Überblick über Site-to-Site-VPN

Site-to-Site-VPN stellt eine IPSec-Verbindung zwischen einem On-Premise-Netzwerk und einem virtuellen Cloud-Netzwerk (VCN) bereit. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor die Pakete von der Quelle zum Ziel übertragen werden, und entschlüsselt den Traffic, wenn er ankommt. Site-to-Site-VPN wurde früher als VPN Connect und IPSec VPN bezeichnet.

Weitere sichere VPN-Lösungen sind OpenVPN, eine Client-VPN-Lösung, auf die Sie in Oracle Marketplace zugreifen können. OpenVPN verbindet einzelne Geräte mit einem VCN, allerdings keine ganzen Sites oder Netzwerke.

Dieses Thema bietet einen Überblick über Site-to-Site-VPN für ein VCN. Szenarios, die das Site-to-Site-VPN enthalten, finden Sie unter Szenario B: Privates Subnetz mit einem VPN und Szenario C: Öffentliche und private Subnetze mit einem VPN.

Informationen zu Limits finden Sie unter Limits für Site-to-Site-VPNs und Erhöhung des Servicelimits anfordern.

Personalbedarf und erforderliche Kenntnisse

Im Allgemeinen sind folgende Personen an der Einrichtung von Site-to-Site-VPN mit Oracle Cloud Infrastructure beteiligt:

  • Dev Ops-Teammitglied (oder eine ähnliche Funktion), das die Cloud-Komponenten, die für das virtuelle Netzwerk und Site-to-Site-VPN erforderlich sind, mit Oracle Cloud InfrastructureConsole einrichtet.
  • Netzwerktechniker (oder ähnliche Funktion), der das CPE-Gerät (Customer Premises Equipment) mit Informationen konfiguriert, die vom DevOps-Teammitglied bereitgestellt werden.
Tipp

Das DevOps-Teammitglied muss die erforderliche Berechtigung zum Erstellen und Verwalten der Cloud-Komponenten besitzen. Wenn die Person der Standardadministrator für den Oracle Cloud Infrastructure-Mandanten oder ein Mitglied der Administratorengruppe ist, besitzt sie die erforderliche Berechtigung. Informationen zum Einschränken des Zugriffs auf Netzwerkkomponenten finden sie unter Zugriffskontrolle.

Die Mitarbeiter sollten mit den folgenden Konzepten und Definitionen vertraut sein:

CLOUD-RESSOURCEN
Alles, was Sie auf einer Cloud-Plattform bereitstellen. Beispiel: Bei Oracle Cloud Infrastructure kann eine "Cloud-Ressource" eine VCN-, Compute-Instanz-, Benutzer-, Compartment-, Load Balancer- oder andere Servicekomponente auf der Plattform sein.
ON PREMISE
Ein vielfach verwendeter Begriff in Cloud-Technologien, der sich auf traditionelle Data Center-Umgebungen bezieht. On Premise kann ein Colocation-Szenario, ein dediziertes Stellfläche, ein dediziertes Data Center-Gebäude oder einen Desktop unter einem Schreibtisch bedeuten.
ORACLE CLOUD-ID (OCID)
Eine eindeutige ID, die jeder Ressource zugewiesen ist, die Sie in Oracle Cloud Infrastructure bereitstellen. Die OCID ist eine lange Zeichenfolge, die Oracle automatisch generiert. Sie können den Wert für eine OCID nicht auswählen oder die OCID einer Ressource ändern. Weitere Informationen finden Sie unter Ressourcen-IDs.

Oracle-IPsec-Verbindung

Im Allgemeinen kann eine IPsec-Verbindung mit den folgenden Modi konfiguriert werden:

  • Transportmodus: IPSec verschlüsselt und authentifiziert nur die tatsächliche Payload des Pakets, und die Headerinformationen bleiben intakt.
  • Tunnelmodus (von Oracle unterstützt): IPSec verschlüsselt und authentifiziert das gesamte Paket. Nach der Verschlüsselung wird das Paket gekapselt, um ein neues IP-Paket mit unterschiedlichen Headerinformationen zu bilden.

Oracle Cloud Infrastructure unterstützt nur den Tunnelmodus für IPSec-VPNs.

