Oracle Cloud Infrastructure - Dokumentation

Schnellstart für Site-to-Site-VPN

Mit dem Site-to-Site-VPN-Assistenten können Sie ein Site-to-Site-VPN zwischen Ihrem On-Premise-Netzwerk und Ihrem virtuellen Cloud-Netzwerk (VCN)  am schnellsten einrichten. Der Assistent ist ein geführter Schritt-für-Schritt-Prozess in der Konsole, mit dem das VPN sowie zugehörige Komponenten des Networking-Service eingerichtet werden.

Weitere sichere VPN-Lösungen sind OpenVPN, eine Client-VPN-Lösung, auf die Sie in Oracle Marketplace zugreifen können. OpenVPN verbindet einzelne Geräte mit Ihrem VCN, allerdings keine ganzen Sites oder Netzwerke.

Zweck des Assistenten

Site-to-Site-VPN umfasst das Einrichten und Konfigurieren verschiedener Komponenten des Networking-Service. Der Assistent richtet diese Komponenten für Sie ein. Im Allgemeinen umfasst der Assistent Folgendes:

  • Verwendung einer Vorlage mit Annahmen, die Ihnen die ersten Schritte erleichtern sollen.
  • Sie werden zur Angabe einiger grundlegender Netzwerkinformationen aufgefordert.
  • Die Komponenten des Networking-Service werden für Sie eingerichtet.
  • Ermöglicht die Generierung von Konfigurationsinhalt, den ein Netzwerktechniker bei der Konfiguration Ihres Customer Premises Equipment-(CPE-)Geräts verwenden kann.

Der Assistent ist eine Aufgabe im gesamten Einrichtungsprozess für ein Site-to-Site-VPN, der im folgenden Diagramm dargestellt wird. Der Assistent ist das schattierte Feld.

Diese Abbildung zeigt ein Flussdiagramm des gesamten Setupprozesses für ein Site-to-Site-VPN.

Beachten Sie, dass der Gesamtprozess die Unterstützung eines Netzwerktechnikers in Ihrer Organisation umfasst. Dieser Techniker stellt Informationen bereit, die Sie wiederum im Assistenten angeben müssen. Der Assistent gibt Informationen zurück, die der Netzwerktechniker bei der Konfiguration Ihres CPE-Geräts benötigt. Mit dem CPE-Konfigurations-Helper können Sie die erforderlichen Informationen in einer übersichtlichen Vorlage für den Netzwerktechniker zusammenstellen.

In den folgenden kurzen Abschnitten wird jede Aufgabe zusammengefasst.

Aufgabe 1: Informationen, die Sie vom Netzwerktechniker benötigen
  • Öffentliche IP-Adresse des CPE-Geräts. (Die Adresse muss eine IPv4-Adresse sein, IPv6-Traffic wird jedoch unterstützt.)
  • CPE-Anbieter, -Modell und -Version.
  • CPE-IKE-ID. Weitere Informationen finden Sie unter Überblick über Site-to-Site-VPN-Komponenten.
  • On-Premise-Netzwerkrouten.
  • Wenn Sie dynamisches BGP-Routing mit dem VPN verwenden:
    • BGP-ASN Ihres Netzwerks
    • Für jeden der beiden zu erstellenden IPSec-Tunnel: das BGP-IP-Adresspaar (mit Subnetzmaske), das Sie für die inneren Tunnelschnittstellen am Ende jedes Tunnels verwenden möchten. Beispiel:
      • Tunnel 1: Innere Tunnelschnittstelle - CPE: 10.0.0.16/31
      • Tunnel 1: Innere Tunnelschnittstelle - Oracle: 10.0.0.17/31
      • Tunnel 2: Innere Tunnelschnittstelle - CPE: 10.0.0.8/31
      • Tunnel 2: Innere Tunnelschnittstelle - Oracle: 10.0.0.9/31
Aufgabe 2: Assistent

Sie durchlaufen den Assistenten in der Konsole. Weitere Informationen finden Sie in den folgenden Abschnitten:

Aufgabe 3: Informationen, die der Netzwerktechniker von Ihnen benötigt

Mit dem CPE-Konfigurations-Helper können Sie Konfigurationsinhalt generieren, den der Netzwerktechniker zur Konfiguration des CPE verwenden kann.

Der Inhalt umfasst Folgendes:

  • Die Oracle-VPN-IP-Adresse und das Shared Secret für jeden IPsec-Tunnel.
  • Die unterstützten IPSec-Parameterwerte.
  • Informationen zum VCN.
  • CPE-spezifische Konfigurationsinformationen.
Aufgabe 4: CPE-Konfiguration

Der Netzwerktechniker konfiguriert Ihr CPE-Gerät anhand der von Ihnen bereitgestellten Informationen.

Aufgabe 5: Tests

Gemeinsam mit dem Netzwerktechniker testen Sie die Verbindung und bestätigen, dass der Traffic fließt.

