Oracle Cloud Infrastructure - Dokumentation

IPSec-Verbindung erstellen

Mit dem Site-to-Site-VPN-Service können Sie eine IPSec-Verbindung erstellen, die IPSec-Tunnel enthält, die Oracle Cloud Infrastructure sicher mit einem On-Premise-Netzwerk verbinden.

Bevor Sie eine IPSec-Verbindung für Site-to-Site-VPN erstellen, prüfen Sie Site-to-Site-VPN festlegen, und planen Sie das Site-to-Site-VPN. Lesen Sie auch Arbeiten mit Site-to-Site-VPN.

  • Geben Sie IPSec-Verbindungsinformationen ein

    In diesem Abschnitt werden grundlegende Informationen für die IPSec-Verbindung beschrieben. In den folgenden Abschnitten werden Einzelheiten beschrieben, die davon abhängen, welchen der drei Routing-Typen Sie für diesen Tunnel auswählen.

    Sie können sich ein "IPSec-Verbindungsobjekt" als etwas vorstellen, das seine eigenen Metadaten und die Konfigurationsinformationen für die darin enthaltenen IPSec-Tunnel enthält.

    1. Wählen Sie auf der Listenseite Site-to-Site-VPN die Option IPSec-Verbindung erstellen aus. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter IPSec-Verbindungen auflisten.
    2. Geben Sie einen aussagekräftigen Namen für die Verbindung IPSec ein. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie dabei keine vertraulichen Informationen ein.
    3. Wählen Sie ein Compartment für die Verbindung IPSec aus. Der Standardwert ist das zuletzt verwendete Compartment und ist wahrscheinlich dasselbe Compartment wie das VCN mit den Ressourcen, die Sie für das On-Premise-Netzwerk verfügbar machen möchten.
    4. Wählen Sie das Compartment mit dem CPE-Objekt aus, das mit der IPSec-Verbindung verknüpft werden soll, und wählen Sie dann das CPE-Objekt aus.
      Wenn Sie IPSec über FastConnect konfigurieren, muss das von Ihnen ausgewählte CPE über ein Label verfügen, das bestätigt, dass IPSec über FastConnect für dieses CPE aktiviert ist. BGP-Routing wird für Verbindungen bevorzugt, die IPSec anstelle von FastConnect verwenden.
    5. Wenn sich das CPE hinter einem NAT-Gerät befindet, aktivieren Sie das entsprechende Kontrollkästchen.

      Wenn das Kontrollkästchen aktiviert ist, geben Sie die folgenden Informationen an:

      • CPE-IKE-ID-Typ: Wählen Sie den ID-Typ, mit der der Internetschlüsselaustausch (IKE) das CPE-Gerät identifiziert. Ein FQDN oder eine IPv4-Adresse kann eine ID sein.
      • CPE-ICE-ID: Geben Sie die Informationen an, mit denen IKE das CPE-Gerät identifiziert. Oracle verwendet standardmäßig die öffentliche IP-Adresse des CPE. Wenn sich das CPE hinter einem NAT-Gerät befindet, müssen Sie möglicherweise einen anderen Wert eingeben. Sie können den neuen Wert hier eingeben oder den Wert später ändern.
    6. Wählen Sie das Compartment mit dem DRG aus, das mit der Verbindung IPSec verknüpft werden soll, und wählen Sie dann das DRG aus. Dieses DRG muss bereits an das VCN angehängt sein, das Sie einem On-Premise-Netzwerk zur Verfügung stellen möchten.
    7. (Optional) Wenn Sie statisches Routing für einen der Tunnel verwenden möchten, geben Sie mindestens eine Route in das Feld Routen zu Ihrem On-Premise-Netzwerk ein. Andernfalls überspringen Sie diese Option.
      Sie können bis zu 10 statische Routen eingeben und die statischen Routen später ändern. Die Routen entsprechen den VCN-CIDRs, mit denen das On-Premise-Netzwerk eine Verbindung herstellen soll.

    Konfigurieren Sie als Nächstes die beiden IPSec-Tunnel. Wenn das eigentliche CPE-Gerät nur einen einzelnen IPSec-Tunnel pro Verbindung unterstützt, ist die Konfiguration von Tunnel 2 optional. Wie Sie die Tunnel konfigurieren, hängt von der von Ihnen geplanten Routingmethode ab. Wählen Sie daher den entsprechenden Abschnitt aus.