Jede Oracle IPSec-Verbindung besteht aus mehreren redundanten IPSec-Tunneln. Bei einem bestimmten Tunnel können Sie entweder dynamisches Border Gateway Protocol-(BGP-)Routing oder statisches Routing verwenden, um den Traffic dieses Tunnels weiterzuleiten. Weitere Details zum Routing folgen.

Site-to-Site-VPN-IPSec-Tunnel bieten die folgenden Vorteile:

  • Daten werden durch öffentliche Internetleitungen übertragen, sodass keine dedizierten, teuren Mietleitungen von einer Site zur anderen benötigt wird.
  • Die internen IP-Adressen der beteiligten Netzwerke und Knoten bleiben externen Benutzern verborgen.
  • Die gesamte Kommunikation zwischen Quell- und Zielsite wird verschlüsselt, sodass die Wahrscheinlichkeit des Datendiebstahls verringert werden.

Routing für Site-to-Site-VPN

Wenn Sie Site-to-Site-VPN einrichten, verfügt es über zwei redundante IPSec-Tunnel. Oracle empfiehlt, dass Sie ein CPE-Gerät so konfigurieren, dass beide Tunnel verwendet wird (sofern das Gerät dies unterstützt). Beachten Sie, dass Oracle in der Vergangenheit IPsec-Verbindungen mit bis zu vier IPsec-Tunneln erstellt hat.

Die folgenden drei Routingtypen sind verfügbar, und Sie wählen den Routingtyp separat für jeden IPSec-Tunnel im Site-to-Site-VPN aus:

  • Dynamisches BGP-Routing: Die verfügbaren Routen werden dynamisch über BGP erlernt. Das DRG lernt die Routen aus dem On-Premise-Netzwerk dynamisch. Auf der Oracle-Seite werden vom DRG die VCN-Subnetze veröffentlicht.
  • Statisches Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu dem On-Premise-Netzwerk an, über die das VCN wissen soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.
  • Policy-basiertes Routing: Wenn Sie die IPSec-Verbindung zum DRG einrichten, geben Sie die spezifischen Routen zu dem On-Premise-Netzwerk an, über die das VCN wissen soll. Außerdem müssen Sie das CPE-Gerät mit statischen Routen zu den Subnetzen des VCN konfigurieren. Diese Routen werden nicht dynamisch erlernt.

Wichtige Routingdetails zu Site-to-Site-VPN

Hier finden Sie wichtige Details zum Routing für Site-to-Site-VPN:

  • Routingoptionen:

    • Ursprünglich unterstützte Site-to-Site-VPN nur statisches Routing, und Sie mussten mindestens eine statische Route für die gesamte IPSec-Verbindung angeben.
    • Jetzt sind zwei verschiedene Routingtypen verfügbar (BGP und statisches Routing), und Sie konfigurieren den Routingtyp für jeden Tunnel einzeln. Für einen bestimmten Tunnel wird jeweils nur ein Routingtyp unterstützt.
    • Im Allgemeinen wird empfohlen, denselben Routingtyp für alle Tunnel in einer IPSec-Verbindung zu verwenden. Eine Ausnahme ist, wenn Sie gerade zwischen statischem Routing und BGP wechseln, verwendet ein Tunnel möglicherweise vorübergehend statisches Routing, während der andere bereits zu BGP übergegangen ist.
    • Wenn Sie eine IPSec-Verbindung erstellen, ist das statische Routing der Standardroutingtyp für alle Tunnel, es sei denn, Sie konfigurieren explizit BGP für jeden Tunnel.
  • Erforderliche Routinginformationen:

