Verbindungen zu einem VPN-Gateway hinzufügen

Sie können Verbindungen beim Erstellen eines VPN-Gateways oder nach der Bereitstellung hinzufügen. Wenn Sie eine VPN-Verbindung konfigurieren, können Sie auswählen, dass die Verbindung mit automatischer Vereinbarung hergestellt wird oder dass eine vordefinierte, angepasste IKE- oder IPsec-Richtlinie verwendet wird. Weitere Informationen finden Sie unter Informationen zur Richtlinienvereinbarung.

Die IKE- und IPsec-Sicherheitsoptionen, die Sie für die VPN-Verbindung angeben, müssen genau mit denen übereinstimmen, die auf dem Peer-Gateway für das Netzwerk außerhalb Ihrer VPC eingestellt sind.

Hinzufügen einer Verbindung in der Konsole

Führen Sie die folgenden Schritte aus, um eine VPN-Verbindung zu einem vorhandenen VPN-Gateway hinzuzufügen:

  1. Markieren Sie die Zeile des Gateways, mit dem Sie arbeiten möchten, in der Tabelle der VPN-Gateways, und klicken Sie dann im Menü Aktionen auf Verbindung herstellen Menü "Aktionen".

    Alternativ dazu können Sie auf der Detailseite des Gateways im Abschnitt VPN-Verbindungen auf Erstellen klicken.

  2. Definieren Sie eine Verbindung zwischen diesem Gateway und einem Netz außerhalb Ihrer VPC, indem Sie die folgenden Informationen angeben:

    • VPN-Verbindungsname - Geben Sie einen Namen für die Verbindung ein (z. B. my-connection).

    • Verbindungstyp- Wählen Sie einen statischen oder dynamischen Verbindungstyp.

    • Peer-Gateway-Adresse - Geben Sie die IP-Adresse des VPN-Gateways für das Netz außerhalb Ihrer VPC an.

      Nachdem Sie die VPN-Verbindung bereitgestellt haben, können Sie den Adresstyp des Peer-Gateways nicht mehr von IP-Adresse auf FQDN oder von FQDN auf IP-Adresse ändern.

    • Peer-ASN (nur bei dynamischer Route)- Wenn Sie als Verbindungstyp "Dynamisch" wählen, müssen Sie die Peer-ASN angeben. Dieser Wert identifiziert das externe Peer-Netzwerk, mit dem das VPN Routen austauscht.

    • Modus einrichten-Wählen Sie entweder Bidirektional oder Nur Peer aus.

      • Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways.
      • Im Modus Nur Peer kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde.

      Wenn sich Ihre Peereinheit hinter einer NAT-Einheit befindet und keine öffentliche IP-Adresse hat, müssen Sie Nur Peer angeben.

    • Vorab verteilter Schlüssel - Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netz außerhalb Ihrer VPC an. Der vorab verteilte Schlüssel ist eine Zeichenfolge aus Hexadezimalziffern oder eine Kennphrase aus druckbaren ASCII-Zeichen. Die Zeichenfolge muss die folgenden Regeln einhalten, damit sie mit den meisten Peer-Gateway-Typen kompatibel ist:

      • Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein: - + & ! @ # $ % ^ * ( ) . , :
      • Die Zeichenfolge muss 6 bis 128 Zeichen lang sein.
      • Sie darf nicht mit den Zeichen 0x oder 0s beginnen.

    • Verkehr verteilen (nur routenbasiertes VPN)- Aktivieren Sie diese Option, um den Verkehr automatisch zwischen den aktiven Tunneln des VPN-Gateways zu verteilen, wenn der nächste Hop einer VPC-Route die VPN-Verbindung ist. Diese Option ist nützlich, um den Durchsatz zu maximieren, wobei zwei VPN-Tunnel eine Verbindung zu Ihrem Remote-Peer-Netzwerk herstellen. Wenn diese Option nicht aktiviert ist, wählt das VPN-Gateway den Tunnel mit der kleineren öffentlichen IP als primären Pfad und wechselt nur dann zum sekundären Tunnel, wenn der primäre ausfällt. Weitere Informationen finden Sie unter Anwendungsfall 4: Verteilen des Datenverkehrs für ein routenbasiertes VPN.