Alternative zum Assistenten

Sie können Site-to-Site-VPN auch manuell einrichten. Schritt-für-Schritt-Anweisungen finden Sie unter Site-to-Site-VPN einrichten.

Vom Assistenten erstellte Komponenten

Die meisten Oracle-Kunden, die Site-to-Site-VPN einrichten, verfügen bereits über ein VCN zum Verbinden mit dem On-Premise-Netzwerk. In diesem Fall erstellt der Assistent die nummerierten Komponenten im folgenden Diagramm. In der Tabelle werden die einzelnen Komponenten beschrieben.

In dieser Abbildung werden die Komponenten des Networking-Service dargestellt, die für Sie erstellt werden.
Nummer Komponente Beschreibung Kann vorhandene Komponente verwenden oder neue erstellen?
1 CPE Ein CPE ist eine virtuelle Darstellung des eigentlichen CPE-Geräts. Diese virtuelle Darstellung enthält grundlegende Informationen, wie die öffentliche IP-Adresse des CPE-Geräts. Ja, Sie können entweder ein vorhandenes CPE verwenden, oder der Assistent erstellt ein neues.
2 IPsec-Tunnel

Der Assistent erstellt zwei IPsec-Tunnel, die jeweils bestimmte Konfigurationsinformationen enthalten, die Sie dem Netzwerktechniker bereitstellen müssen.

Hinweis: Der Assistent verwendet IKEv1 oder IKEv2 für die Tunnel. Weitere Informationen zu IKEv2 finden Sie unter IKEv2 verwenden.

 Nein. Der Assistent erstellt die Tunnel automatisch.
3 Dynamisches Routinggateway (DRG) Ein DRG ist eine virtuelle Darstellung des physischen Routers am Oracle-Ende Ihres Site-to-Site-VPN. Ja.
4 Internetgateway

Wenn das ausgewählte VCN noch kein Internetgateway enthält, können Sie festlegen, dass der Assistent eines erstellt, um direkte Konnektivität zum Internet zu ermöglichen.

Ja, Sie können entweder ein vorhandenes Internetgateway verwenden oder den Assistenten ein neues erstellen lassen.
5 Routentabelle von Subnetz
Ziel-CIDR Routenziel
10.0.0.0/16 DRG
Hinweis

Um eine neue Ressource zu erstellen, darf das Servicelimit für diese Ressource noch nicht erreicht worden sein. Nachdem das Servicelimit für einen Ressourcentyp erreicht wurde, können Sie entweder nicht verwendete Ressourcen dieses Typs entfernen oder eine Erhöhung des Servicelimits beantragen.

Außerdem geben Sie im Assistenten an, für welche Subnetze in Ihrem VCN Zugriff auf das On-Premise-Netzwerk konfiguriert werden soll. Der Assistent aktualisiert die Routentabelle und Sicherheitsregeln jedes Subnetzes wie folgt:

  • Routingregeln: Der Assistent fügt eine oder mehrere Regeln hinzu, um VCN-Traffic zu Ihrem On-Premise-Netzwerk über das DRG weiterzuleiten. Pro On-Premise-Netzwerkroute geben Sie eine Regel im Assistenten an. Wenn das VCN über ein Internetgateway verfügt (oder Sie eines erstellen) und ein öffentliches Subnetz ausgewählt ist, fügt der Assistent auch eine Regel hinzu, um den verbleibenden Traffic (nicht für das On-Premise-Netzwerk bestimmt) an das Internetgateway zu senden.
  • Sicherheitslistenregeln: Der Assistent fügt außerdem eine oder mehrere Regeln hinzu, um alle Arten von Traffic von Ihrem On-Premise-Netzwerk aus zuzulassen. Pro On-Premise-Netzwerkroute geben Sie eine Regel im Assistenten an. Wenn das VCN über ein Internetgateway verfügt (oder Sie eines erstellen) und ein öffentliches Subnetz ausgewählt ist, fügt der Assistent auch eine Regel hinzu, die SSH über Port 22 aus dem Internet zulässt.

Bei Bedarf können Sie die Regeln bearbeiten und weitere hinzufügen.

Nach Abschluss des Assistenten können Sie mit dem CPE-Konfigurations-Helper Konfigurationsinhalt generieren, den der Netzwerktechniker zur Konfiguration des CPE verwenden kann.

Optionen zum Zugriff auf den Assistenten in der Konsole

Option 1:

  1. Öffnen Sie das Navigationsmenü, klicken Sie auf Netzwerk, und klicken Sie dann auf Überblick.
  2. Klicken Sie auf die Schaltfläche VPN-Assistenten starten.

Option 2:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
  2. Klicken Sie auf VCN-Assistenten starten.
  3. Wählen Sie Site-to-Site-VPN und Internetverbindung zu einem VCN hinzufügen aus, und klicken Sie dann auf VCN-Assistenten starten.

Option 3:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf Site-to-Site-VPN.

  2. Klicken Sie auf VPN-Assistent starten.