    • Wenn Sie BGP wählen, müssen Sie für jeden Tunnel zwei IP-Adressen angeben (eine für jeden der beiden BGP-Speaker in der BGP-Session des Tunnels). Die Adressen müssen sich in der Verschlüsselungsdomain für die IPSec-Verbindung befinden. Außerdem müssen Sie die BGP-Nummer (BGP-ASN) des autonomen Systems für das On-Premise-Netzwerk angeben.
    • Wenn Sie statisches Routing wählen, müssen Sie mindestens eine statische Route angeben (maximal 10). Auf den statischen Routen wird die gesamte IPSec-Verbindung konfiguriert, sodass in der IPSec-Verbindung dasselbe Set von statischen Routen für alle Tunnel verwendet wird, für die statisches Routing konfiguriert ist. Sie können die statischen Routen nach dem Erstellen der IPSec-Verbindung jederzeit ändern. Wenn Sie PAT zwischen einem CPE-Gerät und einem VCN durchführen, ist die statische Route für die IPSec-Verbindung die PAT-IP-Adresse. Siehe Beispiellayout mit PAT.
    • Wenn Sie statisches Routing auswählen, können Sie optional für jedes Ende des Tunnels eine IP-Adresse für die Fehlerbehebung oder die Überwachung von Tunneln angeben.
    • If the tunnel is configured to use BGP, the IPSec connection's static routes are ignored. Any static routes associated with the IPSec connection are used for routing a particular tunnel's traffic only if that tunnel is configured to use static routing. This is especially relevant if you have Site-to-Site VPN that uses static routing, but want to switch to using BGP.
  • Routing ändern:

    • Um einen Tunnel von BGP zu statischem Routing zu wechseln, müssen Sie zunächst sicherstellen, dass mit der IPSec-Verbindung selbst mindestens eine statische Route verknüpft ist.
    • Sie können den Routingtyp eines vorhandenen Tunnels jederzeit ändern (es sei denn, der Tunnel wird von Oracle bereitgestellt). Beim Ändern des Routings bleibt der Tunnel hochgefahren (der zugehörige IPSec-Status ändert sich nichts). Der Traffic, der den Tunnel durchläuft, wird jedoch während des erneuten Provisioning und während des Neukonfigurierens des CPE-Geräts vorübergehend unterbrochen. Informationen zum Ändern von Site-to-Site-VPN finden Sie unter Arbeiten mit Site-to-Site-VPN.
    • Da Sie den Routingtyp für jeden Tunnel separat konfigurieren, können Sie bei einem Wechsel von statischem Routing zu BGP zwischen Site-to-Site-VPN und BGP einen Tunnel nach dem anderen ausführen. Dadurch wird vermieden, dass die gesamte IPsec-Verbindung heruntergefahren wird. Anweisungen finden Sie unter Von statischem Routing zu dynamischem BGP-Routing wechseln.

Routen-Advertisements und Pfadvoreinstellungen bei verschiedenen Verbindungen

Wenn Sie BGP verwenden, veröffentlicht das an ein VCN angehängte DRG Routen an das CPE.

Wenn Sie verschiedene Verbindungen zwischen einem On-Premise-Netzwerk und einem VCN einrichten, müssen Sie erkennen, welche Routen vom DRG angeboten wird und wie Sie Pfadvoreinstellungen zur Verwendung der bevorzugten Verbindung festlegen.

Wichtige Informationen finden Sie unter Routingdetails für Verbindungen zum On-Premise-Netzwerk.

Bestimmten Tunnel im Site-to-Site-VPN vorziehen

In einem Standort-zu-Standort-VPN können Sie beeinflussen, welcher Tunnel bevorzugt wird. Sie können folgende Elemente konfigurieren:

  • Lokale BGP-Voreinstellung des CPE: Wenn Sie BGP verwenden, können Sie das lokale BGP-Voreinstellungsattribut auf dem CPE-Gerät konfigurieren, um zu steuern, welcher Tunnel für von einem On-Premise-Netzwerk zu einem VCN gestartete Verbindungen bevorzugt wird. Da Oracle asymmetrisches Routing verwendet, müssen Sie weitere Attribute konfigurieren, wenn Oracle über denselben Tunnel antworten soll. Siehe die beiden nächsten Elemente.
  • Spezifischere Routen im bevorzugten Tunnel: Sie können ein CPE konfigurieren, dass spezifischere Routen für den Tunnel angeboten werden, die Sie bevorzugen möchten. Oracle verwendet beim Beantworten oder Starten von Verbindungen die Route mit der längsten Präfixübereinstimmung.
  • AS Path Prepending: BGP bevorzugt den kürzesten AS-Pfad. Wenn Sie BGP verwenden, können Sie also mittels AS Path Prepending steuern, welcher Tunnel den kürzesten Pfad für eine bestimmten Route aufweist. Oracle verwendet beim Beantworten oder Starten von Verbindungen den kürzesten AS-Pfad.

Überblick über Site-to-Site-VPN-Komponenten

Wenn Sie noch nicht mit den grundlegenden Komponenten des Networking-Service vertraut sind, sollten Sie Networking lesen, bevor Sie fortfahren.

