Check Point: Routenbasiert

Dieses Thema enthält Informationen zur routenbasierten Konfiguration für Check Point CloudGuard. Die Anweisungen wurden mit Check Point CloudGuard Version R80.20. validiert.

Wichtig

Oracle bietet Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten. Verwenden Sie die richtige Konfiguration für den Hersteller und die Softwareversion.

Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht exakt mit dem Gerät oder der Software übereinstimmt, können Sie dennoch die erforderliche Konfiguration auf dem Gerät erstellen. Lesen Sie die Dokumentation des Herstellers, und nehmen Sie die erforderlichen Änderungen vor.

Wenn das Gerät von einem Hersteller stammt, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration des Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der IPSec-Parameter und in der Dokumentation des Herstellers.

Dieses Thema ist für die routenbasierte (VTI-basierte) Konfiguration bestimmt. Wenn Sie stattdessen eine policy-basierte Konfiguration verwenden möchten, lesen Sie Check Point: Policy-basiert. Das Policy-basierte Routing wird in diesem Artikel nur am Rande erwähnt. Wir empfehlen Ihnen, sich mit beiden Methoden vertraut zu machen.

Check Point-Erfahrung ist erforderlich. In diesem Thema wird es nicht erläutert, wie Sie Check Point CloudGuard Security Gateway zum Check Point CloudGuard Security Manager hinzufügen. Weitere Informationen zur Verwendung von Check Point-Produkten finden Sie in der Check Point-Dokumentation.

Wichtig

Oracle bietet Konfigurationsanweisungen für eine getestete Gruppe von Herstellern und Geräten. Verwenden Sie die richtige Konfiguration für den Hersteller und die Softwareversion.

Wenn das Gerät oder die Softwareversion, die Oracle zur Überprüfung der Konfiguration verwendet hat, nicht exakt mit dem Gerät oder der Software übereinstimmt, können Sie dennoch die erforderliche Konfiguration auf dem Gerät erstellen. Lesen Sie die Dokumentation des Herstellers, und nehmen Sie die erforderlichen Änderungen vor.

Wenn das Gerät von einem Hersteller stammt, der nicht in der Liste der verifizierten Hersteller und Geräte enthalten ist, oder wenn Sie bereits mit der Konfiguration des Geräts für IPSec vertraut sind, finden Sie weitere Informationen in der Liste der IPSec-Parameter und in der Dokumentation des Herstellers.

Oracle Cloud Infrastructure bietet Site-to-Site-VPN, eine sichere IPSec-Verbindung zwischen einem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN).

Das folgende Diagramm zeigt eine IPSec-Basisverbindung mit Oracle Cloud Infrastructure mit redundanten Tunneln. Die in diesem Diagramm verwendeten IP-Adressen dienen lediglich als Beispiel.

In dieser Abbildung ist das allgemeine Layout eines On-Premise-Netzwerks, der VPN Connect-Tunnel IPSec und eines VCN zusammengefasst.

Best Practices

In diesem Abschnitt werden allgemeine Best Practices und Überlegungen zur Verwendung von Site-to-Site-VPN beschrieben.

Alle Tunnel für jede IPSec-Verbindung konfigurieren

Oracle stellt zwei IPSec-Headends für Verbindungen bereit, um High Availability für geschäftskritische Workloads bereitzustellen. Auf der Oracle-Seite befinden sich diese beiden Headends zu Redundanzzwecken auf verschiedenen Routern. Wir empfehlen die Konfiguration aller verfügbaren Tunnel für maximale Redundanz. Dies ist ein wichtiger Teil der "Design for Failure"-Philosophie.

Redundante CPEs an On-Premise-Netzwerkspeicherorten

Wir empfehlen, dass jede Site, die eine Verbindung mit IPSec zu Oracle Cloud Infrastructure herstellt, über redundante Edge-Geräte (auch als Customer-Premises-Equipment (CPE) bezeichnet) verfügt. Sie fügen jedes CPE zur Oracle-Konsole hinzu und erstellen eine separate IPSec-Verbindung zwischen einem dynamischen Routinggateway (DRG) und jedem CPE. Für jede IPSec-Verbindung stellt Oracle durch Provisioning zwei Tunnel auf geografisch redundanten IPSec-Headends bereit. Weitere Informationen finden Sie im Connectivity redundancy Guide (PDF).