    • Lokale IBM CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs in der VPC an, die Sie über den VPN-Tunnel verbinden möchten.

    • Peer CIDRs (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere CIDRs im anderen Netzwerk an, das Sie über den VPN-Tunnel verbinden möchten. Die Bereichsüberlagerung von Teilnetzen zwischen lokalen und Peer-Teilnetzen ist nicht zulässig.

  3. Geben Sie im Abschnitt Tunneldetails (nur bei dynamischer Route) die für das dynamische Routing mit BGP erforderlichen Tunnel- und Peer-Interface-IPs an.

    • Tunnel interface IP- Geben Sie die IP-Adresse an, die der VPN-Gateway-Seite des VPN-Tunnels zugewiesen ist.

    • Peer interface IP- Geben Sie die IP-Adresse an, die der entfernten Netzwerkseite des VPN-Tunnels zugewiesen ist. Diese Adresse ist Ihr lokales Gerät oder Ihr Peer-VPN-Gateway.

      Die IPs der Tunnel- und der Peer-Schnittstelle müssen zusammenhängend sein und zum selben /30 Subnetz gehören. Dieses Subnetz bietet vier IP-Adressen, wobei die erste (Netzwerkadresse) und die letzte (Broadcast-Adresse) reserviert sind. Im Teilnetz 192.168.0.0/30 sind beispielsweise die IPs 192.168.0.1 und 192.168.0.2 nutzbar. Wenn Sie der Schnittstelle von Tunnel 1 192.168.0.1 zuweisen, muss die Schnittstelle von Peer 1 192.168.0.2 sein. Verwenden Sie in ähnlicher Weise für Tunnel 2 ein anderes /30-Subnetz, z. B. 192.168.0.4/30. In diesem Fall weisen Sie 192.168.0.5 der Schnittstelle von Tunnel 2 und 192.168.0.6 der Schnittstelle von Peer 2 zu.

  4. Konfigurieren Sie, wie das VPN-Gateway durch Senden von Nachrichten überprüfen soll, ob das Peer-Gateway aktiv ist, indem Sie die folgenden Informationen im Abschnitt Erkennung inaktiver Peers angeben.

    • Aktion: Die Aktion, die ausgeführt werden soll, wenn ein Peer-Gateway nicht mehr antwortet. Wählen Sie zum Beispiel Erneut starten aus, wenn das Gateway die Verbindung sofort erneut vereinbaren soll.
    • Intervall (Sek.): Geben Sie an, in welchen Zeitabständen überprüft werden soll, ob das Peer-Gateway aktiv ist. Standardmäßig werden alle 2 Sekunden Statusprüfungsanforderungen gesendet.
    • Zeitlimit (Sek.): Geben Sie an, wie lange auf eine Antwort vom Peer-Gateway gewartet werden soll. Standardmäßig wird ein Peer-Gateway als inaktiv eingestuft, wenn innerhalb von 10 Sekunden keine Antwort empfangen wird.

  5. Geben Sie im Abschnitt Richtlinien die Optionen für Internet Key Exchange (IKE) und Internet Protocol Security (IPsec) an, die für Phase 1 und Phase 2 beim Vereinbaren der Verbindung verwendet werden sollen.

    • Wählen Sie Automatisch aus, wenn das Gateway versuchen soll, die Verbindung automatisch herzustellen.
    • Wählen oder erstellen Sie benutzerdefinierte Richtlinien, wenn:
      • Sie müssen bestimmte Sicherheitsanforderungen durchsetzen.
      • Das VPN-Gateway im anderen Netz unterstützt die Sicherheitsvorschläge, die bei der Einrichtung automatisch ausgehandelt werden, nicht.

