VPN-Verbindung zu einem sicheren privaten Netz
In diesem Lernprogramm wird die Verwendung der klassischen Infrastruktur beschrieben. Die meisten Workloads können mithilfe von IBM Cloud® Virtual Private Cloud-Ressourcen implementiert werden. Verwenden Sie IBM Cloud VPC, um eine eigene Private Cloud-ähnliche Datenverarbeitungsumgebung in einer gemeinsam genutzten öffentlichen Cloudinfrastruktur zu erstellen. Mithilfe einer VPC kann ein Unternehmen ein virtuelles Netz definieren und steuern, das logisch gegenüber allen anderen öffentlichen Cloud-Tenants isoliert ist, und so einen privaten, gesicherten Bereich in der öffentlichen Cloud erstellen. Im Einzelnen: Direct Link, Instanzen virtueller Server, Sicherheitsgruppen, VPN, Teilnetze und Netz-ACLs.
Für dieses Lernprogramm können Kosten anfallen. Mit dem Kostenschätzer können Sie eine Kostenschätzung für Ihre voraussichtliche Nutzung generieren.
Die Erstellung einer privaten Verbindung zwischen einer fernen Netzumgebung und Servern in einem privaten Netz in IBM Cloud ist eine gängige Anforderung. In der Regel unterstützt diese Verbindung hybride Workloads, Datenübertragungen, private Workloads oder die Verwaltung von Systemen unter IBM Cloud. Dabei ist ein Site-to-Site-VPN-Tunnel (VPN, Virtual Private Network) der übliche Ansatz, die Verbindungen zwischen Netzen zu sichern.
IBM Cloud bietet eine Reihe von Optionen für die Site-to-Site-Konnektivität des Rechenzentrums, entweder über ein VPN über das öffentliche Internet oder über eine private dedizierte Netzverbindung.
Siehe IBM Cloud® Direct Link weitere Einzelheiten zu dedizierten sicheren Netzlinks zum IBM Cloud. Ein VPN über das öffentliche Internet ist eine kostengünstige Option, allerdings ohne Bandbreitengarantien.
Es gibt zwei geeignete VPN-Optionen für die Konnektivität über das öffentliche Internet zu Servern, die unter IBM Cloud bereitgestellt werden:
Dieses Lernprogramm umfasst die Konfiguration eines Site-to-Site-IPsec-VPN mithilfe einer Virtual Router Appliance (VRA), um ein Teilnetz in einem Client-Rechenzentrum mit einem sicheren Teilnetz im privaten IBM Cloud-Netz zu verbinden.
Dieses Beispiel baut auf dem Lernprogramm Workloads mit einem sicheren privaten Netz isolieren auf. Es verwendet eine Site-to-Site-IPsec-VPN, einen GRE-Tunnel und statisches Routing. Komplexere VPN-Konfigurationen, die dynamisches Routing (BGP usw.) und VTI-Tunnel verwenden, finden Sie in der ergänzenden VRA-Dokumentation.
Ziele
- Konfigurationsparameter für das IPSec-VPN dokumentieren
- IPSec-VPN für eine Virtual Router Appliance (VRA) konfigurieren
- Datenverkehr über einen GRE-Tunnel weiterleiten
- Die VPN-Konfiguration wird dokumentiert.
- Das IPSec-VPN wird auf einer VRA erstellt.
- Das Rechenzentrum-VPN und der Tunnel werden konfiguriert.
- Der GRE-Tunnel wird erstellt.
- Statische IP-Route erstellen
- Firewall konfigurieren
Vorbereitende Schritte
Dieses Lernprogramm verbindet das sichere private Gehäuse im Lernprogramm Workloads mit einem sicheren privaten Netz isolieren mit dem Rechenzentrum. Das angegebene Lernprogramm muss zuerst ausgeführt werden.