Hinweise zum Routingprotokoll

Wenn Sie eine Site-to-Site-VPN-IPSec-Verbindung erstellen, verfügt sie über zwei redundante IPSec-Tunnel. Oracle empfiehlt Ihnen, das CPE so zu konfigurieren, dass beide Tunnel verwendet werden (wenn das CPE dies unterstützt). In der Vergangenheit hat Oracle IPsec-Verbindungen erstellt, die bis zu vier IPsec-Tunnel enthielten.

Die folgenden drei Routingtypen sind verfügbar. Wählen Sie den Routingtyp separat für jeden Tunnel im Site-to-Site-VPN aus:

  • Dynamisches BGP-Routing: Die verfügbaren Routen werden dynamisch über BGP erlernt. Das DRG lernt die Routen aus dem On-Premise-Netzwerk dynamisch. Auf der Oracle-Seite werden vom DRG die VCN-Subnetze veröffentlicht.
  • Statisches Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu dem On-Premise-Netzwerk an, über die das VCN wissen soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.
  • Policy-basiertes Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu dem On-Premise-Netzwerk an, über die das VCN wissen soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.

Weitere Informationen über Routing mit Site-to-Site-VPN, einschließlich Oracle-Empfehlungen zur Änderung des BGP-Algorithmus für die beste Pfadauswahl, finden Sie unter Routing für Site-to-Site-VPN.

Weitere wichtige CPE-Konfigurationen

Stellen Sie sicher, dass die Zugriffslisten im CPE korrekt konfiguriert sind, damit der erforderliche Traffic von oder zu Oracle Cloud Infrastructure nicht blockiert wird.

Wenn mehrere Tunnel gleichzeitig hochgefahren sind, kann es zu asymmetrischem Routing kommen. Um asymmetrisches Routing zu berücksichtigen, stellen Sie sicher, dass das CPE so konfiguriert ist, dass Traffic von dem VCN in einem der Tunnel verarbeitet wird. Beispiel: Sie müssen die ICMP-Prüfung deaktivieren und die TCP-Statusumgehung konfigurieren. Für weitere Einzelheiten zur entsprechenden Konfiguration wenden Sie sich an den Support des CPE-Herstellers. Wie Sie das symmetrische Routing konfigurieren, finden Sie unter Routing für Site-to-Site-VPN.

Hinweise und Einschränkungen

In diesem Abschnitt werden die allgemeinen wichtigen Merkmale und Einschränkungen von Site-to-Site-VPN beschrieben.

In den Servicelimits finden Sie eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen.

Asymmetrisches Routing

Oracle verwendet asiatisches Routing über die Tunnel, aus denen die IPSec-Verbindung besteht. Konfigurieren Sie Firewalls entsprechend. Andernfalls können Ping-Tests oder der Anwendungstraffic über die Verbindung hinweg nicht zuverlässig ausgeführt werden.

Wenn Sie mehrere Tunnel zu Oracle Cloud Infrastructure verwenden, wird empfohlen, das Routing so zu konfigurieren, dass der Traffic deterministisch durch den bevorzugten Tunnel geleitet wird. Um einen IPSec-Tunnel als primär und einen anderen als Backup zu verwenden, konfigurieren Sie spezifischere Routen für den primären Tunnel (BGP) und weniger spezifische Routen (zusammenfassende oder Standardrouten) für den Backuptunnel (BGP/static). Wenn Sie dieselbe Route (z.B. eine Standardroute) über alle Tunnel anbieten, wird der Traffic von einem VCN zu einem On-Premise-Netzwerk andernfalls an einen der verfügbaren Tunnel weitergeleitet. Das liegt daran, dass Oracle asymmetrisches Routing verwendet.

Spezifische Oracle-Routingempfehlungen zum Erzwingen des symmetrischen Routings finden Sie unter Routing für Site-to-Site-VPN.

Routenbasierte oder policybasierte IPsec-Verbindung

Das IPSec-Protokoll verwendet Security Associations (SAs), um zu entscheiden, wie Pakete verschlüsselt werden. Innerhalb jeder SA definieren Sie Verschlüsselungsdomains, um die Quell- und Ziel-IP-Adresse eines Pakets einem Eintrag in der SA-Datenbank zuzuordnen. Dadurch wird festgelegt, wie ein Paket verschlüsselt oder entschlüsselt werden soll.