    Tunnel für BGP-Routing konfigurieren

    Tunnel für BGP-Routing konfigurieren

    Geben Sie die folgenden Informationen in den entsprechenden Abschnitt für Tunnel 1 und Tunnel 2 ein.

    1. Geben Sie einen aussagekräftigen Namen für den Tunnel an. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie dabei keine vertraulichen Informationen ein.
    2. (Optional) Aktivieren Sie das Kontrollkästchen, und geben Sie ein benutzerdefiniertes Shared Secret ein.
      Standardmäßig stellt Oracle das Shared Secret für den Tunnel zur Verfügung. Aktivieren Sie dieses Kontrollkästchen, um es selbst anzugeben, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    3. Wählen Sie die IKE-(Internet Key Exchange-)Version, die für diesen Tunnel verwendet werden soll. Wählen Sie IKEv2 nur aus, wenn das CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    4. Wählen Sie Dynamisches BGP-Routing als Routingtyp aus.
    5. Wenn das zuvor ausgewählte CPE IPSec gegenüber FastConnect unterstützt, sind die folgenden Einstellungen erforderlich:
      • Oracle-Tunnel-Headend-IP: Geben Sie die IP-Adresse des Oracle-Tunnelendpunkts IPSec (VPN-Headend) ein. Oracle veröffentlicht die VPN-IP mit der BGP-Session FastConnect als /32-Hostroute. Wenn sich Adressen mit einer VCN-Route überschneiden, hat dies aufgrund der längsten Präfixübereinstimmung Vorrang.
      • Verknüpfter Virtual Circuit: Wählen Sie einen Virtual Circuit aus, der bei seiner Erstellung für IPSec über FastConnect aktiviert wurde. Der Tunnel wird dem ausgewählten Virtual Circuit zugeordnet, und die definierte Headend-IP ist nur von On-Premise über den zugehörigen Virtual Circuit erreichbar.
      • DRG-Routentabelle: Wählen Sie eine DRG-Routentabelle aus, oder erstellen Sie sie. Um Probleme beim rekursiven Routing zu vermeiden, müssen der Virtual-Circuit-Anhang und der IPSec-Tunnelanhang, der für IPSec über FastConnect verwendet wird, unterschiedliche DRG-Routentabellen verwenden.
    6. Geben Sie die BGP-ASN des On-Premise-Netzwerks ein.
    7. Geben Sie die BGP-IPv4-Adresse mit Subnetzmaske (/30 oder /31) für das CPE-Ende des Tunnels ein (die IPv4-Innere Tunnelschnittstelle - CPE). Beispiel: 10.0.0.16/31. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
    8. Geben Sie die BGP-IPv4-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels ein (die IPv4-Innere Tunnelschnittstelle - Oracle). Beispiel: 10.0.0.17/31. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
    9. (Optional) Wenn Sie sowohl IPv6 als auch IPv4 verwenden möchten, wählen Sie IPv6 aktivieren aus, und geben Sie die folgenden Details an:
      • IPv6-Tunnelschnittstelle - CPE: Geben Sie die BGP-IPv6-Adresse mit Subnetzmaske (/126) für das CPE-Ende des Tunnels an. Beispiel: 2001:db2::6/126. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
      • IPv6 Innere Tunnelschnittstelle - Oracle: Geben Sie die BGP-IP-Adresse mit Subnetzmaske (/126) für das Oracle-Ende des Tunnels ein. Beispiel: 2001:db2::7/126. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
    10. (Optional) Wenn Sie Erweiterte Optionen anzeigen auswählen, können Sie die folgenden Einstellungen für den Tunnel ändern:
      • Oracle IKE-Initiierung: Diese Einstellung gibt an, ob das Oracle-Ende der IPSec-Verbindung den Tunnel IPSec hochfahren kann. Der Standardwert ist Initiator oder Responder. Sie können auch festlegen, dass das Oracle-Ende nur ein Responder ist, bei dem das CPE-Gerät den IPSec-Tunnel starten muss. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
      • NAT-T aktiviert: Diese Einstellung gibt an, ob sich das CPE-Gerät hinter einem NAT-Gerät befindet. Der Standardwert ist Automatisch. Die anderen Optionen sind Deaktiviert und Aktiviert. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
      • Timeout bei Dead Peer Detection aktivieren: Bei der Auswahl dieser Option können sie die Stabilität der Verbindung zum CPE regelmäßig prüfen und feststellen, ob das CPE heruntergefahren wurde. Mit dieser Option können Sie auch das längste Intervall zwischen CPE-Gerätezustandsmeldungen auswählen, bevor die IPsec-Verbindung angibt, dass der Kontakt zum CPE unterbrochen wurde. Der Standardwert ist 20 Sekunden. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
    11. (Optional) Wenn Sie den Abschnitt Phase One (ISAKMP)-Konfiguration erweitern und Benutzerdefinierte Optionen festlegen auswählen, können Sie die folgenden optionalen Einstellungen festlegen (Sie müssen eine der Optionen auswählen):
      • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen.
      • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen.
      • Diffie-Hellman-Gruppen: Sie können aus den Optionen im Pulldown-Menü auswählen.

      Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen. Sie können weiterhin die IKE-Sessionschlüssellebensdauer in Sekunden auswählen. Der Standardwert ist 28800, der 8 Stunden entspricht.

      Weitere Informationen zu diesen Optionen, einschließlich der Standardvorschläge, finden Sie unter Unterstützte IPsec-Parameter.

    12. Wenn Sie die Optionen für die Konfiguration der Phase Two (IPSec) einblenden und Benutzerdefinierte Optionen festlegen auswählen, können Sie die folgenden optionalen Einstellungen für den Tunnel festlegen (Sie müssen einen Verschlüsselungsalgorithmus auswählen):
      • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen. Wenn Sie einen AES-CBC-Verschlüsselungsalgorithmus auswählen, müssen Sie auch einen Authentifizierungsalgorithmus auswählen.
      • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen. Der gewählte Verschlüsselungsalgorithmus hat möglicherweise eine integrierte Authentifizierung, in diesem Fall ist keine auswählbare Option verfügbar.

      Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen. Sie können weiterhin die folgenden Einstellungen ändern:

      • IPSec Gültigkeitsdauer des Sessionschlüssels in Sekunden: Der Standardwert ist 3600, der 1 Stunde entspricht.
      • Perfect Forward Secrecy aktivieren: Standardmäßig ist diese Option aktiviert. Hiermit können Sie die Diffie-Hellman-Gruppe für Perfect Forward Secrecy auswählen. Sie können aus den Optionen im Pulldown-Menü auswählen. Wenn Sie keine Auswahl treffen, wird GROUP5 vorgeschlagen.

      Bei allen Optionen der zweiten Phase überschreibt die Auswahl einer einzelnen Option das Standardset und ist die einzige Option, die für das CPE-Gerät vorgeschlagen wird.

    13. Für Tunnel 2 können Sie dieselben Optionen verwenden, die für Tunnel 1 beschrieben sind. Sie können auch andere Optionen auswählen oder den Tunnel dekonfiguriert lassen, da das CPE-Gerät nur einen einzelnen Tunnel unterstützt.
    14. Wählen Sie abschließend IPSec-Verbindung erstellen aus.
    15. Erstellen Sie eine Kopie der Oracle-VPN-IP-Adresse und des Shared Secret für jeden der Tunnel in eine E-Mail oder an einen anderen Speicherort, damit Sie diese an den Netzwerktechniker übermitteln können, der das CPE-Gerät konfiguriert.

      Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Sie wird kurzfristig im Status "Provisioning" ausgeführt.

    Die angezeigten Tunnelinformationen umfassen:

    • Die Oracle-VPN-IPv4- oder IPv6-Adresse (für das Oracle-VPN-Headend).
    • Den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss ein CPE-Gerät konfigurieren, bevor der bzw. die Tunnel eingerichtet werden können.
    • Den BGP-Status des Tunnels. An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss das CPE-Gerät konfigurieren.

    Um das Shared Secret des Tunnels anzuzeigen, wählen Sie den Tunnel aus, um dessen Details anzuzeigen, und wählen Sie dann neben Shared Secret die Option Anzeigen aus.