  6. Im Abschnitt Erweiterte Optionen können Sie lokale und Peer-IKE-Identitäten anpassen, anstatt die Standard-IKE-Identität zu verwenden. Es kann maximal eine Peer-IKE-Identität angegeben werden.

    Für richtlinienbasierte VPN-Gateways können Sie höchstens eine lokale IKE-Identität konfigurieren. Wenn Sie für routenbasierte VPN-Gateways eine lokale IKE-Identität konfigurieren möchten, müssen Sie zwei angeben. Sie können Werte für die Mitglieder angeben oder die Eingabefelder leer lassen.

    • Lokale IKE-Identitäten-Wählen Sie einen Typ für die lokale IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können zum Beispiel eine einzelne 4-Oktett-Adresse IPv4 (9.168.3.4), einen FQDN (my-vpn.example.com), einen Hostnamen (my-host) oder eine base64-encoded-Schlüssel-ID (MTIzNA==) eingeben.

      • Der statische Routenmodus besteht aus zwei Membern im Aktiv/Aktiv-Modus, wobei die erste Identität für das erste Member und die zweite Identität für das zweite Member gilt. Wenn Sie keine lokalen IKE-Identitäten angeben, ist der Typ eine IPv4-Adresse und der Wert ist die öffentliche IP-Adresse des VPN-Verbindungstunnels des Mitglieds.

      • Der Richtlinienmodus besteht aus zwei Membern im Aktiv-Standby-Modus. Die lokale IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, dann ist die lokale IKE-Identität die öffentliche IP-Adresse des VPN-Gateways.

    • Peer-IKE-Identität-Wählen Sie einen Typ für die Peer-IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können zum Beispiel eine IPv4 Adresse (9.168.3.4), einen FQDN (my-vpn.example.com), einen Hostnamen (my-host) oder eine base64-encoded Schlüssel-ID (MTIzNA==) eingeben.

      Die Peer-IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, verwenden Sie die IPv4-Adresse oder den FQDN des Peer-Gateways.

  7. Überprüfen Sie die Zusammenfassungsanzeige und klicken dann auf VPN-Verbindung erstellen.

Hinzufügen einer Verbindung über die CLI

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Um eine VPN-Verbindung von der CLI aus zu erstellen, geben Sie den folgenden Befehl ein:

ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY
[--vpc VPC] [--admin-state-up true | false]
[--routing-protocol bgp | none]
[--dead-peer-detection-action restart | clear | hold | none]
[--distribute-traffic true | false]
[--dead-peer-detection-interval INTERVAL] [--dead-peer-detection-timeout TIMEOUT] [--ike-policy IKE_POLICY_ID]
[--ipsec-policy IPSEC_POLICY_ID] [--peer-cidr CIDR1 --peer-cidr CIDR2 ... --local-cidr CIDR1 --local-cidr CIDR2 ...]
[[--local-ike-identity-type fqdn | hostname | ipv4_address | key_id --local-ike-identity-value VALUE] |
[--local-ike-identities LISTENER_POLICIES_JSON | @LISTENER_POLICIES_JSON_FILE]]
[--peer-asn]
[--tunnels NEIGHBOR_IP TUNNEL_INTERFACE_IP]
[--peer-ike-identity-type fqdn | hostname | ipv4_address | key_id --peer-ike-identity-value VALUE]
[--establish-mode bidirectional | peer_only] [--output JSON] [-q, --quiet]
ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY

Dabei gilt:

