VPN-Verbindung zu AWS

Im ersten Schritt im Konfigurationsprozess wird ein temporäres Kundengateway erstellt. Dieses temporäre Kundengateway wird verwendet, um das AWS-Standort-to-Site-VPN anfänglich bereitzustellen und den AWS-VPN-Endpunkt für den Tunnel verfügbar zu gestalten. OCI erfordert die öffentliche IP des Remote-VPN-Peers, bevor eine IPSec-Verbindung erstellt wird. Nachdem dieser Prozess abgeschlossen ist, wird ein neues Kundengateway konfiguriert, dass die tatsächliche öffentliche IP des OCI-VPN-Endpunkts darstellt.

1. Erweitern Sie im AWS-Hauptportal das Menü Services oben links. Wechseln Sie unter Networking & Content Delivery zu VPC.
2. Scrollen sie im linken Menü nach unten, und wählen Sie unter Virtual Private Network (VPN) die Option Customer Gateways aus.
3. Wählen Sie Kundengateway erstellen aus, um ein Kundengateway zu erstellen.

4. Sie gelangen zur Seite Create Customer Gateway. Geben Sie folgende Details ein:

   • Name: Geben Sie diesem Kundengateway einen temporären Namen. In diesem Beispiel wird der Name TempGateway verwendet.
   • Routing: Wählen Sie Dynamic aus.
   • BGP ASN: Geben Sie die OCI-BGP-ASN ein. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544.

   • IP Address: Verwenden Sie eine gültige IPv4-Adresse als temporäres Gateway. In diesem Beispiel wird 1.1.1.1. verwendet.

     Wenn Sie das temporäre Kundengateway konfiguriert haben, wählen Sie Kundengateway erstellen aus, um das Provisioning abzuschließen.

1. From the AWS left-hand menu, scroll down and select Virtual Private Gateways under Virtual Private Network (VPN).

2. Wählen Sie die Schaltfläche Create Virtual Private Gateway, um ein neues virtuelles privates Gateway zu erstellen.

3. Sie gelangen zur Seite Create Virtual Private Gateway. Geben Sie folgende Details ein:

   • Name: Geben Sie einen Namen für das virtuelle private Gateway (VPG) an.

   • ASN: Wählen Sie Amazon default ASN aus.

     Wenn Sie das virtuelle private Gateway konfiguriert haben, wählen Sie die Schaltfläche Virtuelles privates Gateway erstellen aus, um das Provisioning abzuschließen.

4. Nachdem das VPG erstellt wurde, müssen Sie es an den VPC der Wahl anhängen.

   Stellen Sie sicher, dass das VPG auf der Seite "Virtuelles privates Gateway" ausgewählt ist, und wählen Sie das Menü Aktionen (drei Punkte), An VPC anhängen aus.

5. Die Seite Attach to VPC für das ausgewählte virtuelle private Gateway wird aufgerufen.

   Wählen Sie die VPC aus der Liste, und wählen Sie dann die Schaltfläche Ja, anhängen, um das Anhängen des VPG an die VPC abzuschließen.

1. Scrollen sie im linken Menü nach unten, und wählen Sie unter Virtual Private Network (VPN) die Option Site-to-Site-VPN-Verbindungen aus.
2. Wählen Sie VPN-Verbindung erstellen aus, um ein neues virtuelles privates Gateway zu erstellen.
3. Die Seite VPN-Verbindung erstellen wird aufgerufen. Geben Sie folgende Details ein:
   • Name-Tag: Geben Sie der VPN-Verbindung einen Namen an.
   • Target Gateway Type: Wählen Sie Virtual Private Gateway und dann das zuvor erstellte virtuelle private Gateway aus der Liste aus.
   • Customer Gateway: Wählen Sie Existing und dann das temporäre Kundengateway aus der Liste aus.
   • Routing Options: Wählen Sie Dynamic (requires BGP) aus.
   • Tunnel inside Ip Version: Wählen Sie IPv4 aus.