    Sie können auch die Registerkarte Phasendetails auswählen, um die Details zu Phase Eins (ISAKMP) und Phase Zwei (IPSec) für den Tunnel anzuzeigen.

    Sie haben inzwischen alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der On-Premise-Netzwerktechniker das CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen dem On-Premise-Netzwerk und einem VCN fließen können.

    Weitere Informationen finden Sie unter CPE-Konfiguration.

    Tunnel für statisches Routing konfigurieren

    Tunnel für statisches Routing konfigurieren

    Hinweis

    Es wird empfohlen, routenbasierte IPSec-BGP-Verbindungen für IPSec über FastConnect zu verwenden.

    Geben Sie die folgenden Informationen in den entsprechenden Abschnitt für Tunnel 1 und Tunnel 2 ein.

    1. Geben Sie einen aussagekräftigen Namen für den Tunnel an. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    2. (Optional) Aktivieren Sie das Kontrollkästchen, und geben Sie ein benutzerdefiniertes Shared Secret ein.
      Standardmäßig stellt Oracle das Shared Secret für den Tunnel zur Verfügung. Aktivieren Sie dieses Kontrollkästchen, um es selbst anzugeben, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    3. Wählen Sie die IKE-(Internet Key Exchange-)Version, die für diesen Tunnel verwendet werden soll. Wählen Sie IKEv2 nur aus, wenn das CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    4. Wählen Sie Statisches Routing als Routingtyp.
    5. Geben Sie die BGP-IPv4-Adresse mit Subnetzmaske (/30 oder /31) für das CPE-Ende des Tunnels ein (die IPv4-Innere Tunnelschnittstelle - CPE). Beispiel: 10.0.0.16/31. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
    6. Geben Sie die BGP-IPv4-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels ein (die IPv4-Innere Tunnelschnittstelle - Oracle). Beispiel: 10.0.0.17/31. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
    7. (Optional) Wenn Sie sowohl IPv6 als auch IPv4 verwenden möchten, wählen Sie IPv6 aktivieren aus, und geben Sie die folgenden Details an:
      • IPv6-Tunnelschnittstelle - CPE: Geben Sie die BGP-IPv6-Adresse mit Subnetzmaske (/126) für das CPE-Ende des Tunnels an. Beispiel: 2001:db2::6/126. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
      • IPv6 Innere Tunnelschnittstelle - Oracle: Geben Sie die BGP-IP-Adresse mit Subnetzmaske (/126) für das Oracle-Ende des Tunnels ein. Beispiel: 2001:db2::7/126. Die IP-Adresse muss Teil der Verschlüsselungsdomain des Site-to-Site-VPNs sein.
    8. (Optional) Wenn Sie Erweiterte Optionen anzeigen auswählen, können Sie die folgenden Einstellungen für den Tunnel ändern:
      • Oracle IKE-Initiierung: Diese Einstellung gibt an, ob das Oracle-Ende der IPSec-Verbindung den Tunnel IPSec hochfahren kann. Der Standardwert ist Initiator oder Responder. Sie können auch festlegen, dass das Oracle-Ende nur ein Responder ist, bei dem das CPE-Gerät den IPSec-Tunnel starten muss. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
      • NAT-T aktiviert: Diese Einstellung gibt an, ob sich das CPE-Gerät hinter einem NAT-Gerät befindet. Der Standardwert ist Automatisch. Die anderen Optionen sind Deaktiviert und Aktiviert. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
      • Timeout bei Dead Peer Detection aktivieren: Bei der Auswahl dieser Option können sie die Stabilität der Verbindung zum CPE regelmäßig prüfen und feststellen, ob das CPE heruntergefahren wurde. Mit dieser Option können Sie auch das längste Intervall zwischen CPE-Gerätezustandsmeldungen auswählen, bevor die IPsec-Verbindung angibt, dass der Kontakt zum CPE unterbrochen wurde. Der Standardwert ist 20 Sekunden. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
    9. (Optional) Wenn Sie den Abschnitt Phase One (ISAKMP)-Konfiguration erweitern und Benutzerdefinierte Optionen festlegen auswählen, können Sie die folgenden optionalen Einstellungen festlegen (Sie müssen eine der Optionen auswählen):
      • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen.
      • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen.
      • Diffie-Hellman-Gruppen: Sie können aus den Optionen im Pulldown-Menü auswählen.

      Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen. Sie können weiterhin die IKE-Sessionschlüssellebensdauer in Sekunden auswählen. Der Standardwert ist 28800, der 8 Stunden entspricht.

      Weitere Informationen zu diesen Optionen, einschließlich der Standardvorschläge, finden Sie unter Unterstützte IPsec-Parameter.

    10. Wenn Sie die Optionen für die Konfiguration der Phase Two (IPSec) einblenden und Benutzerdefinierte Optionen festlegen auswählen, können Sie die folgenden optionalen Einstellungen für den Tunnel festlegen (Sie müssen einen Verschlüsselungsalgorithmus auswählen):
      • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen. Wenn Sie einen AES-CBC-Verschlüsselungsalgorithmus auswählen, müssen Sie auch einen Authentifizierungsalgorithmus auswählen.
      • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen. Der gewählte Verschlüsselungsalgorithmus hat möglicherweise eine integrierte Authentifizierung, in diesem Fall ist keine auswählbare Option verfügbar.

      Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen. Sie können weiterhin die folgenden Einstellungen ändern:

      • IPSec Gültigkeitsdauer des Sessionschlüssels in Sekunden: Der Standardwert ist 3600, der 1 Stunde entspricht.
      • Perfect Forward Secrecy aktivieren: Standardmäßig ist diese Option aktiviert. Hiermit können Sie die Diffie-Hellman-Gruppe für Perfect Forward Secrecy auswählen. Sie können aus den Optionen im Pulldown-Menü auswählen. Wenn Sie keine Auswahl treffen, wird GROUP5 vorgeschlagen.

      Bei allen Optionen der zweiten Phase überschreibt die Auswahl einer einzelnen Option das Standardset und ist die einzige Option, die für das CPE-Gerät vorgeschlagen wird.

    11. Für Tunnel 2 können Sie dieselben Optionen verwenden, die für Tunnel 1 beschrieben sind. Sie können auch andere Optionen auswählen oder den Tunnel dekonfiguriert lassen, da das CPE-Gerät nur einen einzelnen Tunnel unterstützt.
    12. Wählen Sie abschließend IPSec-Verbindung erstellen aus.
    13. Erstellen Sie eine Kopie der Oracle-VPN-IP-Adresse und des Shared Secret für jeden der Tunnel in eine E-Mail oder an einen anderen Speicherort, damit Sie diese an den Netzwerktechniker übermitteln können, der das CPE-Gerät konfiguriert.

      Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Sie wird kurzfristig im Status "Provisioning" ausgeführt.

    Die angezeigten Tunnelinformationen umfassen:

    • Die Oracle-VPN-IP-Adresse (für das Oracle-VPN-Headend).
    • Den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Ein Netzwerktechniker muss das CPE-Gerät weiterhin konfigurieren.

    Um das Shared Secret des Tunnels anzuzeigen, wählen Sie den Tunnel aus, um dessen Details anzuzeigen, und wählen Sie dann neben Shared Secret die Option Anzeigen aus.

    Sie haben inzwischen alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der On-Premise-Netzwerktechniker das CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen dem On-Premise-Netzwerk und einem VCN fließen können.

    Weitere Informationen finden Sie unter CPE-Konfiguration.

    Tunnel für richtlinienbasiertes Routing konfigurieren

    Tunnel für richtlinienbasiertes Routing konfigurieren

    Hinweis

    Es wird empfohlen, routenbasierte IPSec-BGP-Verbindungen für IPSec über FastConnect zu verwenden.
    Hinweis

    Die Policy-basierte Routingoption ist nicht in allen ADs verfügbar und erfordert möglicherweise das Erstellen eines neuen IPSec-Tunnels.

    Geben Sie die folgenden Informationen in den entsprechenden Abschnitt für Tunnel 1 und Tunnel 2 ein.

