IBM Cloud Docs
IPsec-VPN-Verbindung einrichten

IPsec-VPN-Verbindung einrichten

IPsec VPN ist veraltet. Ab dem 3. November 2024 können Sie keine neuen Instanzen von IPsec VPN erstellen. Bestehende IPsec-VPN-Instanzen werden bis zum 15. Juni 2025 unterstützt. Alle Instanzen, die zu diesem Zeitpunkt noch existieren, werden gelöscht.

Was ist IPsec-VPN?

IPsec ist eine Protokollgruppe zur Authentifizierung und Verschlüsselung des gesamten IP-Datenverkehrs zwischen zwei Standorten. Es ermöglicht das Übertragen vertrauenswürdiger Daten über Netze, die sonst als nicht sicher angesehen würden. IPsec-Tunnelendpunkte können sich an einem beliebigen Standort befinden und bieten trotzdem Zugriff auf Ihr gesamtes privates Netz oder auf die von Ihnen angegebenen Netze. IPsec-Tunnel sind nicht kompatibel, falls Sie eine Zone oder Cloud-Service-Endpunkte verwenden.

Mit dem IBM Cloud-VPN-Zugriff können Benutzer alle Server über Fernzugriff und sicher über das IBM Cloud Private-Netz verwalten. Die VPN-Verbindung von Ihrem Standort zum privaten Netz ermöglicht Out-of-band-Management und Serverrettung über einen verschlüsselten VPN-Tunnel. Mit VPN-Zugriff verfügen Sie über folgende Möglichkeiten:

  • Aufbau einer VPN-Verbindung zum privaten Netz über SSL oder IPsec.
  • Zugriff auf Ihren Server über seine private 10.x.x.x-IP-Adresse mit SSH oder RDP.
  • Verbindung zur IPMI-IP-Adresse des Servers zur zusätzlichen Serververwaltung oder zu Rettungszwecken

Wir stellen den Kunden den IPsec-Service zur Verwaltung ihrer Umgebungen bereit. Die Verwendung für den Produktionsbetrieb wird nicht empfohlen.

Verhandlungsparameter

Sie müssen über die folgenden Informationen zur fernen Seite des IPsec-VPN verfügen:

  • Statische IP-Adresse für VPN-Endpunkt
  • Vorab verteilter Schlüssel (Kennwort)
  • Verschlüsselungsalgorithmus (DES, 3DES, AES128, AES192, AES256)
  • Authentifizierung (MD5, SHA1, SHA256, für Phase 1&2)
  • Diffie-Hellman-Gruppe (für Phase 1&2)
  • Wird absolute vorwärts gerichtete Sicherheit (Perfect Forward Secrecy, PFS) verwendet?
  • Key life time (for phase 1&2) - Anmerkung: Unser System misst diesen Wert in Sekunden!

Nachdem Sie über diese Informationen verfügen, können Sie die grundlegenden Verhandlungsparameter der VPN-Verbindung konfigurieren.

Geschützte Netze

In den VPN-Verbindungseigenschaften müssen Sie die Netze am fernen Ende des Tunnels sowie die lokalen Netze für den Tunnel definieren. Geben Sie für das geschützte (ferne) Kundenteilnetz ('Protected Customer (Remote) Subnet') den privaten IP-Adressraum in CIDR-Notation für das ferne Ende (nicht-IBM) des IPsec-Tunnels ein.

Beispiel: Falls Ihr Netz am fernen Ende des Tunnels das Einzelteilnetz 10.0.0.0 mit der Netzmaske 255.255.255.0 verwendet, gäben Sie die IP-Adresse 10.0.0.0 / CIDR 24 für den Abschnitt 'Protected Customer (Remote) Subnet' ein.

Network Address Translation (NAT)

Bei Verwendung von IPsec-VPN können Sie auch private IP-Adressen für das IBM Cloud-Netz definieren, von denen der Datenverkehr zu fernen Teilnetzen am anderen Ende der VPN-Verbindung weitergeleitet wird. So kann es bei Ihnen privaten Internetdatenverkehr geben, der an eine Ihrer internen IP-Adressen eines Systems hinter Ihrem VPN weitergeleitet wird, ohne den fernen Standort einem vollständigen Internetzugriff auszusetzen.

Netzadressumsetzung/Zugeordnete statische NAT-Teilnetze

Gehen Sie wie folgt vor, um ein fernes VPN mit einem statischen Eintrag für Netzadressumsetzung (NAT) zu konfigurieren:

  • Wählen Sie den roten Pfeil aus, damit die Teilnetzliste im Abschnitt Zugeordnete statische NAT-Teilnetze angezeigt wird. Jede IP im Teilnetz wird angezeigt.
  • Geben Sie die IP am fernen Ende der VPN-Verbindung unter der Spalte Kunden-IP ein und geben Sie den Namen für die Zuordnung unter der Spalte Name ein.
  • Wählen Sie Kontextadressumsetzungen hinzufügen/ändern und Konfigurationen anwenden aus, um die Konfiguration zu speichern und anzuwenden.

Durch diese Aktion wird eine statische 1:1-Netzumsetzung für den zurückfließenden Datenverkehr konfiguriert, der von den Hosts hinter dem IBM Cloud-VPN-Konzentrator zum Kommunizieren mit den Hosts hinter dem fernen VPN-Peer verwendet wird. Beispiel: Der gesamte Datenverkehr für die IP-Adresse 10.1.255.92 wird umgesetzt und an die IP 192.168.10.15 des Kunden weitergeleitet. Aufgrund dieser Weiterleitung sind keine weiteren Routeneinträge auf dem IBM Cloud-Server erforderlich.

Aus Sicherheitsgründen stellt IBM keine speziellen Hardware-oder Software-/Betriebssysteminformationen zu den Geräten bereit, die zum Hosten der IPsec-und SSL VPN-Services verwendet werden.

Bekannte Einschränkungen

Aufgrund von Inkompatibilitäten mit unseren IBM Mit dem CLoud IPsec VPN-Dienst können Sie keine IPsec VPN-Tunnel mit anderen großen Cloud-Anbietern aufbauen, wie z. B. AWS, Azure, Und Google Cloud. Wenn Sie der Meinung sind, dass der Aufbau eines IPsec VPN-Tunnels zwischen Ihrem IBM Cloud Umgebung und einer dieser Anbieter erforderlich ist, wenden Sie sich an die IBM Kontaktieren Sie Ihr Vertriebsteam, um die verfügbaren Optionen zu besprechen, beispielsweise ein persönliches Gateway-Gerät.