   • Lokale/Remote-IPv4-Netzwerk-Cidr: Lassen Sie beide Felder leer, und erstellen Sie ein beliebiges routenbasiertes IPSec-VPN.

     Gehen Sie zum nächsten Schritt. Wählen Sie Noch nicht die Schaltfläche VPN-Verbindung erstellen aus.

4. Scrollen Sie auf der Seite Create VPN Connection nach unten zu Tunnel Options.

   Wähle ein /30-CIDR aus dem Linklokalen Bereich 169.254.0.0/16 aus. Geben Sie das vollständige CIDR im Feld Inside IPv4 CIDR for Tunnel 1 ein.

   Stellen Sie sicher, dass OCI die ausgewählte /30-Adresse für die internen Tunnel-IPs unterstützt. OCI lässt die Verwendung folgender IP-Bereiche für Innentunnel-IPs nicht zu:

   • 169.254.10.0 - 169.254.19.255
   • 169.254.100.0 - 169.254.109.255
   • 169.254.192.0 - 169.254.201.255

   Gehen Sie zum nächsten Schritt. Wählen Sie Noch nicht die Schaltfläche VPN-Verbindung erstellen aus.

5. Aktivieren Sie unter Advanced Options for Tunnel 1 das Optionsfeld Edit Tunnel 1 Options. Eine zusätzliche Gruppe von Optionen wird erweitert.

   Wenn Sie die für diesen Tunnel verwendeten kryptografische Algorithmen einschränken möchten, konfigurieren Sie die gewünschten Optionen für Phase 1 und Phase 2 hier. Wir empfehlen, IKEv2 für diese Verbindung zu verwenden. Deaktivieren Sie das Kontrollkästchen "IKEv1", um zu verhindern, dass IKEv1 verwendet wird. Informationen zu den von OCI unterstützten Optionen für Phase 1 und Phase 2 finden Sie unter Unterstützte Parameter IPSec.

   Nachdem Sie alle gewünschten Optionen konfiguriert haben, wählen Sie unten die Schaltfläche VPN-Verbindung erstellen, um das Provisioning für die VPN-Verbindung abzuschließen.

Während des Provisionings der VPN-Verbindung die Konfiguration aller Tunnelinformationen herunterladen. Diese Textdatei ist erforderlich, um die Konfiguration des Tunnels in der OCI-Konsole abzuschließen.

1. Stellen Sie sicher, dass die VPN-Verbindung ausgewählt ist, und wählen Sie dann die Schaltfläche Konfiguration herunterladen aus.
2. Wählen Sie unter Vendor und Platform die Einstellung "Generic" aus, und wählen Sie dann die Schaltfläche Download, um eine Textkopie der Konfiguration auf einer lokalen Festplatte zu speichern.
3. Öffnen Sie die heruntergeladene Konfigurationsdatei in einem beliebigen Texteditor.

   Lesen Sie dazu IPSec Tunnel #1, Abschnitt #1 Internet Key Exchange Configuration. Hier finden Sie einen automatisch generierten Pre-Shared Key für den Tunnel. Speichern Sie diesen Wert.

   AWS generiert möglicherweise einen Pre-Shared Key mit Punkt (.) oder Unterstrich (_). OCI unterstützt die Verwendung dieser Zeichen in einem Pre-Shared Key nicht. Ein Schlüssel, der diese Zeichen enthält, muss geändert werden. Um den Pre-Shared Key in AWS für einen Tunnel zu ändern, wählen Sie die VPN-Verbindung aus. Wählen Sie dann das Menü Aktionen (drei Punkte) und dann VPN-Tunneloptionen ändern aus.

4. Scrollen Sie in der heruntergeladenen Konfiguration unter Tunnel 1 nach unten zum Abschnitt #3 Tunnel Interface Configuration.

   Notieren Sie sich die folgenden Werte, um die Site-to-Site-VPN-Konfiguration in OCI abzuschließen:

   • Externe IP-Adresse des virtuellen privaten Gateways
   • Interne IP für das Kundengateway
   • Interne IP für das virtuelle private Gateway
   • BGP-ASN des virtuellen privaten Gateways Die Standard-ASN ist 64512.