    1. Geben Sie einen aussagekräftigen Namen für den Tunnel an. Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
    2. (Optional) Aktivieren Sie das Kontrollkästchen, und geben Sie ein benutzerdefiniertes Shared Secret ein.
      Standardmäßig stellt Oracle das Shared Secret für den Tunnel zur Verfügung. Aktivieren Sie dieses Kontrollkästchen, um es selbst anzugeben, und geben Sie das Shared Secret ein. Sie können das Shared Secret später ändern.
    3. Wählen Sie die IKE-(Internet Key Exchange-)Version, die für diesen Tunnel verwendet werden soll. Wählen Sie IKEv2 nur aus, wenn das CPE dies unterstützt. Anschließend müssen Sie das CPE so konfigurieren, dass nur IKEv2 für diesen Tunnel verwendet wird.
    4. Wählen Sie Policy-basiertes Routing als Routingtyp aus.
    5. Geben Sie im Abschnitt Zuordnungen Informationen in die entsprechenden Felder ein:
      • On-premises CIDR blocks: You can provide several IPv4 CIDR or IPv6 prefix blocks used by resources in the on-premises network, with routing decided by the CPE device policies.
        Hinweis

        Informationen dazu, wie viele IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke verwendet werden können, finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
      • Oracle Cloud CIDR blocks: You can provide several IPv4 CIDR or IPv6 prefix blocks used by resources in a VCN.
        Hinweis

        Informationen dazu, wie viele IPv4-CIDR-Blöcke oder IPv6-Präfixblöcke verwendet werden können, finden Sie unter Verschlüsselungsdomains für policybasierte Tunnel.
    6. (Optional) Geben Sie bei Bedarf Informationen zur Fehlerbehebung oder Überwachung in die folgenden Felder ein:
      • IPv4 Inside Tunnel Interface - CPE: Sie können eine IP-Adresse mit Subnetzmaske (entweder /30 oder /31) für das CPE-Ende des Tunnels angeben. Beispiel: 10.0.0.16/31.
      • Innere Tunnelschnittstelle - Oracle : Sie können eine IP-Adresse mit Subnetzmaske (/30 oder /31) für das Oracle-Ende des Tunnels angeben. Beispiel: 10.0.0.17/31.

      Diese IP-Adressen müssen Bestandteil einer der Verschlüsselungsdomains des Site-to-Site-VPNs sein.

    7. (Optional) Wenn Sie Erweiterte Optionen anzeigen auswählen, können Sie die folgenden Einstellungen für den Tunnel ändern:
      • Oracle IKE-Initiierung: Diese Einstellung gibt an, ob das Oracle-Ende der IPSec-Verbindung den Tunnel IPSec hochfahren kann. Der Standardwert ist Initiator oder Responder. Sie können auch festlegen, dass das Oracle-Ende nur ein Responder ist, bei dem das CPE-Gerät den IPSec-Tunnel starten muss. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
      • NAT-T aktiviert: Diese Einstellung gibt an, ob sich das CPE-Gerät hinter einem NAT-Gerät befindet. Der Standardwert ist Automatisch. Die anderen Optionen sind Deaktiviert und Aktiviert. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
      • Timeout bei Dead Peer Detection aktivieren: Bei der Auswahl dieser Option können sie die Stabilität der Verbindung zum CPE regelmäßig prüfen und feststellen, ob das CPE heruntergefahren wurde. Mit dieser Option können Sie auch das längste Intervall zwischen CPE-Gerätezustandsmeldungen auswählen, bevor die IPsec-Verbindung angibt, dass der Kontakt zum CPE unterbrochen wurde. Der Standardwert ist 20 Sekunden. Es wird empfohlen, diese Option auf die Standardeinstellung zu setzen.
    8. (Optional) Wenn Sie den Abschnitt Phase One (ISAKMP)-Konfiguration erweitern und Benutzerdefinierte Optionen festlegen auswählen, können Sie die folgenden optionalen Einstellungen festlegen (Sie müssen eine der Optionen auswählen):
      • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen.
      • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen.
      • Diffie-Hellman-Gruppen: Sie können aus den Optionen im Pulldown-Menü auswählen.

      Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen. Sie können weiterhin die IKE-Sessionschlüssellebensdauer in Sekunden auswählen. Der Standardwert ist 28800, der 8 Stunden entspricht.

      Weitere Informationen zu diesen Optionen, einschließlich der Standardvorschläge, finden Sie unter Unterstützte IPsec-Parameter.