CONNECTION_NAME
Der Name der Verbindung.
VPN_GATEWAY
Die ID des VPN-Gateways.
PEER
Die IP-Adresse oder der vollständig qualifizierte Domainname des Peer-VPN-Gateways.
PRESHARED_KEY
Der gemeinsam genutzte Schlüssel.
--vpc
Die ID oder der Name der VPC. Dieses Feld ist nur erforderlich, um die eindeutige Ressource durch ihren Namen innerhalb dieser VPC anzugeben.
--admin-state-up
Bei der Einstellung false wird die VPN-Gateway-Verbindung abgebaut. Dieser Feldwert kann entweder true oder false sein.
--routing-protocol
Bestimmt, ob der Modus statisch oder dynamisch ist. Dieser Feldwert kann entweder bgp oder none sein. Setzen Sie den Wert auf bgp für dynamisches routenbasiertes VPN.
--dead-peer-detection-action
Die Aktion zur Erkennung toter Peers. Dieser Feldwert kann entweder restart, clear, hold oder none sein. (Standard: restart).
--dead-peer-detection-interval
Das Erkennungsintervall für tote Peers in Sekunden (Standard: 2).
--dead-peer-detection-timeout
Der Timeout für die Erkennung von toten Peers in Sekunden (Standard: 10).
--distribute-traffic
Setzen Sie diese Option auf true, um den Verkehr zwischen den Up Tunneln der VPN-Gateway-Verbindung zu verteilen, wenn der nächste Hop einer VPC-Route die VPN-Verbindung ist. Dieser Wert kann entweder true oder false sein. Weitere Informationen finden Sie unter Verteilen des Datenverkehrs für ein routenbasiertes VPN.
--ike-policy
Die ID der IKE-Richtlinie.
--ipsec-policy
Die ID der IPsec-Richtlinie.
--local-ike-identity-type
Der Typ der lokalen IKE-Identität. Dieser Feldwert kann entweder fqdn, hostname, ipv4_address oder key_id sein.
--local-ike-identity-value
Der Wert der lokalen IKE-Identität.
--local-ike-identities
Die ID der lokalen IKE-Identität. LOCAL_IKE_IDENTITIES_JSON | @LOCAL_IKE_IDENTITIES_JSON_FILE in JSON oder einer JSON-Datei.
--peer-asn
Identifiziert das externe Peer-Netzwerk im dynamischen Routing, mit dem das VPN Routen austauscht.
--tunnels
Gibt die für das dynamische Routing mit BGP erforderlichen Tunnel- und Peer-Schnittstellen-IPs an. In dieses Feld werden die IP-Adresswerte der lokalen (Tunnel) und der entfernten (Peer) Schnittstelle eingetragen. Die IPs der Tunnel- und der Peer-Schnittstelle müssen zusammenhängend sein und zum selben /30-Subnetz gehören.
-peer-cidr
Die Peer-CIDRs für die Ressource.
-local-cidr
Die lokale CIDR für die Ressource.
-peer-ike-identity-type
Der Typ der Peer-IKE-Identität. Dieser Feldwert kann entweder ipv4_address, fqdn, hostname oder key_id sein.
--peer-ike-identity-value
Der Wert der Peer-IKE-Identität.

Richtlinienbasierte VPN-Gateways können nur eine lokale IKE-Identität haben.

Wenn ein routenbasiertes VPN-Gateway über lokale IKE-Identitäten verfügt, die angegeben werden, müssen mindestens zwei vorhanden sein; die erste Identität gilt für das erste Mitglied des VPN-Gateways, die zweite Identität für das zweite Mitglied.

--establish-mode
Dieses Feld kann entweder bidirectional oder peer_only sein. Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways. Im Modus "Nur Peer" kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde. Erfolgt keine Schlüsselneuerstellung, wird die VPN-Gateway-Verbindung nach Ablauf ihrer Lebensdauer entfernt.
-output
Gibt an, dass das Ausgabeformat JSON ist.
-q, --quiet
Unterdrückt die ausführliche Ausgabe.