Beachten Sie, dass

andere Hersteller oder die Branchendokumentation die Begriffe Proxy-ID, Sicherheitsparameterindex (SPI) oder Trafficselektor beim Verweisen auf SAs oder Verschlüsselungsdomains verwenden können.

Es gibt zwei allgemeine Methoden zur Implementierung von IPSec-Tunneln:

  • Routenbasierte Tunnel: Auch als Next-Hop-Tunnel bezeichnet. Eine Routentabellensuche wird anhand der Ziel-IP-Adresse eines Pakets durchgeführt. Wenn es sich bei der Egress-Schnittstelle dieser Route um einen IPSec-Tunnel handelt, wird das Paket verschlüsselt und an das andere Ende des Tunnels gesendet.
  • Policy-basierte Tunnel: Die Quell- und-Ziel-IP-Adressen sowie das Protokoll des Pakets werden mit einer Liste von Policy-Anweisungen abgeglichen. Wenn eine Übereinstimmung gefunden wird, wird das Paket basierend auf den Regeln in dieser Policy-Anweisung verschlüsselt.

Die Site-to-Site-VPN-Headends von Oracle verwenden routenbasierte Tunnel, können jedoch mit policybasierten Tunneln arbeiten, zu denen einige Hinweise in den folgenden Abschnitten aufgeführt sind.

Verschlüsselungsdomain für routenbasierte Tunnel

Wenn das CPE routenbasierte Tunnel unterstützt, konfigurieren Sie den Tunnel mit dieser Methode. Dies ist die einfachste Konfiguration mit der umfassendsten Interoperabilität mit dem Oracle-VPN-Headend.

Routingbasierte IPSec verwendet eine Verschlüsselungsdomain mit den folgenden Werten:

  • Quell-IP-Adresse: Beliebig (0.0.0.0/0)
  • Ziel-IP-Adresse: Beliebig (0.0.0.0/0)
  • Protokoll: IPv4

Wenn Sie spezifischer sein müssen, können Sie eine einzelne zusammenfassende Route für Verschlüsselungsdomainwerte anstelle einer Standardroute verwenden.

Verschlüsselungsdomain für policy-basierte Tunnel

Wenn Sie policybasierte Tunnel verwenden, generiert jeder Policy-Eintrag (ein CIDR-Block auf einer Seite der IPsec-Verbindung), den Sie definieren, eine IPsec-Sicherheitszuordnung (SA) mit jedem berechtigten Eintrag am anderen Ende des Tunnels. Dieses Paar wird als Verschlüsselungsdomain bezeichnet.

In diesem Diagramm enthält die Oracle-DRG-Seite des IPsec-Tunnels Policy-Einträge für drei IPv4-CIDR-Blöcke und einen IPv6-CIDR-Block. Die On-Premise-CPE-Seite des Tunnels enthält Policy-Einträge für zwei IPv4-CIDR-Blöcke und zwei IPv6-CIDR-Blöcke. Jeder Eintrag generiert eine Verschlüsselungsdomain mit allen möglichen Einträgen am anderen Ende des Tunnels. Beide Seiten eines SA-Paars müssen dieselbe IP-Version verwenden. Das Ergebnis sind insgesamt acht Verschlüsselungsdomains.

Diagramm mit mehreren Verschlüsselungsdomains und deren Anzahl.
Wichtig

Wenn das CPE nur policybasierte Tunnel unterstützt, beachten Sie die folgenden Einschränkungen.

  • Site-to-Site-VPN unterstützt mehrere Verschlüsselungsdomains, weist aber einen oberen Grenzwert von 50 Verschlüsselungsdomains auf.
  • Wenn Sie in einer Situation wie im vorherigen Beispiel nur drei der sechs möglichen IPv4-Verschlüsselungsdomains auf CPE-Seite konfiguriert haben, würde der Link mit dem Status "Teilweise hochgefahren" aufgelistet werden, weil auf DRG-Seite immer alle möglichen Verschlüsselungsdomains erstellt werden.
  • Je nachdem, wann ein Tunnel erstellt wurde, können Sie einen vorhandenen Tunnel möglicherweise nicht bearbeiten, um richtlinienbasiertes Routing zu verwenden, und müssen den Tunnel möglicherweise durch einen neuen IPSec-Tunnel ersetzen.
  • Die CIDR-Blöcke, die auf der Oracle-DRG-Seite des Tunnels verwendet werden, dürfen sich nicht mit den CIDR-Blöcken überschneiden, die auf der On-Premise-CPE-Seite des Tunnels verwendet werden.
  • Eine Verschlüsselungsdomain muss sich immer zwischen zwei CIDR-Blöcken derselben IP-Version befinden.