    9. Wenn Sie die Optionen für die Konfiguration der Phase Two (IPSec) einblenden und Benutzerdefinierte Optionen festlegen auswählen, können Sie die folgenden optionalen Einstellungen für den Tunnel festlegen (Sie müssen einen Verschlüsselungsalgorithmus auswählen):
      • Benutzerdefinierte Verschlüsselungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen. Wenn Sie einen AES-CBC-Verschlüsselungsalgorithmus auswählen, müssen Sie auch einen Authentifizierungsalgorithmus auswählen.
      • Benutzerdefinierte Authentifizierungsalgorithmen: Sie können aus den Optionen im Pulldown-Menü auswählen. Der gewählte Verschlüsselungsalgorithmus hat möglicherweise eine integrierte Authentifizierung, in diesem Fall ist keine auswählbare Option verfügbar.

      Wenn das Kontrollkästchen Benutzerdefinierte Konfigurationen festlegen nicht aktiviert ist, werden die Standardeinstellungen vorgeschlagen. Sie können weiterhin die folgenden Einstellungen ändern:

      • IPSec Gültigkeitsdauer des Sessionschlüssels in Sekunden: Der Standardwert ist 3600, der 1 Stunde entspricht.
      • Perfect Forward Secrecy aktivieren: Standardmäßig ist diese Option aktiviert. Hiermit können Sie die Diffie-Hellman-Gruppe für Perfect Forward Secrecy auswählen. Sie können aus den Optionen im Pulldown-Menü auswählen. Wenn Sie keine Auswahl treffen, wird GROUP5 vorgeschlagen.

      Bei allen Optionen der zweiten Phase überschreibt die Auswahl einer einzelnen Option das Standardset und ist die einzige Option, die für das CPE-Gerät vorgeschlagen wird.

    10. Für Tunnel 2 können Sie dieselben Optionen verwenden, die für Tunnel 1 beschrieben sind. Sie können auch andere Optionen auswählen oder den Tunnel dekonfiguriert lassen, da das CPE-Gerät nur einen einzelnen Tunnel unterstützt.
    11. Wählen Sie abschließend IPSec-Verbindung erstellen aus.
    12. Erstellen Sie eine Kopie der Oracle-VPN-IP-Adresse und des Shared Secret für jeden der Tunnel in eine E-Mail oder an einen anderen Speicherort, damit Sie diese an den Netzwerktechniker übermitteln können, der das CPE-Gerät konfiguriert.

      Sie können diese Tunnelinformationen jederzeit hier in der Konsole anzeigen.

    Die IPSec-Verbindung wird erstellt und auf der Seite angezeigt. Sie wird kurzfristig im Status "Provisioning" ausgeführt.

    Die angezeigten Tunnelinformationen umfassen:

    • Die Oracle-VPN-IP-Adresse (für das Oracle-VPN-Headend).
    • Den IPSec-Status des Tunnels (mögliche Werte sind "Hochgefahren", "Heruntergefahren" und "Wegen Wartung heruntergefahren"). An dieser Stelle lautet der Status "Heruntergefahren". Der Netzwerktechniker muss das CPE-Gerät konfigurieren, bevor sich der Status ändern kann.

    Um das Shared Secret des Tunnels anzuzeigen, wählen Sie den Tunnel aus, um dessen Details anzuzeigen, und wählen Sie dann neben Shared Secret die Option Anzeigen aus.

    Sie haben inzwischen alle Komponenten erstellt, die für das Site-to-Site-VPN erforderlich sind. Als Nächstes muss der On-Premise-Netzwerktechniker das CPE-Gerät konfigurieren, bevor der Netzwerktraffic zwischen dem On-Premise-Netzwerk und einem VCN fließen können.

    Weitere Informationen finden Sie unter CPE-Konfiguration.

  • Verwenden Sie den Befehl network ip-sec-connection create und die erforderlichen Parameter, um eine IPSec-Verbindung herzustellen:

    oci network ip-sec-connection create --compartment-id compartment-ocid --cpe-id cpe-ocid --drg-id drg-ocid  --static-routes complex type ... [OPTIONS]

    Die Option --static-routes ist nur erforderlich, wenn statisches Routing verwendet wird.

    Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateIPSecConnection aus, um eine IPSec-Verbindung zu erstellen.