Befehlsbeispiele

  • Erstellen Sie eine VPN-Verbindung für eine bestimmte Gateway-ID mit den erforderlichen Konfigurationswerten:

    ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24

  • Erstellen Sie eine VPN-Verbindung für ein routenbasiertes VPN-Gateway, bei dem die Funktion zur Verteilung des Datenverkehrs aktiviert ist:

    ibmcloud is vpn-gateway-connection-create CONNECTION_NAME VPN_GATEWAY PEER PRESHARED_KEY --distribute-traffic true

  • Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und den angegebenen DPD-Konfigurationen:

    ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --dead-peer-detection-action clear --dead-peer-detection-interval 33 --dead-peer-detection-timeout 100

  • Erstellen Sie eine VPN-Verbindung mit den gleichen Kernparametern und angepassten Richtlinien mit angegebenen IDs:

    ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --ipsec-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --ike-policy 72251a2e-d6c5-42b4-97b0-b5f8e8d1f480

  • Erstellen Sie eine VPN-Verbindung mit dem FQDN des Peers und geben Sie die lokale und die Peer-IKE-Identität an:

    ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 on-prem.my-company.com lkj14b1oi0alcniejkso --local-cidr 10.240.0.0/24 --peer-cidr 192.168.1.0/24 --local-ike-identities '[{"type":"key_id","value":"MTIzNA=="}]' --peer-ike-identity-type fqdn --peer-ike-identity-value on-prem.my-company.com --establish-mode peer_only

  • Erstellen Sie eine VPN-Verbindung, die es dem Peer ermöglicht, IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einzuleiten:

    ibmcloud is vpn-gateway-connection-create my-connection fee82deba12e4c0fb69c3b09d1f12345 169.21.50.5 lkj14b1oi0alcniejkso --establish-mode peer_only --local-ike-identities '[{type:ipv4_address,value:2.2.2.2},{type:fqdn,value:sadsadasd.com}]' --peer-ike-identity-type key_id --peer-ike-identity-value MTIzNA==

  • Erstellen Sie eine VPN-Verbindung mit Hilfe der erweiterten Konfigurationsoptionen:

    ibmcloud is vpn-gateway-connection-create to-prem ${gateway_id} on-prem.test.com test123 --local-cidr 10.10.20.0/28 --peer-cidr 192.168.0.0/24 --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1 --establish-mode peer_only

  • Erstellen Sie eine dynamische routenbasierte VPN-Verbindung mit Peer-ASN und Tunneln:

    ibmcloud is vpn-gateway-connection-create my-connection --routing-protocol bgp my-vpc-gateway 169.21.50.5 lkj14b1oi0alcniejkso --distribute-traffic true --local-ike-identities '[{"type":"fqdn","value":"example.com"},{"type":"fqdn","value":"example_1.com"}]' --peer-asn 65534 --tunnels '[{"neighbor_ip":{"address":"192.168.0.2"},"tunnel_interface_ip":{"address":"192.168.0.1"}},{"neighbor_ip":{"address":"192.168.0.6"},"tunnel_interface_ip":{"address":"192.168.0.5"}}]' --peer-ike-identity-type ipv4_address --peer-ike-identity-value 192.168.0.1

  • Abrufen einer Liste von VPN-Gateway-Verbindungen:

    ibmcloud is vpn-gateway-connection  my-vpc-gateway my-connection

  • Alle Serviceverbindungen für ein VPN-Gateway auflisten:

    ibmcloud is vpn-gateway-service-connections 0727-bc813695-d777-4ceb-acfb-bd68f4828358

  • Abrufen der Dienstverbindungsdetails eines bestimmten VPN-Gateways:

    ibmcloud is vpn-gateway-service-connection my-vpc-gateway --service-connection-id 72fd9e00-3117-4b2e-984d-9361a9a97801

Lokale CIDR zu einer VPN-Gateway-Verbindung über die Befehlszeilenschnittstelle hinzufügen

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Geben Sie den folgenden Befehl ein, um eine lokale CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gatewayverbindung hinzuzufügen:

Dieser Befehl wird nur von VPN-Gateways im Richtlinienmodus unterstützt.

ibmcloud is vpn-gateway-connection-local-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Dabei gilt:

VPN_GATEWAY
Die ID des VPN-Gateways.
CONNECTION
Die ID oder der Name der VPN-Verbindung.
PREFIX_ADDRESS
Der Präfixadressteil der CIDR.
PREFIX_LENGTH
Der Präfixlängenteil der CIDR.
--output value
Die Ausgabe im JSON-Format.
-q, --quiet
Unterdrückt die ausführliche Ausgabe.

