Private Cloud: IPsec-VPN-Verbindung erstellen

In diesem Artikel wird erklärt, wie Sie im IONOS Cloud Panel eine IPsec-VPN-Verbindung erstellen, um eine stabile und sichere Verbindung zu Ihrer Private Cloud und dem vSphere-Verwaltungsnetzwerk zu gewährleisten. 

Für die Verbindung zum vSphere-Verwaltungsnetzwerk der Private Cloud wird standardmäßig OpenVPN verwendet, das jeweils nur eine Endgeräteverbindung zulässt. Alternativ können Sie im Cloud Panel eine IPsec-VPN-Verbindung erstellen, um eine Verbindung zu vSphere herzustellen. Der im Cloud Panel integrierte IPsec-VPN-Dienst verwendet ein automatisch bereitgestelltes VyOS-Backend-Gateway. Dadurch ist es möglich, eine oder mehrere IPsec-Verbindungen zu verschiedenen Endpunkten herzustellen. Um eine IPsec-VPN-Verbindung zu erstellen, gehen Sie wie folgt vor:

In diesem Abschnitt definieren Sie die grundlegenden Parameter der Verbindung.

• Geben Sie im Feld Name einen eindeutigen Namen für die IPsec-VPN-Verbindung ein.
• Einige Netzwerke verwenden NAT (Network Address Translation). Das bedeutet, dass die Geräte in Ihrem Netzwerk eine private IP-Adresse verwenden, aber über eine einzige öffentliche IP-Adresse nach außen (ins Internet) kommunizieren.
  
  Aktivieren Sie NAT, wenn das Gerät, das den VPN-Tunnel aufbaut (z. B. Ihr Router oder Ihre Firewall), eine private IP-Adresse verwendet, die dann zum Aufbau des Tunnels übersetzt wird. In diesem Fall ist es oft notwendig, eine Remote-Kennung anzugeben, damit das IONOS-System den VPN-Verkehr korrekt weiterleiten kann.
  
  Deaktivieren Sie NAT, wenn das Gerät, das den VPN-Tunnel aufbaut, über eine öffentliche IP-Adresse verfügt. Dies ist die Standardkonfiguration für die meisten Heim- und Büronetzwerke, sodass Sie dieses Kontrollkästchen in der Regel nicht aktivieren müssen.
• Wenn Sie die NAT-Option aktivieren, wird das Feld Remote-Kennung angezeigt. Geben Sie in diesem Feld die vom Gerät verwendete private IP-Adresse ein.
• Geben Sie im Feld Remote-Adresse: die öffentliche IP-Adresse Ihres Netzwerkgeräts (Router/Firewall) ein. Dies ist der Endpunkt, von dem aus Sie sich mit der Private Cloud verbinden.
• Geben Sie im Feld Remote-Netzwerk: den privaten IP-Adressbereich Ihres lokalen Netzwerks in CIDR-Notation ein. Dies ist der Adressbereich, den Ihr Router für die Geräte in Ihrem Netzwerk verwendet. Beispiel: 10.22.0.0/19
• Optional: Um weitere Remote-Netzwerke hinzuzufügen, klicken Sie auf Hinzufügen.

Die Verschlüsselungseinstellungen definieren, welche kryptographischen Algorithmen und Parameter für Schlüsselaustausch (Phase 1) und für den Datenverkehr (Phase 2) verwendet werden. Diese Einstellungen müssen unbedingt mit den Einstellungen Ihres lokalen VPN-Geräts übereinstimmen.

Um die Verschlüsselung und die Lebensdauer zu konfigurieren, gehen Sie wie folgt vor:

• Wählen Sie im Drop-down-Menü Diffie-Hellman-Gruppe: eine geeignete Gruppe aus (z. B. 15).

• Wählen Sie im Drop-down-Menü Verschlüsselungstyp: den gewünschten Verschlüsselungsstandard aus. AES256 ist der aktuell empfohlene Standard und bietet eine hohe Sicherheit.

• Wählen Sie im Drop-down-Menü Hash-Typ: den Algorithmus zur Integritätsprüfung aus (z. B. SHA256). Der Hash-Typ stellt sicher, dass die Daten während der Übertragung nicht manipuliert wurden. SHA256 ist hierfür eine sichere Wahl.
• Geben Sie im Feld Lebensdauer 1 (s): die gewünschte Dauer für die Phase 1 (IKE Phase 1) in Sekunden ein (z. B. 86400). Dies ist die Gültigkeitsdauer des ersten Sicherheitsschlüssels (IKE-SA). 86400 Sekunden entsprechen 24 Stunden.
• Geben Sie im Feld Lebensdauer 2 (s): die gewünschte Dauer für die Phase 2 (IKE Phase 2) in Sekunden ein (z. B. 3600). Dies ist die Gültigkeitsdauer des zweiten, eigentlichen Datenverkehrsschlüssels (IPsec-SA).