IBM Cloud Docs
Verbindung zu einem AWS-Peer herstellen

Verbindung zu einem AWS-Peer herstellen

Mit IBM Cloud VPN for VPC können Sie Ihre VPC über einen VPN-Tunnel sicher mit einem lokalen Netz zu verbinden. Dieser Abschnitt enthält eine Anleitung dazu, wie Sie Ihr AWS-VPN-Gateway für die Verbindung zu VPN for VPC konfigurieren.

Da für AWS die Funktion PFS in Phase 2 aktiviert sein muss, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter IPsec-Richtlinie erstellen.

Wenn das AWS-VPN eine Verbindungsanforderung von VPN for VPC empfängt, verwendet das AWS-VPN IPsec-Parameter der Phase 1, um eine sichere Verbindung herzustellen und das VPN for VPC -Gateway zu authentifizieren. Wenn die Sicherheitsrichtlinie die Verbindung zulässt, richtet das AWS-VPN den Tunnel unter Verwendung der IPsec Phase 2-Parameter ein und wendet die IPsec-Sicherheitsrichtlinie an. Schlüsselmanagement, Authentifizierung und Sicherheitsservices werden über das IKE-Protokoll dynamisch vereinbart.

Informieren Sie sich über die bekannten Probleme für VPN-Gateways, bevor Sie eine Verbindung zu Ihrer Gegenstelle vor Ort herstellen.

Zur Unterstützung dieser Funktionen müssen Sie die folgenden allgemeinen Konfigurationsschritte für das AWS-VPN ausführen:

  • Definieren Sie die Phase 1-Parameter, die das AWS-VPN zum Authentifizieren des fernen Peers und zum Einrichten einer sicheren Verbindung benötigt.
  • Definieren Sie die Phase 2-Parameter, die das AWS-VPN zum Erstellen eines VPN-Tunnels mit VPN for VPC benötigt.

Verbindung eines auf IBM Richtlinien basierenden VPN zu einem AWS-Peer herstellen

Sie können ein richtlinienbasiertes VPN for VPC-VPN verwenden, um eine Verbindung zu einem AWS-Routing-basierten VPN herzustellen. Bei richtlinienbasierten VPNs sind jedoch für jedes Teilnetz separate Sicherheitsassoziationen (SAs) erforderlich, während bei routenbasierten VPNs eine einzige SA für den gesamten verschlüsselten Verkehr verwendet wird. Daher ist eine Verbindung zwischen einem richtlinienbasierten VPN und einem routenbasierten VPN auf eine SA beschränkt, die mit einem einzigen CIDR-Bereich verbunden ist.

Wenn Sie mehrere Subnetze mit einem zusammenhängenden Adressbereich haben, können Sie eine Verbindung mit einem CIDR erstellen, der eine Obermenge Ihrer Subnetze ist. Zum Beispiel sind 192.168.0.0/24 und 192.168.1.0/24 durch CIDR 192.168.0.0/23 abgedeckt.

Richtlinienbasiertes IBM-VPN mit einem AWS-Peer verbinden
Abbildung 1: Richtlinienbasiertes IBM-VPN mit einem AWS-Peer verbinden

AWS konfigurieren

Führen Sie die folgenden Schritte aus, um einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie ein AWS Kunden-Gateway mit einer IBM richtlinienbasierten VPN-IP-Adresse.

  2. Erstellen Sie ein AWS Virtual Private Gateway und verbinden Sie es mit der AWS-VPC, die Datenverkehr an die IBM VPC senden muss.

  3. Erstellen Sie eine einzelne AWS-Site-to-Site-Verbindung:

    • Setzen Sie das Virtual Private Gateway auf das Gateway, das Sie in Schritt 2 erstellt haben.

    • Setzen Sie das Kunden-Gateway auf das in Schritt 1 erstellte Kunden-Gateway.

    • Geben Sie für Routing Option die Option Static an.

    • Fügen Sie die einzelne CIDR auf der IBM Seite zu Static IP Prefixes hinzu.

      Um mehrere zusammenhängende Subnetze in IBM VPC zu erreichen, verwenden Sie einen größeren CIDR-Bereich, der alle erforderlichen Subnetze abdeckt.