Wenn sich das CPE hinter einem NAT-Gerät befindet

Im Allgemeinen muss die CPE IKE-ID, die am On-Premise-Ende der Verbindung konfiguriert wurde, mit der CPE IKE-ID übereinstimmen, die von Oracle verwendet wird. Standardmäßig verwendet Oracle die öffentliche IP-Adresse des CPE, die Sie angeben, wenn Sie das CPE-Objekt in der Oracle-Konsole erstellen. Wenn sich ein CPE jedoch hinter einem NAT-Gerät befindet, kann es sich bei der am On-Premise-Ende konfigurierten CPE-IKE-ID um die private IP-Adresse des CPE handeln, wie im folgenden Diagramm dargestellt.

Diese Abbildung zeigt das CPE hinter einem NAT-Gerät, die öffentlichen und privaten IP-Adressen sowie die CPE-IKE-ID.
Hinweis

Bei einigen CPE-Plattformen können Sie die lokale IKE-ID nicht ändern. In diesem Fall müssen Sie die entfernte IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID des CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

CPE-Konfiguration (Routenbasiert)

Wichtig

Die Konfigurationsanweisungen in diesem Abschnitt werden von Oracle Cloud Infrastructure für dieses CPE bereitgestellt. Wenn Sie Support oder weitere Hilfe benötigen, wenden Sie sich direkt an den Support des CPE-Anbieters.

In der folgenden Abbildung wird das Basislayout der IPSec-Verbindung dargestellt.

Diese Abbildung fasst das allgemeine Layout der IPSec-Verbindung und -Tunnel zusammen.

IKEv2 verwenden

Oracle unterstützt Internet Key Exchange Version 1 (IKEv1) und Version 2 (IKEv2). Wenn Sie die IPSec-Verbindung in der Konsole für die Verwendung von IKEv2 konfigurieren, müssen Sie für das CPE nur IKEv2 und zugehörige IKEv2-Verschlüsselungsparameter konfigurieren, die das CPE unterstützt. Eine Liste der Parameter, die Oracle für IKEv1 oder IKEv2 unterstützt, finden Sie unter Unterstützte IPSec-Parameter.

Um IKEv2 zu verwenden, wird im nächsten Abschnitt eine Variation zu einer der Aufgaben angezeigt. Wählen Sie in Aufgabe 4 beim Konfigurieren der Verschlüsselung Nur IKEv2 für die Verschlüsselungsmethode.

Redundanz mit BGP über IPSec

Aus Gründen der Redundanz wird empfohlen, BGP über IPSec zu verwenden. Wenn Sie zwei Verbindungen desselben Typs haben (Beispiel: zwei IPSec-VPNs, die beide BGP verwenden) und dieselben Routen über beide Verbindungen bewerben, bevorzugt Oracle beim Antworten auf Anforderungen oder das Starten von Verbindungen die älteste festgelegte Route. Um zu erzwingen, dass das Routing symmetrisch ist, empfehlen wir die Verwendung von BGP- und AS-Pfadvoraussetzungen mit Routen, um zu beeinflussen, welchen Pfad Oracle beim Beantworten und Starten von Verbindungen verwendet. Weitere Informationen finden Sie unter Routingdetails für Verbindungen zu dem On-Premise-Netzwerk.

Das Oracle-DRG verwendet /30 oder /31 als Subnetze für die Konfiguration von IP-Adressen für Schnittstellentunnel. Beachten Sie, dass die IP-Adresse Teil der Verschlüsselungsdomain des Site-to-Site-VPNs und in der Firewall-Policy zugelassen sein muss, damit das Peer-VPN über den Schnittstellentunnel erreichbar ist. Möglicherweise müssen Sie eine statische Route über die Tunnelschnittstelle für die Peer-IP-Adresse implementieren.

Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544. Informationen zum Konfigurieren von Site-to-Site-VPN für die Government Cloud finden Sie unter Erforderliche Site-to-Site-VPN-Parameter für Government Cloud und BGP-ASN von Oracle.

Für die On-Premise-Seite können Sie eine private ASN verwenden. Private ASNs liegen im Bereich von 64512-65534.

Aufgabe 1: Site-to-Site-VPN auf dem Check Point CloudGuard Security Gateway installieren
Voraussetzung: Fügen Sie zunächst das Check Point CloudGuard Security Gateway zum Check Point CloudGuard Security Manager hinzu. Richten Sie außerdem die Secure Internal Communication (SIC) ein, damit Sie den IPSec-Tunnel mit der Check Point Smart-Konsole konfigurieren können. Anweisungen zum Hinzufügen des Security Gateways zu CloudGuard oder zum Einrichten der SIC finden Sie in der Check Point-Dokumentation.
In diesem Bild werden die Voraussetzungen dargestellt.
  1. Installieren Sie das IPSec-VPN-Modul. Wir empfehlen außerdem die Installation des Monitoring-Moduls für die Trafficanalyse.

    In dieser Abbildung wird dargestellt, wo das IPSec-VPN-Modul aktiviert wird.

  2. Wählen Sie OK, um die Änderungen zu speichern.
Aufgabe 2: VTI-Schnittstelle in GAiA erstellen

In dieser Aufgabe konfigurieren Sie eine VTI-Schnittstelle, die Traffic überträgt, indem Sie Routingregeln von der VTI-Schnittstelle zum neu erstellten IPSec-Tunnel verwenden.

  1. Melden Sie Sich beim GAIA-Portal mit der öffentlichen oder privaten IP-Adresse des Check Point CloudGuard Security Gateway an.
  2. Wählen Sie im GAiA-Portal die Ansicht Advanced.
  3. Gehen Sie unter Network Management zu Network Interfaces.
  4. Wählen Sie Hinzufügen, VPN Tunnel aus.

    In dieser Abbildung wird dargestellt, wo ein VPN-Tunnel im GAiA-Portal hinzugefügt wird.
  5. Geben Sie folgende Elemente an::

    • VPN Tunnel ID: Eine Zahl, die der VTI-Schnittstellemit Namen "vpnt*" hinzugefügt werden, wobei das Sternchen die angegebene VPN-Tunnell-ID-Nummer ist. Für die VPN-Tunnel-ID "1" ist die Schnittstelle mit der Beschriftung "vpnt1" versehen.
    • Peer: Der Name des interoperablen Geräts, das Sie zuvor für den IPSec-Tunnel erstellt haben. In diesem Fall lautet der Name "OCI-VPN_BGP1".

      Wichtig

      Wenn der hier angegebene Name nicht mit dem Namen des interoperablen Geräts übereinstimmt, fließt der Verkehr nicht durch den IPSec-Tunnel.
    • Numbered: Wählen Sie Numbered aus, um eine nummerierte Schnittstelle zu erstellen.
    • Lokale Adresse: Die lokale IP-Adresse, die in der Oracle-Konsole als interne Tunnelschnittstelle - CPE angegeben wurde.
    • Remote Address: Die Remote-IP-Adresse, die in der Oracle-Konsole als interne Tunnelschnittstelle - Oracle angegeben wurde.
    Diese Abbildung zeigt die VPN-Tunnelparameter zur Konfiguration im GAiA-Portal.
  6. Wählen Sie OK.

  7. Gehen Sie unter Network Management zu IPv4 Static Routes.
  8. Geben Sie folgende Elemente an::

    • Statische Route für die Oracle-IP-Adresse: Fügen Sie eine IP-Adresse mit /32-Maske für die Remote-IP-Adresse hinzu, die in der Oracle-Konsole als innere Tunnelschnittstelle - Oracle angegeben wurde.
    • Static routes to the VCN subnets: Wenn Sie statisches Routing für diese IPSec-Verbindung zu Oracle verwenden, fügen Sie mindestens ein Subnetz hinzu, damit das Oracle-VCN über den IPSec-Tunnel erreicht werden kann. Im folgenden Screenshot wird eine statische Route zu 172.31.2.0/26 dargestellt. Wenn Sie BGP für diese IPSec-Verbindung zu Oracle verwenden, überspringen Sie dieses Element, weil die Routen über BGP erlernt werden (siehe nächster Abschnitt).
    Diese Abbildung zeigt die statischen Routen, die im GAiA-Portal konfiguriert werden müssen.

