IBM Cloud Docs
FAQ für Client-to-Site VPN-Server

FAQ für Client-to-Site VPN-Server

Es ist möglich, dass die nachfolgend genannten häufig gestellten Fragen bei der Verwendung von IBM Cloud® VPN for VPC auftreten.

Was gibt der VPN-Allgemeinzustand an?

Die Statusbeschreibungen lauten wie folgt:

  • Healthy- Zeigt an, dass Ihr VPN-Server korrekt funktioniert.
  • Degraded: Gibt an, dass Ihr VPN-Server eine beeinträchtigte Leistung, Kapazität oder Konnektivität aufweist.
  • Faulted: Gibt an, dass Ihr VPN-Server vollständig unerreichbar und funktionsunfähig ist.
  • Inapplicable: Gibt an, dass der Allgemeinzustand aufgrund des aktuellen Lebenszyklusstatus nicht anwendbar ist. Eine Ressource mit dem Lebenszyklusstatus failed oder deleting weist den Allgemeinzustand von 'Nicht anwendbar' auf. Eine Pending Ressource kann auch diesen Status haben.

Warum kann ich das Passwort/den Kenncode nicht im VPN-Client speichern?

Der von IBM IAM generierte Passcode ist ein Time-based One-Time Passcode (TOTP), der nicht wiederverwendet werden kann. Sie müssen ihn jedes Mal neu generieren.

Wenn ich einen VPN-Server mit verbundenen VPN-Clients aktualisiere, was passiert dann mit den VPN-Clients?

Die VPN-Clients werden zusammen mit dem VPN-Server getrennt. Alle VPN-Clients müssen erneut mit dem VPN-Server verbunden werden. Wenn Sie die Authentifizierung mit Benutzer-ID und Kenncode verwenden, müssen Sie den Kenncode abrufen und die Verbindung von Ihrem VPN-Client initiieren.

Warum wird der VPN-Client getrennt?

Der VPN-Serveradministrator kann eine Leerlaufzeit für den VPN-Client angeben. Wenn während des Inaktivitätszeitfensters kein Datenverkehr vom VPN-Client erfolgt, trennt der VPN-Server den Client automatisch. Sie müssen die VPN-Sitzung erneut über Ihren VPN-Client starten, wenn die Verbindung getrennt ist.

Wenn ich einen VPN-Server mit verbundenen VPN-Clients lösche, was passiert dann mit den VPN-Clients?

Die VPN-Clients werden zusammen mit dem VPN-Server getrennt.

Was passiert mit einem VPN-Server, wenn ich versuche, das Teilnetz zu löschen, in dem sich der VPN-Server befindet?

Wenn sich VPN-Server in diesem Teilnetzen befinden, kann as Teilnetz nicht gelöscht werden.

Wie aktualisiere ich die Sicherheitsgruppe, der mein VPN-Server zugeordnet ist?

  1. Klicken Sie im Navigationsfenster auf VPNs > Client-to-Site-Server und wählen Sie den VPN-Server aus, den Sie aktualisieren wollen.
  2. Klicken Sie auf Zugeordnete Sicherheitsgruppen > Zuordnen und wählen Sie die Sicherheitsgruppe aus, die Sie zuordnen möchten.

Kann ich Routen erstellen und die privaten IP-Adressen des VPN-Servers als nächsten Hop verwenden?

Nein, Sie können keine Routen erstellen und die privaten IP-Adressen verwenden. Die privaten IPs sind nicht statisch und können sich jederzeit ändern. Der Service VPN for VPC aktualisiert Routen in der VPC-Routing-Tabelle automatisch. Wenn Sie eine VPC-Routing-Tabelle erstellen und möchten, dass der Service VPN for VPC Routen in die neue Routing-Tabelle einfügt, müssen Sie den VPN-Server zum Flag accept routes from hinzufügen. Außerdem müssen Sie den VPN-Server aus dem Flag accept routes from entfernen, wenn der VPN-Server keine Routen in die Routing-Tabelle einfügen soll. Weitere Informationen finden Sie unter Weitergabekonfiguration für VPN-Server.

Was passiert mit einem VPN-Server, wenn ich versuche, die Sicherheitsgruppe zu löschen, der der VPN-Server zugeordnet ist?