    • Geben Sie einen vorab verteilten Schlüssel für tunnel1 und tunnel2 ein.

    • Wählen Sie für beide AWS-Tunnel Optionen für Tunnel X bearbeiten aus und wählen Sie anschließend die gewünschten Sicherheitsparameter aus. Sie können für jeden Parameter mehrere Werte wählen, wenn diese auch von der IBM VPN unterstützt werden.

      AWS-Tunneloptionen
      Abbildung 2: AWS

  4. Nachdem der Status für die AWS Site-to-Site-Verbindung auf Available (Verfügbar) steht, gehen Sie zur Registerkarte Static routes (Statische Routen), um zu überprüfen, ob die richtige Route automatisch hinzugefügt wurde. Nehmen Sie bei Bedarf manuelle Anpassungen vor.

    Das folgende Bild zeigt, dass die Netzwerke 10.240.128.0/27 und 10.240.128.32/27 auf der Seite IBM VPC mit dem neuen Ziel 10.240.128.0/26 geroutet werden.

    AWS-Verbindungsstatische Routen
    Abbildung 3: AWS-Verbindungsstatische Routen

  5. Gehen Sie zu AWS Routentabellen im Abschnitt Virtual Private Cloud und suchen Sie die Routentabelle, die mit der VPC verbunden ist, an die das VPN angeschlossen wurde. Klicken Sie auf Routen bearbeitenund fügen Sie dieselbe Route zur Routentabelle hinzu.

    RoutentabelleAWS
    Abbildung 4: Routentabelle AWS

  6. Überprüfen Sie den Verbindungsstatus auf der Seite Site-to-Site Connection.

  7. Vergewissern Sie sich, dass die AWS ACL- und Sicherheitsgruppenregeln so angepasst sind, dass der benötigte Datenverkehr zugelassen wird.

Richtlinienbasiertes IBM VPN konfigurieren

Gehen Sie folgendermaßen vor, um ein richtlinienbasiertes IBM VPN für eine AWS Gegenstelle zu konfigurieren:

  1. Erstellen Sie eine neue Verbindung für eine der AWS Tunnel-IPs. Verwenden Sie nur eine CIDR für Lokale Teilnetze und Peer-Teilnetze.

    Da AWS die Aktivierung von PFS in Phase 2 erfordert, müssen Sie eine benutzerdefinierte IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter Angepasste IPsec-Richtlinie in VPN for VPC erstellen.

  2. Nachdem der Status der Verbindung Aktiv lautet, überprüfen Sie den Datenverkehr zwischen Ihren Teilnetzen.

Verbindung eines auf IBM Routen basierenden VPN zu einem AWS-Peer herstellen

Für diese Konfiguration benötigen Sie ein IBM VPN-Gateway und zwei AWS-VPN-Verbindungen (insgesamt vier Tunnel).

IBM-Routing-basiertes VPN mit einem AWS-Peer verbinden
Abbildung 5: IBM-Routing-basiertes VPN mit einem AWS-Peer verbinden

AWS konfigurieren

Führen Sie die folgenden Schritte aus, um einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie zwei AWS-Kundengateways mit jeder der IP-Adressen der IBM routenbasierten VPN-Mitglieder.

  2. Erstellen Sie ein AWS Virtual Private Gateway und verbinden Sie es mit der AWS-VPC, die Datenverkehr an die IBM VPC senden muss.

  3. Erstellen Sie die erste AWS-Site-to-Site-Verbindung.

    • Setzen Sie das Virtual Private Gateway auf das Gateway, das Sie in Schritt 2 erstellt haben.
    • Setzen Sie das Kunden-Gateway auf das erste Kunden-Gateway, das Sie in Schritt 1 erstellt haben.
    • Geben Sie für Routing Option die Option Static an.
    • Teilen Sie das IBM VPC-Teilnetz in zwei kleinere Teilnetze auf und fügen Sie sie zu Static IP Prefixes hinzu. Auf diese Weise wird die erste Verbindung gegenüber der zweiten Verbindung bevorzugt.
    • Geben Sie einen Pre-Shared Key sowohl für tunnel1 und ein tunnel2
    • Wählen Sie für beide AWS Tunnel die Option Tunnel X Optionen bearbeiten und wählen Sie die gewünschten Sicherheitsparameter aus. Sie können für jeden Parameter mehrere Werte wählen, wenn diese auch von der IBM VPN unterstützt werden.