1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Kunden-Premise-Equipment aus.
2. Wählen Sie Customer-Premises Equipment erstellen aus.

3. Geben Sie folgende Werte ein:

   • In Compartment erstellen: Wählen Sie das Compartment für das gewünschte VCN aus.
   • Name: Ein aussagekräftiger Name für das CPE-Objekt. Er muss nicht eindeutig sein und kann später in der Konsole nicht geändert werden (Sie können ihn jedoch mit der API ändern). Geben Sie keine vertraulichen Informationen ein.

     In diesem Beispiel wird "TO_AWS" als Name verwendet.

   • IP-Adresse: Geben Sie die externe IP-Adresse des Virtual Private Gateways ein, die in der von AWS heruntergeladenen Konfiguration angezeigt wird.
   • CPE-Lieferant: Wählen Sie Weitere aus.
4. Wählen Sie CPE erstellen aus.

1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Site-to-Site-VPN aus.
2. Wählen Sie IPSec-Verbindung erstellen aus.

3. Geben Sie folgende Werte ein:

   • Erstellen in Compartment: Übernehmen Sie die Vorgabe (das VCN-Compartment).
   • Name: Geben Sie einen aussagekräftigen Namen für die Verbindung IPSec ein (Beispiel: OCI-AWS-1). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
   • Compartment Customer Premises Equipment: Übernehmen Sie die Vorgabe (das Compartment des VCN).
   • Customer-Premises Equipment: Wählen Sie das zuvor erstellte CPE-Objekt mit dem Namen TO_AWS aus.
   • Compartment dynamisches Routinggateway: Übernehmen Sie die Vorgabe (das VCN-Compartment).
   • Dynamisches Routinggateway: Wählen Sie das zuvor erstellte DRG aus.
   • CIDR mit statischer Route: Geben Sie die Standardroute 0.0.0.0/0 ein. Da der aktive Tunnel BGP nutzt, ignoriert OCI diese Route. Ein Eintrag ist für den zweiten Tunnel der IPsec-Verbindung erforderlich, der standardmäßig statisches Routing verwendet. Die Adresse wird in diesem Szenario jedoch nicht verwendet. Wenn Sie für diese Verbindung statisches Routing verwenden möchten, geben sie statische Routen ein, die virtuelle AWS-Netzwerke darstellen. Für jede IPsec-Verbindung können bis zu 10 statische Routen konfiguriert werden.

4. Geben Sie die folgenden Details auf der Registerkarte Tunnel 1 ein (erforderlich):

   • Name: Geben Sie einen beschreibenden Namen für den TUNNEL ein. (Beispiel: AWS-TUNNEL-1). Er muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
   • Benutzerdefiniertes Shared Secret angeben: Geben Sie den Pre-Shared Key ein, der von IPSec für diesen Tunnel verwendet wird. Aktivieren Sie dieses Kontrollkästchen, und geben Sie den Pre-Shared Key aus der AWS-VPN-Konfigurationsdatei ein.
   • IKE-Version: Wählen Sie IKEv2 aus.
   • Routingtyp: Wählen Sie Dynamisches BGP-Routing aus.
   • BGP-ASN: Geben Sie die von AWS verwendete BGP-ASN aus der AWS-VPN-Konfigurationsdatei ein. Die Standard-AWS-BGP-ASN lautet 64512.
   • IPv4 Interne Tunnelschnittstelle - CPE: Geben Sie die interne IP-Adresse des virtuellen privaten Gateways aus der AWS-VPN-Konfigurationsdatei ein. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse.
   • IPv4 Interne Tunnelschnittstelle - Oracle: Geben Sie die von OCI verwendete interne IP-Adresse ein. Geben Sie die interne IP-Adresse für das Kundengateway aus der AWS-VPN-Konfigurationsdatei ein. Verwenden Sie die vollständige CIDR-Notation für diese IP-Adresse.