Befehlsbeispiel

Fügen Sie eine lokale CIDR für einen bestimmten Verbindungsnamen mit erforderlichen Konfigurationswerten hinzu:

ibmcloud is vpn-gateway-connection-local-cidr-add my-vpn-gateway my-connection 3.3.3.0/24

Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzufügen

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Geben Sie den folgenden Befehl ein, um eine Peer-CIDR über die Befehlszeilenschnittstelle zu einer VPN-Gateway-Verbindung hinzuzufügen:

Dieser Befehl wird nur vom VPN-Gateway im Richtlinienmodus unterstützt.

ibmcloud is vpn-gateway-connection-peer-cidr-add VPN_GATEWAY CONNECTION PREFIX_ADDRESS PREFIX_LENGTH [--vpc VPC] [--output JSON] [-q, --quiet]

Dabei gilt:

VPN_GATEWAY
ID des VPN-Gateways.
CONNECTION
ID oder Name der VPN-Verbindung.
PREFIX_ADDRESS
Teil der Präfixadresse des CIDR.
PREFIX_LENGTH
Teil der Präfixlänge des CIDR.
--output value
Ausgabe im JSON-Format.
-q, --quiet
Ausführliche Ausgabe unterdrücken.

Befehlsbeispiel

Fügen Sie eine Peer-CIDR für einen bestimmten Verbindungsnamen mit den erforderlichen Konfigurationswerten hinzu:

ibmcloud is vpn-gateway-connection-peer-cidr-add my-vpn-gateway my-connection 4.4.4.0/24

Hinzufügen einer Verbindung mit der API

Gehen Sie folgendermaßen vor, um eine VPN-Verbindung mit der API herzustellen:

  1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

  2. Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

    • vpnGatewayId- Die Kennung des VPN-Gateways.

      export vpnGatewayId=<your_vpn_gateway_id>

    • ikePolicyId- Der eindeutige Bezeichner für diese IKE-Richtlinie.

      export ikePolicyId=<your_ike_policy_id>

    • ipsecPolicyId- Der eindeutige Bezeichner für diese IPsec-Richtlinie.

      export ipsecPolicyId=<your_ipsec_policy_id>

  3. Wenn alle Variablen initialisiert sind, erstellen Sie die VPN-Gatewayverbindung. Beispiel:

       # To create a connection for policy-based VPN, use the following command:
   curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
         "name": "my-vpn-connection",
         "psk": "'$psk'",
         "dead_peer_detection": {
             "action": "restart",
             "interval": 2,
             "timeout": 10
         },
         "local": {
             "cidrs": "'$localCidrs'"
         },
         "peer": {
             "cidrs": "'$remoteCidrs'",
             "address": "7.8.9.10"
         }
         "ike_policy": {
             "id": "'$ikePolicyId'"
         },
         "ipsec_policy": {
             "id": "'$ipsecPolicyId'"
         }
     }'

       # For a static route-based VPN connection, use the following command:
   curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
         "name": "my-vpn-connection",
         "routing_protocol": "none",
         "psk": "'$psk'",
         "distribute_traffic":true,
         "dead_peer_detection": {
             "action": "restart",
             "interval": 2,
             "timeout": 10
         },
         "ike_policy": {
             "id": "'$ikePolicyId'"
         },
         "ipsec_policy": {
             "id": "'$ipsecPolicyId'"
         }
     }'