Eine Sicherheitsgruppe kann nicht gelöscht werden, wenn VPN-Server vorhanden sind.

Wie schalte ich ein Client-to-Site-VPN vom vollen Tunnelmodus in den geteilten Tunnelmodus um?

Führen Sie die folgenden Schritte aus:

  1. Klicken Sie in der Konsole IBM Cloud auf das Menüsymbol Navigation > Infrastruktur VPC **> Netzwerk **> VPNs.
  2. Klicken Sie auf Client-to-Site-Server, und klicken Sie auf den Namen des VPN-Servers, den Sie aktualisieren möchten.
  3. Klicken Sie in den VPN-Server-Details auf Bearbeiten und wählen Sie im Menü Tunnelmodus die Option Geteilter Tunnel.
  4. Geben Sie die spezifischen IP-Adressen oder Adressbereiche der Netzwerke ein, auf die Sie über das VPN zugreifen möchten.
  5. Klicken Sie auf Speichern.

Warum muss ich bei der Bereitstellung von VPN-Servern Teilnetze auswählen?

Der Server befindet sich in dem VPN-Teilnetz, das Sie auswählen. Ein VPN-Server benötigt zwei verfügbare private IP-Adressen in jedem Teilnetz, um eine hohe Verfügbarkeit und eine automatische Wartung zu gewährleisten. Es ist am besten, wenn Sie das dedizierte Teilnetz für den VPN-Server der Größe 8 verwenden, wobei die Länge des Teilnetzpräfixes kürzer oder gleich 29 ist. Mit dedizierten Teilnetzen können Sie die Sicherheitsgruppe und die ACL für eine größere Flexibilität des VPN-Servers anpassen.

Unterstützt der VPN-Server Konfigurationen mit hoher Verfügbarkeit?

Ja, er unterstützt Hochverfügbarkeit in einer Aktiv-Aktiv-Konfiguration. Sie müssen zwei Teilnetze auswählen, wenn Sie einen VPN-Server mit hoher Verfügbarkeit mit zwei Fehlerdomänen bereitstellen möchten. Sie können auch für den eigenständigen VPN-Server ein Upgrade auf den Hochverfügbarkeitsmodus durchführen und für den Hochverfügbarkeitsserver ein Downgrade auf den eigenständigen Modus durchführen.

Gibt es irgendwelche Obergrenzen beim Durchsatz für VPN-Server?

Mit einem eigenständigen VPN-Server wird ein Aggregationsdurchsatz von bis zu 600 Mbit/s unterstützt. Mit einem hochverfügbaren VPN-Server wird ein maximaler Aggregationsdurchsatz von 1200 Mbit/s unterstützt. Bis zu 150 Mbit/s Durchsatz für eine einzelne Clientverbindung (gilt sowohl für eigenständige als auch für hoch verfügbare VPN-Server).

Kann ich einen VPN-Server für die klassische IBM Cloud-Infrastruktur verwenden?

Ja, Sie können einen VPN-Server für die klassische IBM Cloud-Infrastruktur verwenden. Sie müssen jedoch auch entweder den klassischen Zugriff auf die VPC aktivieren oder IBM Cloud Transit Gateway so konfigurieren, dass die VPC, in der sich der VPN-Server befindet, verbunden wird.

Welcher VPN-Client wird unterstützt?

Weitere Informationen finden Sie unter Unterstützte Client-Software.

Welches Protokoll und welchen Port kann ich für den VPN-Server verwenden?

Sie können UDP oder TCP und eine beliebige Portnummer zur Ausführung des VPN-Servers verwenden. UDP wird empfohlen, da es eine bessere Leistung bietet; Port 443 wird empfohlen, da andere Ports möglicherweise von Internet-Service-Providern blockiert werden. Wenn Sie eine Verbindung zum VPN-Server nicht über Ihren VPN-Client herstellen können, können Sie den TCP-Port 443 versuchen, da dieser bei fast allen Internet-Service-Providern offen ist.

Welche Routenaktion sollte ich verwenden?