5. Wählen Sie IPSec-Verbindung erstellen aus.

   Die IPsec-Verbindung wird erstellt und auf der Seite angezeigt. Die Verbindung befindet sich für einen kurzen Zeitraum im Status "Provisioning wird ausgeführt".

6. Notieren Sie sich nach dem Provisioning der IPSec-Verbindung die Oracle-VPN-IP-Adresse des Tunnels. Mit dieser Adresse wird ein neues Kundengateway im AWS-Portal erstellt.
   1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option Site-to-Site-VPN aus.

      Eine Liste der IPSec-Verbindungen in dem Compartment, das Sie geöffnet haben, wird angezeigt. Wenn die gesuchte Policy nicht angezeigt wird, stellen Sie sicher, dass Sie das richtige Compartment anzeigen. Um Policys anzuzeigen, die an ein anderes Compartment angehängt sind, wählen Sie unter Listengeltungsbereich dieses Compartment in der Liste aus.

   2. Wählen Sie die gewünschte IPSec-Verbindung aus (Beispiel: OCI-AWS-1).
   3. Suchen Sie die Oracle-VPN-IP-Adresse von AWS-TUNNEL-1.

Wechseln Sie in der AWS-Konsole zu "Customer Gateways", und erstellen Sie ein Kundengateway mit den folgenden Details:

• Name: Geben Sie diesem Kundengateway einen Namen.
• Routing: Wählen Sie Dynamic aus.
• BGP ASN: Geben Sie die OCI-BGP-ASN ein. Die BGP-ASN von Oracle für die kommerzielle Cloud ist 31898, mit Ausnahme der Region Serbia Central (Jovanovac) mit 14544.

• IP Address: Geben Sie die Oracle VPN IP-Adresse für Tunnel 1 ein. Verwenden Sie die in der vorherigen Aufgabe gespeicherte IP.

  Wählen Sie Create Customer Gateway aus, um das Provisioning abzuschließen.

Diese Aufgabe ersetzt das temporäre Kundengateway durch ein Gateway, das die OCI-VPN-IP-Adresse verwendet.

1. Navigieren Sie in die AWS-Konsole zu Site-to-Site-VPN-Verbindungen, und wählen Sie die VPN-Verbindung.

2. Wählen Sie das Menü Aktionen (drei Punkte) und dann VPN-Verbindung ändern aus.

3. Die Seite VPN-Verbindung ändern wird aufgerufen. Geben Sie folgende Details ein:

   • Target Type: Wählen Sie Customer Gateway in der Liste aus.

   • Target Customer Gateway ID: Wählen Sie das neue Customer Gateway mit der OCI-VPN-IP-Adresse in der Liste aus.

     Wählen Sie die Schaltfläche Speichern, um die Konfiguration zu speichern, wenn Sie fertig sind

     Nach einigen Minuten schließt AWS das Provisioning der VPN-Verbindung ab, und das VPN IPSec zwischen AWS und OCI wird gestartet.

4. An dieser Stelle können Sie das temporäre Kundengateway löschen.

Navigieren Sie zur IPSec-Verbindung in OCI und zu den Site-to-Site-VPN-Verbindungen in AWS, um den Tunnelstatus zu prüfen.

• Der OCI-Tunnel unter der IPSec-Verbindung zeigt den Status Hochgefahren für IPSec an, um einen Betriebstunnel zu bestätigen.
• Im BGP-Status IPv4 wird ebenfalls Up angezeigt, was eine eingerichtete BGP-Session bestätigt.
• Der Tunnelstatus auf der Registerkarte Tunneldetails für die Site-to-Site-VPN-Verbindung in AWS zeigt Hochgefahren an.

Ein Monitoring-Service ist auch in OCI verfügbar, um Cloud-Ressourcen aktiv und passiv Zu überwachen. Informationen zum Monitoring von OCI Site-to-Site-VPN finden Sie unter Site-to-Site-VPN-Metriken.

Bei Problemen finden Sie weitere Informationen unter Site-to-Site-VPN - Fehlerbehebung.