Wenn Sie Site-to-Site-VPN für ein VCN einrichten, müssen Sie verschiedene Networkingkomponenten erstellen. Sie können die Komponenten entweder mit der Konsole oder mit der API erstellen. Eine Beschreibung der Komponenten finden Sie im folgenden Diagramm.

Diese Abbildung zeigt die Komponenten von Site-to-Site-VPN.
Callout 1: Standard-VCN-Routentabelle
Ziel-CIDR Routenziel
0.0.0.0/0 DRG
CPE-Objekt
Am On-Premise-Ende des Site-to-Site-VPNs befindet sich das eigentliche Gerät im On-Premise-Netzwerk (Hardware oder Software). Der Begriff Customer-Premises-Equipment (CPE) wird in einigen Branchen häufig für diese Art von On-Premises-Equipment verwendet. Beim Einrichten des VPN müssen Sie eine virtuelle Darstellung des Geräts erstellen. Oracle bezeichnet diese virtuelle Darstellung als CPE. In dieser Dokumentation wird jedoch in der Regel der Begriff CPE-Objekt verwendet, um die virtuelle Darstellung vom eigentlichen CPE-Gerät zu unterscheiden. Das CPE-Objekt enthält grundlegende Informationen zu dem Gerät, das von Oracle benötigt wird. Eine öffentliche CPE-Objekt-IP kann bis zu 8 IPSec-Verbindungen aufweisen.
Dynamisches Routinggateway (DRG)
Am Oracle-Ende des Site-to-Site-VPN befindet sich ein virtueller Router namens dynamisches Routinggateway, der das Gateway in einem VCN aus dem On-Premise-Netzwerk darstellt. Unabhängig davon, ob Sie Site-to-Site-VPN oder private Virtual Circuits von Oracle Cloud Infrastructure FastConnect zur Anbindung des On-Premise-Netzwerks und VCN verwenden, wird der Traffic durch das DRG geleitet. Weitere Informationen finden Sie unter Dynamische Routinggateways.
Ein Netzwerktechniker stellt sich das DRG möglicherweise als VPN-Headend vor. After creating a DRG, you must attach it to a VCN, using either the Console or API. Sie müssen auch eine oder mehrere Routingregeln hinzufügen, die den Traffic vom VCN an das DRG weiterleiten. Ohne diesen DRG-Anhang und die Routingregeln fließt der Traffic nicht zwischen dem VCN und dem On-Premise-Netzwerk. Sie können das DRG jederzeit von einem VCN trennen, jedoch alle verbleibenden VPN-Komponenten beibehalten. Dann können Sie das DRG erneut anhängen oder an ein anderes VCN anhängen.
IPSec-Verbindung
Nachdem Sie das CPE-Objekt und das DRG erstellt haben, verbinden Sie diese, indem Sie eine IPSec-Verbindung erstellen, die Sie sich als übergeordnetes Objekt vorstellen können, das das Site-to-Site-VPN darstellt. Die IPSec-Verbindung besitzt eine eigene OCID . Beim Erstellen dieser Komponente konfigurieren Sie den Routingtyp, der für jeden IPSec-Tunnel verwendet werden soll, und geben alle zugehörigen Routinginformationen an. Eine öffentliche IP eines einzelnen CPE-Objekts kann bis zu 8 IPSec-Verbindungen aufweisen.
TUNNEL
Mit einem IPSec-Tunnel wird Traffic zwischen sicheren IPSec-Endpunkten verschlüsselt. Oracle erstellt zwecks Redundanz zwei Tunnel in jeder IPSec-Verbindung. Jeder Tunnel besitzt eine eigene OCID . Wir empfehlen, das CPE-Gerät zu konfigurieren, damit beide Tunnel unterstützt werden, falls ein Fehler auftritt oder Oracle einen Tunnel für Wartungszwecke offline setzen muss. Jeder Tunnel enthält Konfigurationsinformationen, die der Netzwerktechniker bei derKonfiguration Ihres CPE-Geräts benötigt. Diese Informationen umfassen eine IP-Adresse und einen Shared Secret sowie ISAKMP- und IPSec-Parameter. Mit dem CPE-Konfigurations-Helper können Sie Informationen erfassen, die der Netzwerktechniker benötigt. Weitere Informationen finden Sie unter Unterstützte IPSec-Parameter und Geprüfte CPE-Geräte.