Die Aktion der VPN-Route richtet sich nach dem Routenziel:

  • Wenn sich das Routenziel in der VPC oder in einem lokalen privaten Teilnetz befindet, das über das VPN-Gateway verbunden ist, kann die Routenaktion deliver (übergeben) sein. Andernfalls ist sie translate (übersetzen).
  • Wenn Sie den Datenverkehr vom Client blockieren möchten, verwenden Sie die Routenaktion drop, um unerwünschten Netzdatenverkehr an eine Null- oder "Black-Hole"-Route weiterzuleiten.
  • Wenn die Routenaktion translate (übersetzen) lautet, wird die Quellen-IP in die private IP-Adresse des VPN-Servers übersetzt, bevor sie vom VPN-Server gesendet wird. Das bedeutet, dass Ihr VPN-Client-IP von den Zielgeräten aus unsichtbar ist.

Welche DNS-Server-IP-Adressen sollte ich verwenden?

DNS-Server-IP-Adressen sind optional, wenn Sie einen VPN-Server bereitstellen. Sie sollten die IP-Adressen 161.26.0.10 und 161.26.0.11 verwenden, wenn Sie von Ihrem Client auf Serviceendpunkte und IaaS-Endpunkte zugreifen möchten. Ausführliche Informationen finden Sie unter Serviceendpunkte und IaaS-Endpunkte.

Verwenden Sie 161.26.0.7 und 161.26.0.8, wenn Sie private DNS-Namen von Ihrem Client auflösen müssen. Weitere Informationen finden Sie unter Informationen zu DNS-Services.

Wie aktualisiere ich das Zertifikat für den VPN-Server?

Aktualisierungen eines Zertifikats in Secrets Manager sind dem VPN-Server nicht bekannt. Sie müssen das Zertifikat mit einem anderen CRN erneut importieren und anschließend den VPN-Server mit dem neuen Zertifikats-CRN aktualisieren.

Kann ich einen angepassten Hostnamen für den VPN-Server verwenden?

Ja, das können Sie. Sie müssen einen CNAME-DNS-Datensatz erstellen und auf den Hostnamen des VPN-Servers in Ihrem DNS-Provider verweisen. Bearbeiten Sie anschließend das Clientprofil, indem Sie die direkte remote 445df6c234345.us-south.vpn-server.appdomain.cloud durch remote your-customized-hostname.com ersetzen.

445df6c234345.us-south.vpn-server.appdomain.cloud ist ein Beispiel für den Hostnamen eines VPN-Servers.

Wenn Sie IBM Cloud Internet Services als DNS-Anbieter verwenden, finden Sie unter CNAME-Datensatz Informationen zum Hinzufügen eines CNAME-DNS-Eintrags.

Welche Informationen sollte ich in einem IBM Support-Fall angeben, wenn ich Hilfe benötige?

Geben Sie den folgenden Informationen in Ihrem IBM Support-Fall an:

  1. Ihre VPN-Server-ID.

  2. Die Version Ihres VPN-Clients und Betriebssystems.

  3. Die Protokolle von Ihrem VPN-Client.

  4. Der Zeitraum, in dem Sie das Problem festgestellt haben.

  5. Wenn Sie die Authentifizierung mit Benutzer-ID verwenden, geben Sie den Benutzernamen an.

  6. Wenn die zertifikatbasierte Authentifizierung verwendet wird, geben Sie den allgemeinen Namen Ihres Clientzertifikats an.

    Um den allgemeinen Namen Ihres Clientzertifikats anzuzeigen, verwenden Sie den OpenSSL-Befehl openssl x509 -noout -text -in your_client_certificate_file im Abschnitt subject.

Wie weise ich die VPN client-Rolle mithilfe von IAM-Zugriffsmanagementtags in der API zu?

Wenn Sie den Benutzerzugriff mithilfe von Zugriffsverwaltungstags in einem Client-zu-Site-VPN verwalten und den Modus UserId and Passcode für Client Authentication aktivieren, müssen Sie der Rolle VPN Client einen Zugriffstag zuordnen. Andernfalls kann der VPN-Client keine Verbindung zum VPN-Server herstellen. Weitere Informationen finden Sie unter Benutzern Zugriff zum Taggen von IAM-fähigen Ressourcen über die API erteilen. Setzen Sie role_id auf crn:v1:bluemix:public:is::::serviceRole:VPNClient, um den Zugriff zu erteilen.