    Nun durchläuft der gesamte Traffic mit einem bestimmten Ziel, der aus einer statischen Route erlernt wurde, den neu erstellten IPSec-Tunnel.

  9. Rufen Sie die Schnittstellen ab, und prüfen Sie, ob der VPN-Tunnel in der Liste enthalten ist:

    1. Navigieren Sie in der SmartConsole zu Gateways & Server.
    2. Wählen Sie die Check Point Security Gateways, und doppelklicken Sie auf diese.
    3. Wählen Sie unter General Properties auf der Seite Network Management die Option Get Interfaces.

      Die VPN-Tunnelschnittstelle sollte in der Liste angezeigt werden.

  10. Um die Priorität eines routenbasierten VPN zu erzwingen, erstellen Sie eine leere Gruppe, und weisen Sie sie der VPN-Domain zu:
    1. Wählen Sie auf der Seite VPN Domain die Option Manually defined und dann Create empty group.
    2. Wählen Sie New, Group, Simple Group aus.
    3. Geben Sie einen Objektnamen ein, und wählen Sie OK aus. Ordnen Sie dieser leeren Gruppe keine Objekte zu.

      Diese Abbildung zeigt die leere Gruppe für die VPN-Domain.
Aufgabe 3: Interoperables Gerät erstellen

Später erstellen Sie eine VPN-Community. Davor müssen Sie zuerst ein interoperables Gerät erstellen, das im Check Point CloudGuard Security Gateway zur Definition des Oracle-DRG verwendet werden soll.

  1. Erstellen Sie das neue interoperable Gerät.

    In dieser Abbildung wird dargestellt, wo ein neues interoperables Gerät erstellt wird.
  2. Fügen Sie auf der Seite General Properties des neuen interoperablen Geräts einen Namen hinzu, um den IPSec-Tunnel zu identifizieren. Geben Sie die IP-Adresse ein, die Oracle beim Erstellen der IPSec-Verbindung für die Oracle-Seite des Tunnels zugewiesen hat.

    In dieser Abbildung wird dargestellt, wo das interoperable Gerät konfiguriert werden kann.
  3. Um die Priorität eines routenbasierten VPN zu erzwingen, erstellen Sie eine leere Gruppe, und weisen Sie sie der VPN-Domain zu: Wählen Sie dazu auf der Seite Topology im Abschnitt VPN Domain die Option Manually defined, und wählen Sie die leere Gruppe.

  4. Auf der Seite IPSec VPN können Sie optional das neue interoperable Gerät zu einer vorhandenen VPN-Community hinzufügen. Sie können diesen Schritt überspringen, wenn noch keine VPN-Communitys erstellt wurden.

    Beachten Sie, dass Sie die traditionelle Moduskonfiguration überspringen, da Sie alle Parameter für Phase 1 und Phase 2 in einem späteren Schritt in der VPN-Community definieren. Die VPN-Community wendet diese Parameter auf alle interoperablen Geräte an, die zur VPN-Community gehören.

    In dieser Abbildung wird dargestellt, wo das interoperable Gerät zu einer VPN-Community hinzugefügt werden kann.
  5. Wählen Sie auf der Seite Link Selection unter Always use this IP address die Option Main address, bei der es sich um die Adresse handelt, die Sie beim Erstellen des interoperablen Geräts angegeben haben. Sie können eine bestimmte IP-Adresse als IKE-ID verwenden.

    In dieser Abbildung wird dargestellt, wo die Adresse für das interoperable Gerät angegeben werden soll.
  6. Wählen Sie auf der Seite VPN Advanced die Option Use the community settings, die alle Optionen und Werte in der VPN-Community anwendet, einschließlich der Parameter für Phase 1 und Phase 2.

    In dieser Abbildung wird dargestellt, wo erweiterte VPN-Einstellungen angegeben werden.
  7. Wählen Sie OK, um die Änderungen zu speichern.
Aufgabe 4: VPN-Community erstellen
  1. Gehen Sie zu Security Policies, und wählen Sie unter Access Tools VPN Communities.
  2. Erstellen Sie eine Star Community.