Zugriffskontrolle für die Komponenten

Zum Zwecke der Zugriffskontrolle müssen Sie beim Einrichten eines Site-to-Site-VPN das Compartment angeben, in welchem die einzelnen Komponenten gespeichert werden sollen. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, legen Sie alle Komponenten im selben Compartment wie das VCN ab. Beachten Sie, dass sich die IPSec-Tunnel immer im selben Compartment wie die übergeordnete IPSec-Verbindung befinden. Informationen über Compartments und das Einschränken des Zugriffs auf Netzwerkkomponenten finden sie unter Zugriffskontrolle.

Komponentennamen und -IDs

Sie können jeder der Komponenten beim Erstellen optional einen aussagekräftigen Namen zuweisen. Diese Namen müssen nicht eindeutig sein. Es entspricht jedoch Best Practice, eindeutige Namen in einem Mandanten zu verwenden. Geben Sie keine vertraulichen Informationen ein. Oracle weist jeder Komponente automatisch eine OCID zu. Weitere Informationen finden Sie unter Ressourcen-IDs.

Wenn sich das CPE hinter einem NAT-Gerät befindet

Im Allgemeinen muss die CPE IKE-ID, die am On-Premise-Ende der Verbindung konfiguriert wurde, mit der CPE IKE-ID übereinstimmen, die von Oracle verwendet wird. Standardmäßig verwendet Oracle die öffentliche IP-Adresse des CPE, die Sie angeben, wenn Sie das CPE-Objekt in der Oracle-Konsole erstellen. Wenn sich ein CPE jedoch hinter einem NAT-Gerät befindet, kann es sich bei der am On-Premise-Ende konfigurierten CPE-IKE-ID um die private IP-Adresse des CPE handeln, wie im folgenden Diagramm dargestellt.

Diese Abbildung zeigt das CPE hinter einem NAT-Gerät, die öffentlichen und privaten IP-Adressen sowie die CPE-IKE-ID.
Hinweis

Bei einigen CPE-Plattformen können Sie die lokale IKE-ID nicht ändern. In diesem Fall müssen Sie die entfernte IKE-ID in der Oracle-Konsole so ändern, dass sie mit der lokalen IKE-ID des CPE übereinstimmt. Sie können den Wert angeben, wenn Sie die IPSec-Verbindung einrichten oder später, indem Sie die IPSec-Verbindung bearbeiten. Oracle erwartet, dass der Wert eine IP-Adresse oder ein vollständig angegebener Domainname (FQDN) ist, wie cpe.example.com. Weitere Informationen finden Sie unter Von Oracle verwendete CPE-IKE-ID ändern.

Informationen zum Shared Secret des Tunnels

Jeder Tunnel besitzt ein Shared Secret. Standardmäßig weist Oracle dem Tunnel das Shared Secret zu, es sei denn, Sie geben selbst ein Shared Secret an. Sie können für jeden Tunnel ein Shared Secret bereitstellen, wenn Sie die IPSec-Verbindung erstellen, oder später, nachdem die Tunnel erstellt wurden. Für das Shared Secret sind nur Buchstaben, Zahlen und Leerzeichen zulässig. Wenn Sie das Shared Secret eines vorhandenen Tunnels ändern, wird der Tunnel beim erneuten Provisioning heruntergefahren.

Anweisungen hierzu finden Sie unter Von einem IPSec-Tunnel verwendetes Shared Secret ändern.

Ressourcen für die Konfiguration des CPE

Ein Netzwerktechniker muss das CPE am On-Premise-Ende der IPSec-Verbindung konfigurieren. Um die Arbeit zu vereinfachen, stellt Oracle die folgenden Ressourcen bereit:

Weitere Informationen finden Sie auch unter CPE-Konfiguration.

Verbindung überwachen

Mit Metriken, Alarmen und Benachrichtigungen können Sie den Zustand, die Kapazität und die Performance von Oracle Cloud Infrastructure-Ressourcen überwachen. Weitere Informationen finden Sie unter Monitoring und Notifications.

Weitere Informationen zum Monitoring der Verbindung erhalten Sie unter Site-to-Site-VPN-Metriken.