Erstellen einer IPSec VPN Verbindung

Übersicht

Damit du aus dem internen IT-Firmennetzwerk direkt auf die internen IP Adressen deines vDCs zugreifen kannst, wird ein VPN-Tunnel benötigt.

Zur Umsetzung gibt es verschiedene Ansätze, im nachfolgenden wird beschrieben wie du eine IPSec VPN Verbindung zwischen der Firmenfirewall und deines vDCs aufbauen kannst.

Durchführung

IP Set anlegen

  1. Aufrufen des entsprechenden vDCs

  2. Menüpunkt Edgesentsprechende Edge auswählen

  3. Im Seitenmenü den Punkt IP Sets aufrufen

    1. Dieses IP Set muss das interne IT-Firmennetzwerk abbilden, welches später per VPN Zugriff auf das vDC erhalten soll. Wir verwendet hier z.B. das Netz 172.16.1.0/24.

IPSec VPN anlegen

  1. Anlegen einer neuen IPSec VPN Verbindung im vCloud Director

    1. Menüpunkt Edgesentsprechende Edge auswählen

    2. Im Seitenmenü den Punkt IPSec VPN aufrufen und mit einem Klick auf New eine neue Verbindung anlegen

    3. Nachfolgend werden nur die Felder genannt, die angepasst werden müssen

      1. Name: Ein beliebiger Name um die VPN Verbindung zu benennen

      2. Pre-Shared Key: Hier muss einer String, mit einer Länge von maximal 128 Byte, hinterlegt werden. Dieser Pre-Shared Key muss später auch auf Firewallseite am Unternehmensstandort übernommen werden!

      3. Local Endpoint

        1. IP Address: Öffentliche IP der vDC Edge

        2. Networks: Hier müssen alle internen vDC Netzwerke angegeben werden, über die per VPN zugegriffen werden darf

      4. Remote Endpoint

        1. IP Address: Öffenlich IP der Firewall im Firmennetzwerk

        2. Networks: Hier müssen alle Firmen internen Netze die auf die vDC zugreifen dürfen hinterlegt werden (entsprechend IP Set aus Punkt 1.)

    4. Um das Security Profile anzupassen, um z.B. die Encryption festzulegen, muss die eben erstellte IPSec VPN Verbindung ausgewählt werden. Oben erscheinen dann der Menüpunkt SECURITY PROFILE CUSTOMIZATION

      1. Hier kommt es darauf an welche Firewall am Unternehmensstandort in Verwendung ist. Dementsprechend müssen die Security Profile Einstellungen angepasst werden.

  2. Damit das interne Firmennetzwerk auf die internen vDC Netzwerke zugreifen darf, muss noch eine entsprechende Firewallregel angelegt werden

    1. Hierfür musst du wieder das entsprechende Edge Gateway aufrufen und unter dem Seitenmenüpunkt Firewall eine neue Regel, mit einem Klick EDIT RULES, anlegen

      1. Name: z.B. All internal company clients

      2. Source: Das IP Set aus Punkt 1.

      3. Destination: Wenn du bereits ein IP Set für dein internes vDC Netzwerk angelegt hast, kannst du dieses hier auswählen. Andernsfalls musst du zuerst ein IP Set für dein internes Netzwerk erstellen.

      4. Action: Allow

Der nachfolgende Abschnitt muss nur durchgeführt werden, wenn in den Einstellungen der default vDC SNAT Regel, unterhalb des Punktes Firewall Match, Bypass ausgewählt wurde.

  1. Damit der interne Traffic, welcher über den IPSec Tunnel geleitet werden soll, gleich im richtigen Zielnetz landet, muss eine NO SNAT Regel angelegt werden werden.

    1. Hierfür musst du das entsprechende Edge Gateway aufrufen und unterhalb vom Punkt NAT eine neue NO SNAT Regel erstellen.

      1. Name: z.B. S2S VPN NO-NAT

      2. Interface Type: NO SNAT

      3. Internal IP: Das interne Netzwerk des vDCs

      4. Desitionation IP: Das entfernte interne Firmennetzwerk aus Punkt 1

      5. Advanced Settings -> Priority: 0

    2. Im Anschluss muss noch sichergestellt werden, dass die vorhandene SNAT Regel (für VM Traffic in's Internet) eine Priorität höher 0 hat. Dies stellt sicher, dass die in Punkt 3. erstellte NO SNAT Regel zuerst ausgeführt wird.

An diesem Punkt ist die Einrichtung im vDC abgeschlossen.

Auf Firewallseite am Unternehmensstandort muss nun noch die IPSec VPN Verbindung eingerichtet werden.

Da es hier eine große Auswahl an Firewalls gibt, können wir auf die Konfiguration in dieser Anleitung nicht weiter eingehen.

Sollte bei der Einrichtung der IPSec VPN Verbindung Unterstützung benötigt werden, kannst du uns über die bekannten Supportwege kontaktieren.

Testen

Nach dem auch die Firewall im Firmennetzwerk für die angelegte IPSec VPN Verbindung konfiguriert wurde, kann getestet werden.

Hier gibt es zu beachten, dass speziell bei Windows VMs (im vDC) die lokale Firewall gerne Pings blockiert.

Wir empfehlen daher die temporäre Deaktivierung der lokalen Firewall, in der entsprechenden VM, für das Testen der Konnektivität.

Last updated