VPN-Konfiguration dokumentieren
Die Konfiguration einer IPsec-VPN-Site-zu-Site-Verbindung zwischen Ihrem Rechenzentrum und IBM Cloud erfordert eine Koordination mit Ihrem Neworking-Team vor Ort, um viele der Konfigurationsparameter, den Tunneltyp und IP-Routing-Informationen zu ermitteln. Die Parameter müssen für eine funktionsfähige VPN-Verbindung eine exakte Übereinstimmung aufweisen. In der Regel legt Ihr Networking-Team vor Ort die Konfiguration fest, um vereinbarten Unternehmensstandards zu entsprechen. Außerdem kann das Team Ihnen die nötige IP-Adresse des VPN-Gateways des Rechenzentrums und Adressbereiche von zugänglichen Teilnetzen bereitstellen.
Vor Beginn der Konfiguration des VPN müssen die IP-Adressen der VPN-Gateways und die Teilnetzbereiche des IP-Netzes ermittelt werden und für die VPN-Konfiguration des Rechenzentrums und das sichere private Netzgehäuse in IBM Cloud verfügbar sein. Diese sind in der folgenden Abbildung dargestellt, wobei die APP-Zone im geschützten Netzbereich über den IPSec-Tunnel mit den Systemen im IP-Teilnetz des Client-Rechenzentrums verbunden wird.
Die folgenden Parameter müssen zwischen dem IBM Cloud-Benutzer, der das VPN konfiguriert, und dem Networking-Team für das Rechenzentrum des Clients vereinbart und dokumentiert werden. In diesem Beispiel werden die fernen und lokalen Tunnel-IP-Adressen auf 192.168.10.1 und 192.168.10.2 gesetzt. Mit der Zustimmung des Networking-Teams kann ein beliebiges Teilnetz verwendet werden.
| Element | Beschreibung |
|---|---|
| < ike-Gruppenname> | Zugewiesener Name der IKE-Gruppe für die Verbindung. |
| < ike-Verschlüsselung> | Vereinbarter IKE-Verschlüsselungsstandard für die Verwendung zwischen IBM Cloud und dem Rechenzentrum des Clients (normalerweise aes256). |
| < ike-Hash> | Vereinbarter IKE-Hashwert zwischen IBM Cloud und dem Rechenzentrum des Clients, in der Regel sha1. |
| < ike-lebensdauer> | IKE-Lebensdauer aus dem Rechenzentrum des Clients, in der Regel 3600. |
| < esp group name > | Zugewiesener Name der ESP-Gruppe für die Verbindung. |
| < ESP-Verschlüsselung> | Vereinbarter ESP-Verschlüsselungsstandard zwischen IBM Cloud und dem Rechenzentrum des Clients, in der Regel aes256. |
| < ESP-Hashwert> | Vereinbarter ESP-Hashwert zwischen IBM Cloud und dem Rechenzentrum des Clients, in der Regel sha1. |
| < Lebensdauer > | ESP-Lebensdauer aus dem Rechenzentrum des Clients, in der Regel 1800. |
| < Öffentliche DC-VPN-IP> | Auf das Internet ausgerichtete IP-Adresse des VPN-Gateways im Rechenzentrum des Clients. |
| < Öffentliche VRA-IP> | Öffentliche IP-Adresse der VRA. |
| < Ferner Tunnel IP/24> | IP-Adresse, die dem fernen Ende des IPsec-Tunnels zugeordnet ist. Paar der IP-Adresse in einem Bereich, der nicht mit der IP-Cloud oder dem Rechenzentrum des Clients in Konflikt steht. |
| < Lokale Tunnel IP/24> | IP-Adresse, die dem lokalen Ende des IPsec-Tunnels zugeordnet ist. |
| < DC-Teilnetz/CIDR> | IP-Adresse des Teilnetzes, auf das im Rechenzentrum des Clients oder im Rahmen von CIDR zugegriffen werden soll. |
| < Teilnetz/CIDR> der App-Zone | IP-Netzadresse und CIDR eines App-Zonen-Teilnetzes aus dem Lernprogramm zum Erstellen von VRAs. |
| < Shared-Secret> | Gemeinsam genutzter Verschlüsselungsschlüssel für die Verwendung zwischen IBM Cloud und dem Rechenzentrum des Clients. |
IPsec-VPN auf einer VRA konfigurieren
Um das VPN auf IBM Cloudzu erstellen, werden die Befehle und alle Variablen, die geändert werden müssen, unten mit < > hervorgehoben. Die Änderungen werden für jede Zeile, die geändert werden muss, zeilenweise gekennzeichnet. Die Werte stammen aus der Tabelle.