  4. Erstellen Sie die zweite AWS-Site-to-Site-Verbindung.

    • Setzen Sie das Virtual Private Gateway auf das Gateway, das Sie in Schritt 2 erstellt haben.
    • Setzen Sie das Kunden-Gateway auf das zweite Kunden-Gateway, das Sie in Schritt 1 erstellt haben.
    • Geben Sie für Routing Option die Option Static an.
    • Fügen Sie das IBM VPC-Teilnetz zu Static IP Prefixes hinzu.
    • Geben Sie einen Pre-Shared Key sowohl für tunnel1 und ein tunnel2
    • Wählen Sie für beide AWS Tunnel die Option Tunnel X Optionen bearbeiten und wählen Sie die gewünschten Sicherheitsparameter aus. Sie können für jeden Parameter mehrere Werte wählen, wenn diese auch von der IBM VPN unterstützt werden.

    AWS-Tunneloptionen
    Abbildung 6: AWS-Tunneloptionen

  5. Nachdem sich die Site-to-Site-Verbindungen AWS im Status Verfügbar befinden, wechseln Sie zur Registerkarte Statische Routen jeder Site-to-Site-Verbindung, um zu überprüfen, ob die richtigen Routen automatisch hinzugefügt wurden. Nehmen Sie bei Bedarf manuelle Anpassungen vor. Die folgenden Abbildungen zeigen, dass das Netz 10.248.0.0/24 über beide Verbindungen weitergeleitet wird.

    AWS-Verbindungsstatische Routen
    Abbildung 7: AWS-Verbindungsstatische Routen

    AWS-Verbindungsstatische Routen
    Abbildung 8: AWS-Verbindungsstatische Routen

  6. Gehen Sie zu AWS Route Tables unter VIRTUAL PRIVATE CLOUD und suchen Sie die Routentabelle, die mit der VPC verbunden ist, an die das VPN angeschlossen ist. Klicken Sie auf Routen bearbeitenund fügen Sie dieselbe Route zur Routentabelle hinzu.

    RoutentabelleAWS
    Abbildung 9: Routentabelle AWS

  7. Überprüfen Sie den Verbindungsstatus auf der Seite Site-to-Site Connection.

  8. Vergewissern Sie sich, dass die AWS ACL- und Sicherheitsgruppenregeln so angepasst sind, dass der benötigte Datenverkehr zugelassen wird.

Konfigurieren des IBM routenbasierten VPN

Führen Sie die folgenden Schritte aus, um ein IBM-routenbasiertes VPN für einen AWS-Peer zu konfigurieren:

  1. Erstellen Sie vier neue Verbindungen, eine für jede AWS Tunnel-IP.

    Da für AWS die Funktion PFS in Phase 2 aktiviert sein muss, müssen Sie eine angepasste IPsec-Richtlinie erstellen, um die Standardrichtlinie für das VPN in Ihrer VPC zu ersetzen. Weitere Informationen finden Sie unter Angepasste IPsec-Richtlinie in VPN for VPC erstellen.

  2. Erstellen Sie vier Routen für jedes Peer-Teilnetz, wobei die Option Nächster Hop auf jede in Schritt 1 erstellte Verbindung verweist. Setzen Sie dann jede Route auf einen anderen Wert für Priorität.

    Die Route mit dem niedrigsten Wert für Priorität ist die Prioritätsroute.

    IBM Routing-Tabelle
    Abbildung 5: IBM Routing-Tabelle

  3. Nachdem der Status für beide Verbindungen " Aktiv" lautet, überprüfen Sie den Datenverkehr zwischen Ihren Subnetzen.

    Stellen Sie sicher, dass die bevorzugte Verbindung in AWS mit der in IBM identisch ist, um asymmetrisches Routing zu vermeiden.