    In dieser Abbildung wird dargestellt, wo eine VPN-Community erstellt wird.
  3. Fügen Sie für die Star Community einen Namen hinzu.

  4. Wählen Sie auf der Seite Gateways die Werte für Center Gateways und Satellite Gateways. Diese Star Community dient als Einstellungsvorlage für die interoperablen Geräten, die Sie in Center Gateways und Satellite Gateways angeben.

    • Center Gateways: Für das Check Point CloudGuard Security Gateway.
    • Satellite Gateways: Für das CPE, das für jeden IPSec-Tunnel eine Verbindung zum Oracle-DRG herstellt.
    In dieser Abbildung wird dargestellt, wo die Gateways für die VPN-Community konfiguriert werden.
  5. Um Traffic zuzulassen, gehen Sie zu Global Properties, VPN, Advanced.

    In dieser Abbildung wird dargestellt, wo die globalen Eigenschaften zu finden sind.
    In dieser Abbildung wird dargestellt, wo sich die erweiterten VPN-Eigenschaften befinden, mit denen Traffic zugelassen wird.
  6. Wählen Sie VPN Directional Match in VPN Column aktivieren aus. Später erstellen Sie eine Sicherheits-Policy, die eine direktionale Übereinstimmungsbedingung verwenden, damit Traffic basierend auf Routingregeln weitergeleitet werden können.

  7. Wählen Sie OK.
  8. Konfigurieren Sie auf der Seite Encryption die Parameter für Phase 1 und Phase 2, die von Oracle unterstützt werden. Eine Liste dieser Werte finden Sie unter Unterstützte IPSec-Parameter.

    Informationen zum Konfigurieren von Site-to-Site-VPN für die Government Cloud finden Sie unter Erforderliche Site-to-Site-VPN-Parameter für Government Cloud.

    Beachten Sie, dass Sie als Encryption Method IKEv2 stattdessen nurIKEv2 auswählen.

    In dieser Abbildung wird dargestellt, wo Sie die Parameter für Phase 1 und Phase 2 konfigurieren können.
  9. Wählen Sie auf der Seite Tunnel Management die Option Set Permanent Tunnels. Empfohlene Einstellungen:

    • Wählen Sie On all tunnels in the community, damit alle Oracle-IPSec-Tunnel permanent hochgefahren bleiben.
    • Wählen Sie im Abschnitt VPN Tunnel Sharing die Option One VPN tunnel per Gateway pair.

    Die letztere Option generiert nur ein Paar von IPSec-Sicherheitszuordnungen (SAs) und jede SA enthält nur einen Sicherheitsparameterindex (SPI) (unidirektional).

    Wenn Sie policy-basierte Tunnel verwenden, generiert jeder Policy-Eintrag ein Paar von IPSec-SAs (wird auch als Verschlüsselungsdomain bezeichnet).

    Wichtig

    Das Oracle-VPN-Headend kann mehrere Verschlüsselungsdomains unterstützen, es gibt allerdings Einschränkungen. Vollständige Details finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.

    Oracle erstellt eine routenbasierte IPSec-Verbindung. Das heißt, dass alles über eine Verschlüsselungsdomain weitergeleitet wird, die 0.0.0.0/0 (beliebig) für lokalen Traffic und 0.0.0.0/0 (beliebig) für Remotetraffic enthält. Weitere Informationen finden Sie unter Unterstützte Verschlüsselungsdomain oder Proxy-ID.

    Diese Abbildung zeigt, wo Sie Optionen für die Tunnelverwaltung konfigurieren können.
  10. Wählen Sie auf der Seite Shared Secret die Option Use only Shared Secret for all external members, und fügen Sie das Shared Secret hinzu, das Oracle beim Erstellen der IPSec-Verbindung für den Tunnel generiert hat.

    Oracle unterstützt nur Shared Secret Keys. Beachten Sie, dass Sie in der Oracle-Konsole das Shared Secret ändern können.

