein Paar von IPSec-Sicherheitszuordnungen (SAs) und jede SA enthält nur einen Sicherheitsparameterindex (SPI) (unidirektional).

    Wenn Sie policy-basierte Tunnel verwenden, generiert jeder Policy-Eintrag ein Paar von IPSec-SAs (wird auch als Verschlüsselungsdomain bezeichnet).

    Wichtig

    Das Oracle-VPN-Headend kann mehrere Verschlüsselungsdomains unterstützen, es gibt jedoch Einschränkungen. Vollständige Details finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.

    Oracle erstellt eine routenbasierte IPSec-Verbindung. Das heißt, dass alles über eine Verschlüsselungsdomain weitergeleitet wird, die 0.0.0.0/0 (beliebig) für lokalen Traffic und 0.0.0.0/0 (beliebig) für Remotetraffic enthält. Weitere Informationen finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.

    Diese Abbildung zeigt, wo Sie Optionen für die Tunnelverwaltung konfigurieren können.

  8. Wählen Sie auf der Seite Shared Secret die Option Use only Shared Secret for all external members, und fügen Sie das Shared Secret hinzu, das Oracle beim Erstellen der IPSec-Verbindung für den Tunnel generiert hat.

    Aktuell unterstützt Oracle nur Shared Secret Keys. Beachten Sie, dass Sie das Shared Secret in der Oracle-Konsole ändern können.

    In dieser Abbildung wird dargestellt, wo Sie das Shared Secret für den Tunnel angeben können.
  9. Klicken Sie auf OK, um die Änderungen zu speichern.

Verifizierung

Überprüfen Sie die Sicherheitszuordnungen (SAs) mit den Optionen 2 und 4 im folgenden Befehl. 


vpn tunnelutil


**********     Select Option     **********
 
 
(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users
 
 
* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.
 
 
(Q)               Quit
 
 
*******************************************

Ein Monitoring-Service ist auch in Oracle Cloud Infrastructure verfügbar, um Ihre Cloud-Ressourcen aktiv und passiv zu überwachen. Informationen zum Monitoring Ihres Site-to-Site-VPN finden Sie unter Site-to-Site-VPN-Metriken.

Bei Problemen finden Sie weitere Informationen unter Site-to-Site-VPN - Fehlerbehebung.