      # For a dynamic route-based VPN connection, use the following command:
 curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2" \
     -H "Authorization: Bearer $iam_token" \
     -H "Content-Type: application/json" \
     -H "Accept: application/json" \
     -H "X-Correlation-ID: 0ba2d683-cce9-404f-9b8e-463543888ff9" \
     -d '{
         "name": "vpn-new-connection",
         "psk": "'$psk'",
         "dead_peer_detection": {
             "action": "restart",
             "interval": 2,
             "timeout": 10
         },
         "distribute_traffic": true,
         "establish_mode": "bidirectional",
         "peer": {
             "address": "9.168.3.4",
             "asn": 64543
         },
         "routing_protocol": "bgp",
         "tunnels": [
         {
             "neighbor_ip": { "address": "192.168.0.2" },
             "tunnel_interface_ip": { "address": "192.168.0.1" }
         },
         {
             "neighbor_ip": { "address": "192.168.0.6" },
             "tunnel_interface_ip": { "address": "192.168.0.5" }
         }
         ]
     }'

  4. (Optional) Um eine Verbindung mit Hilfe der erweiterten Konfigurationsoptionen zu erstellen:

    curl -X POST "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections?version=$api_version&generation=2"  \
      -H "Authorization: $iam_token"      -d '{  \
      "name": "my-advanced-vpn-connection",
      "establish_mode": "peer_only",
      "psk": "'$psk'",
      "dead_peer_detection": {
          "action": "restart",
          "interval": 2,
          "timeout": 10
      },
      "local": {
          "cidrs": "'$localCidrs'",
          "ike_identities": [
              {
                  "type": "key_id",
                  "value": "dGVzdGtleQ=="
              }
          ]
      },
      "peer": {
          "cidrs": "'$remoteCidrs'",
          "ike_identity": {
              "type": "hostname",
              "value": "cisco-asa"
          },
          "fqdn": "on-prem.test.com"
      }
      "ike_policy": {
          "id": "'$ikePolicyId'"
      },
      "ipsec_policy": {
          "id": "'$ipsecPolicyId'"
      },
      "distribute_traffic":true
  }'

Hinzufügen eines lokalen CIDR zu einer VPN-Gateway-Verbindung mit der API

So fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung mit der API hinzu:

Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.

  1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

  2. Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

    • vpnGatewayId- Die Kennung des VPN-Gateways.

      export vpnGatewayId=<your_vpn_gateway_id>

    • connectionId-Die eindeutige Kennung für diese VPN-Verbindung.

      export connectionId=<your_connection_id>

    • cidr_prefix- Der Teil der Präfixadresse des CIDR.

      export cidr_prefix=<your_cidr_prefix>

    • prefix_length- Der Teil der Präfixlänge des CIDR.

      export prefix_length=<your_prefix_length>

  3. Wenn alle Variablen initialisiert sind, fügen Sie eine lokale CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/local_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
     -H "Authorization: $iam_token"

Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzufügen

Gehen Sie wie folgt vor, um eine Peer-CIDR zu einer VPN-Gateway-Verbindung mit der API hinzuzufügen:

Diese API wird nur von VPN-Gateways im Richtlinienmodus unterstützt.

  1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

  2. Speichern Sie weitere Variablen, die in den API-Befehlen verwendet werden sollen. Zum Beispiel:

    • vpnGatewayId - Die VPN-Gateway-ID

      export vpnGatewayId=<your_vpn_gateway_id>

    • connectionId-Die eindeutige Kennung für diese VPN-Verbindung

      export connectionId=<your_connection_id>

    • cidr_prefix- Der Teil der Präfixadresse des CIDR

      export cidr_prefix=<your_cidr_prefix>

    • prefix_length- Der Teil der Präfixlänge des CIDR.

      export prefix_length=<your_prefix_length>

  3. Fügen Sie nach der Initialisierung aller Variablen eine Peer-CIDR zu einer VPN-Gateway-Verbindung hinzu. Beispiel:

       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways/$vpnGatewayId/connections/$connectionId/peer_cidrs/${cidr_prefix}/${prefix_length}?version=$api_version&generation=2" \
     -H "Authorization: $iam_token"

Den vollständigen Satz von APIs für Site-to-Site-VPN-Gateways finden Sie in der VPC-API-Referenz.