    In dieser Abbildung wird dargestellt, wo Sie das Shared Secret für den Tunnel angeben können.
  11. Wählen Sie OK, um die Änderungen zu speichern.
Aufgabe 5: Sicherheits-Policy erstellen
  1. Gehen Sie zu Access Control und danach zur Registerkarte Policy. Erstellen Sie bestimmte Sicherheits-Policys mit Directional Match Condition, wodurch Traffic basierend auf Routentabellen weitergeleitet werden kann. Richten Sie die Bedingung mit den folgenden Einstellungen ein:

    • Internal_Clear > VPN-Community erstellt
    • VPN-Community erstellt > VPN-Community erstellt
    • VPN-Community erstellt > Internal_Clear

    In diesem Fall ist die VPN-Community OCI-DRG-BGP, und Internal_Clear wird von Check Point vordefiniert.

    In dieser Abbildung wird dargestellt, wie die direktionale Übereinstimmungsbedingung der Sicherheits-Policy konfiguriert wird.
  2. Wählen Sie OK, um die Änderungen zu speichern.
  3. Wählen Sie Install Policy aus, um die Konfiguration anzuwenden.

    Diese Abbildung zeigt, wo Sie "Install Policy" auswählen können.
Aufgabe 6: BGP aktivieren

Führen Sie die folgenden Schritte für jeden Tunnel aus.

  1. Navigieren Sie zu Advanced Routing und anschließend zu BGP.
  2. Wählen Sie unter BGP Global Settings die Option Change Global Settings (Globale Einstellungen ändern), und fügen Sie dann eine Router-ID und lokale ASN hinzufügen.

    In dieser Abbildung wird dargestellt, wo die globalen BGP-Einstellungen geändert werden.
  3. Wählen Sie Speichern aus.
Aufgabe 7: Routen erneut im BGP verteilen
  1. Navigieren Sie zu Advanced Routing und dann zu Route Distribution.
  2. Wählen Sie Add Redistribution From, und wählen Sie dann Interface, wodurch alle verbundenen Subnetze hinzugefügt werden.

    Diese Abbildung zeigt, wo die Routenverteilung konfiguriert werden kann.
  3. Konfigurieren Sie die folgenden Elemente im Dialogfeld Add Redistribution from Interface:

    • An Protokoll: Wählen Sie BGP AS 31898 aus. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544. Siehe BGP-ASN von Oracle, wenn Sie Site-to-Site-VPN für die Government Cloud konfigurieren.
    • Interface: Wählen Sie all aus, um alle verbundenen Subnetze anzubieten.
    Diese Abbildung zeigt das Dialogfeld "Add Redistribution from Interface".
  4. Wählen Sie Speichern aus.

Die BGP-Session sollte jetzt aktiv sein und Subnetze veröffentlichen und empfangen.

Verifizierung

Der folgende CLI-Befehl prüft BGP-Peers und Routing.

show bgp peers

Der folgende Befehl prüft, ob Sie BGP-Routen empfangen.

show route bgp

Der folgende Befehl prüft die Routen, die angeboten werden. Ersetzen Sie in diesem Beispiel <remote_IP_address> durch die Remote-IP-Adresse, die in der Oracle Konsole als innere Tunnelschnittstelle - Oracle angegeben wurde

show bgp peer <remote_IP_address> advertise 

Der folgende Befehl prüft die eingehenden Routen.

show bgp peer <remote_IP_address> received

Überprüfen Sie die Sicherheitszuordnungen (SAs) mit den Optionen 2 und 4 im folgenden Befehl.


vpn tunnelutil


**********     Select Option     **********


(1)                List all IKE SAs
(2)              * List all IPsec SAs
(3)                List all IKE SAs for a given peer (GW) or user (Client)
(4)              * List all IPsec SAs for a given peer (GW) or user (Client)
(5)                Delete all IPsec SAs for a given peer (GW)
(6)                Delete all IPsec SAs for a given User (Client)
(7)                Delete all IPsec+IKE SAs for a given peer (GW)
(8)                Delete all IPsec+IKE SAs for a given User (Client)
(9)                Delete all IPsec SAs for ALL peers and users
(0)                Delete all IPsec+IKE SAs for ALL peers and users


* To list data for a specific CoreXL instance, append "-i <instance number>" to your selection.


(Q)               Quit


*******************************************

Ein Monitoring ist auch in Oracle Cloud Infrastructure verfügbar, um Cloud-Ressourcen aktiv und passiv zu überwachen. Informationen zum Monitoring eines Site-to-Site-VPN finden Sie unter Site-to-Site-VPN.

Bei Problemen finden Sie weitere Informationen unter Site-to-Site-VPN - Fehlerbehebung.