- Stellen Sie eine Verbindung über SSH zur VRA her und wechseln Sie in den Bearbeitungsmodus (
[edit]).SSH vyatta@<VRA Private IP Address> configure - Erstellen Sie eine IKE-Gruppe (Internet Key Exchange).
set security vpn ipsec ike-group <ike group name> proposal 1 set security vpn ipsec ike-group <ike group name> proposal 1 encryption <ike encryption> set security vpn ipsec ike-group <ike group name> proposal 1 hash <ike hash> set security vpn ipsec ike-group <ike group name> proposal 1 dh-group 2 set security vpn ipsec ike-group <ike group name> lifetime <ike-lifetime> - Erstellen Sie eine ESP-Gruppe (Encapsulating Security Payload).
set security vpn ipsec esp-group <esp group name> proposal 1 encryption <esp encryption> set security vpn ipsec esp-group <esp group name> proposal 1 hash <esp hash> set security vpn ipsec esp-group <esp group name> lifetime <esp-lifetime> set security vpn ipsec esp-group <esp group name> mode tunnel set security vpn ipsec esp-group <esp group name> pfs enable - Definieren Sie die Site-to-Site-Verbindung.
set security vpn ipsec site-to-site peer <DC VPN Public IP> authentication mode pre-shared-secret set security vpn ipsec site-to-site peer <DC VPN Public IP> authentication pre-shared-secret <Shared-Secret> set security vpn ipsec site-to-site peer <DC VPN Public IP> connection-type initiate set security vpn ipsec site-to-site peer <DC VPN Public IP> ike-group <ike group name> set security vpn ipsec site-to-site peer <DC VPN Public IP> local-address <VRA Public IP> set security vpn ipsec site-to-site peer <DC VPN Public IP> default-esp-group <esp group name> set security vpn ipsec site-to-site peer <DC VPN Public IP> tunnel 1 set security vpn ipsec site-to-site peer <DC VPN Public IP> tunnel 1 protocol gre commit
VPN und Tunnel des Rechenzentrums konfigurieren
- Das Netzteam im Clientrechenzentrum wird eine identische IPSec VPN-Verbindung mit der ausgelagerten < öffentlichen VPN-IP> und < öffentlichen VRA-IP>, der lokalen und fernen Tunneladresse sowie den Parametern < DC Subnet/CIDR> und < App Zone subnet/CIDR> konfigurieren. Die speziellen Konfigurationsbefehle im Rechenzentrum des Clients hängen vom Anbieter des VPN ab.
- Überprüfen Sie, ob die öffentliche IP-Adresse des VPN-Gateways des Rechenzentrums über das Internet zugänglich ist, bevor Sie fortfahren:
ping <DC VPN Public IP> - Wenn die VPN-Konfiguration des Rechenzentrums abgeschlossen ist, sollte die IPsec-Verbindung automatisch angezeigt werden. Stellen Sie sicher, dass die Verbindung hergestellt wurde und der Status zeigt, dass mindestens ein aktiver IPsec-Tunnel
vorhanden ist. Überprüfen Sie im Rechenzentrum, dass beide Enden des VPNs aktive IPsec-Tunnel aufweisen.
show vpn ipsec sa show vpn ipsec status - Wenn die Verbindung nicht erstellt wurde, überprüfen Sie mit dem Befehl 'debug', ob die lokalen und fernen Adressen korrekt angegeben wurden und sich die anderen Parameter wie erwartet verhalten:
show vpn debug
Die Zeile peer-<DC VPN Public IP>-tunnel-1: ESTABLISHED 5 seconds ago, <VRA Public IP>[500]....... sollte sich in der Ausgabe befinden. Ist sie nicht vorhanden oder es wird der Status 'CONNECTING' angezeigt, weist die
VPN-Konfiguration einen Fehler auf.