Verbindung durch die Verwendung von Terraform hinzufügen

Führen Sie den folgenden Befehl aus, um eine Verbindung mithilfe von Terraform hinzuzufügen:

   resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
     name                 = "my-vpn-gateway-connection"
     vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
     peer_address   =  "7.8.9.10"
     preshared_key = var.presharedkey
     local_cidrs        = [var.localCIDR]
     peer_cidrs        = [var.peerCIDR]
   }

Das folgende Terraform-Beispiel erstellt eine VPN-Gateway-Verbindung:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "my-vpn-gateway-connection"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "VPNDemoPassword"
  establish_mode = "bidirectional"
  peer {
    cidrs   = [var.peerCIDR]
    address = "7.8.9.10"
  }
  local {
    cidrs = [var.localCIDR]
  }
  ike_policy   = ibm_is_ike_policy.is_ike_policy.id
  ipsec_policy = ibm_is_ipsec_policy.is_ipsec_policy.id
}

Das folgende Terraform-Beispiel erstellt eine VPN-Verbindung für ein routenbasiertes VPN-Gateway mit aktivierter Verkehrsverteilungsfunktion:


resource "ibm_is_vpn_gateway_connection" "test_VPNGatewayConnection1" {
    name = "example-vpn-gateway-connection"
    vpn_gateway = "${ibm_is_vpn_gateway.example.id}"
    peer_address = "${ibm_is_vpn_gateway.example.public_ip_address}"
    preshared_key = "VPNDemoPassword"
    distribute-traffic = true
}

Das folgende Terraform-Beispiel erstellt eine VPN-Verbindung unter Verwendung erweiterter Konfigurationsoptionen:

resource "ibm_is_vpn_gateway_connection" "is_vpn_gateway_connection" {
  name           = "to-prem"
  vpn_gateway    = ibm_is_vpn_gateway.is_vpn_gateway.id
  preshared_key  = "test123"
  establish_mode = "peer_only"
  peer {
    cidrs   = ["192.168.0.0/24"]
    ike_identity {
      type  = "ipv4_address"
      value = "192.168.0.1"
    }
    fqdn = "on-prem.test.com"
  }
  local {
    cidrs = ["10.10.20.0/28"]
  }
}

Das folgende Terraform-Beispiel erstellt eine dynamische VPN-Verbindung für ein routenbasiertes VPN-Gateway mit BGP:

resource "ibm_is_vpn_gateway" "example" {
  name      = "example-vpn-gateway"
  subnet    = ibm_is_subnet.example.id
  mode      = "route"
  local_asn = 64522
}
resource "ibm_is_vpn_gateway_connection" "example" {
  name               = "example-vpn-gateway-connection"
  vpn_gateway        = ibm_is_vpn_gateway.example.id
  preshared_key      = "VPNDemoPassword"
  distribute_traffic = true
  routing_protocol   = "bgp"
  local {
    ike_identities {
      type  = "fqdn"
      value = "fqdn.example.com"
    }
    ike_identities {
      type  = "fqdn"
      value = "fqdn.example.com"
    }
  }
  peer {
    ike_identity {
      type  = "fqdn"
      value = "example.fqdn.com"
    }
    fqdn = "peer-vpn.example.com"
    asn  = 65534
  }
  tunnel {
    neighbor_ip         = "192.168.1.8"
    tunnel_interface_ip = "10.0.0.8"
  }
  tunnel {
    neighbor_ip         = "192.168.1.6"
    tunnel_interface_ip = "10.0.0.6"
  }
}

Weitere Informationen finden Sie in der Terraform-Registrierung.

Nächste Schritte