GRE-Tunnel definieren
- Erstellen Sie den GRE-Tunnel im VRA-Bearbeitungsmodus.
set interfaces tunnel tun0 address <Local tunnel IP/24> set interfaces tunnel tun0 encapsulation gre set interfaces tunnel tun0 mtu 1300 set interfaces tunnel tun0 local-ip <VRA Public IP> set interfaces tunnel tun0 remote-ip <DC VPN Public IP> commit - Nachdem die beiden Enden des Tunnels konfiguriert wurden, sollte dieser automatisch angezeigt werden. Überprüfen Sie den Betriebsstatus des Tunnels über die VRA-Befehlszeile.
Der erste Befehl sollte für den Tunnel den Status und die Verbindung alsshow interfaces tunnel show interfaces tun0u/u(UP/UP) angeben. Der zweite Befehl zeigt mehr Details zum Tunnel und zum übertragenen und empfangenen Datenverkehr an. - Stellen Sie sicher, dass Datenverkehr über den Tunnel geleitet wird
Die TX- und RX-Zähler in einem Befehlping <Remote tunnel IP>show interfaces tunnel tun0sollten sich erhöhen, während der Datenverkehr mitpingüberprüft wird. - Wenn der Datenverkehr nicht fließt, kann mithilfe der Befehle
monitor interfaceüberwacht werden, welcher Datenverkehr an den einzelnen Schnittstellen auftritt. Die Schnittstelletun0zeigt den internen Datenverkehr über den Tunnel an. Die Schnittstelledp0bond1zeigt den eingeschlossenen Datenfluss zum und vom fernen VPN-Gateway.monitor interface tunnel tun0 traffic monitor interface bonding dp0bond1 traffic
Wenn kein Rücklauf beobachtet wird, muss das Networking-Team des Rechenzentrums die Datenübertragung an den VPN- und Tunnelschnittstellen am fernen Standort überwachen, um das Problem zu lokalisieren.
Statische IP-Route erstellen
Erstellen Sie ein VRA-Routing, um den Datenverkehr über den Tunnel in das ferne Teilnetz zu leiten.
- Erstellen Sie eine statische Route im VRA-Bearbeitungsmodus.
set protocols static route <DC Subnet/CIDR> next-hop <Remote tunnel IP> - Überprüfen Sie die VRA-Routing-Tabelle über die VRA-Befehlszeile. Zu diesem Zeitpunkt durchquert kein Datenverkehr die Route, da keine Firewallregeln vorhanden sind, um Datenverkehr über den Tunnel zuzulassen. Damit Datenverkehr auf einer
der beiden Seiten initiiert werden kann, sind entsprechende Firewallregeln erforderlich.
show ip route
Firewall konfigurieren
- Erstellen Sie Ressourcengruppen für zulässigen ICMP-Datenverkehr und TCP-Ports.
set res group icmp-group icmpgrp type 8 set res group icmp-group icmpgrp type 11 set res group icmp-group icmpgrp type 3 set res group port tcpports port 22 set res group port tcpports port 80 set res group port tcpports port 443 commit - Erstellen Sie Firewallregeln für den Datenverkehr zum fernen Teilnetz im VRA-Bearbeitungsmodus.
set security firewall name APP-TO-TUNNEL default-action drop set security firewall name APP-TO-TUNNEL default-log set security firewall name APP-TO-TUNNEL rule 100 action accept set security firewall name APP-TO-TUNNEL rule 100 protocol tcp set security firewall name APP-TO-TUNNEL rule 100 destination port tcpports set security firewall name APP-TO-TUNNEL rule 200 protocol icmp set security firewall name APP-TO-TUNNEL rule 200 icmp group icmpgrp set security firewall name APP-TO-TUNNEL rule 200 action accept commitset security firewall name TUNNEL-TO-APP default-action drop set security firewall name TUNNEL-TO-APP default-log set security firewall name TUNNEL-TO-APP rule 100 action accept set security firewall name TUNNEL-TO-APP rule 100 protocol tcp set security firewall name TUNNEL-TO-APP rule 100 destination port tcpports set security firewall name TUNNEL-TO-APP rule 200 protocol icmp set security firewall name TUNNEL-TO-APP rule 200 icmp group icmpgrp set security firewall name TUNNEL-TO-APP rule 200 action accept commit - Erstellen Sie eine Zone für den Tunnel und ordnen Sie Firewalls für den Datenverkehr zu, der in einer der Zonen initiiert wird.
set security zone-policy zone TUNNEL description "GRE Tunnel" set security zone-policy zone TUNNEL default-action drop set security zone-policy zone TUNNEL interface tun0 set security zone-policy zone TUNNEL to APP firewall TUNNEL-TO-APP set security zone-policy zone APP to TUNNEL firewall APP-TO-TUNNEL commit - Um sicherzustellen, dass die Firewalls und das Routing an beiden Enden ordnungsgemäß konfiguriert sind und keinen ICMP- und TCP-Datenverkehr zulassen, setzen Sie ein Pingsignal an die Gateway-Adresse des fernen Teilnetzes ab. Rufen Sie dazu
zunächst die VRA-Befehlszeile auf und melden Sie sich dann nach erfolgreichem Pingsignal bei der VSI an.
ping <Remote Subnet Gateway IP> ssh root@<VSI Private IP> ping <Remote Subnet Gateway IP> - Wenn das Pingsignal von der VRA-Befehlszeile fehlschlägt, überprüfen Sie, ob eine Ping-Antwort als Antwort auf eine Ping-Anforderung in der Tunnelschnittstelle angezeigt wird.
Keine Antwort weist auf ein Problem mit den Firewallregeln oder dem Routing im Rechenzentrum hin. Wenn eine Antwort in der Monitorausgabe vorhanden ist, jedoch eine Zeitlimitüberschreitung für das Pingsignal auftritt, überprüfen Sie die Konfiguration der lokalen VRA-Firewallregeln.monitor interface tunnel tun0 traffic - Wenn das Pingsignal von der VSI fehlschlägt, weist dies auf ein Problem mit den VRA-Firewallregel, dem Routing in der VRA oder in der VSI-Konfiguration hin. Führen Sie den vorherigen Schritt aus, um sicherzustellen, dass eine Anforderung an
das Rechenzentrum gesendet und eine Antwort vom Rechenzentrum zurückgegeben wird. Die Überwachung des Datenverkehrs auf dem lokalen VLAN und die Überprüfung der Firewallprotokolle helfen dabei, das Problem auf das Routing oder die Firewall
einzugrenzen.
monitor interfaces bonding dp0bond0.<VLAN ID> show log firewall name APP-TO-TUNNEL show log firewall name TUNNEL-TO-APP
Damit wird die Konfiguration des VPN aus dem sicheren privaten Netzgehäuse abgeschlossen. Weitere Lernprogramme in dieser Reihe zeigen, wie das Gehäuse auf Services im öffentlichen Internet zugreifen kann.
Ressourcen entfernen
Mit den folgenden Schritten können Sie die in diesem Lernprogramm erstellten Ressourcen entfernen.
Die VRA wird mit einem monatlichen Preisstrukturplan bereitgestellt. Bei einer Kündigung wird keine Erstattung geleistet. Eine Kündigung wird nur empfohlen, wenn die betreffende VRA im Folgemonat nicht mehr benötigt wird. Wenn ein Hochverfügbarkeitscluster mit zwei VRAs erforderlich ist, kann für die bestehende einzelne VRA ein Upgrade auf der Seite Gateway-Details durchgeführt werden.
- Kündigen Sie alle virtuellen Server oder Bare-Metal-Server.
- Kündigen Sie die VRA.
- Zusätzliche VLANs abbrechen