Die STACKIT VPN-Appliance ist eine Linux-basierte IPsec (strongSwan)-Appliance, die zur Vereinfachung von Site-to-Site-VPN-Verbindungen zu einem VPC-tenant entwickelt wurde. Die Appliance ist eine selbstverwaltete Lösung, die vom Kunden betrieben wird.
Die Appliance wird über das Internet (https) mit einer lokalen Einzelbenutzeranmeldung authentifiziert.
Funktionen
Die Appliance bietet mehrere Module, ein Server- und ein Client-Modul.
Mit diesen lassen sich die beiden folgenden Szenarien abbilden:
- Road Warrior Client-zu-Site-Verbindungen
- Site-to-Site-Verbindungen
Optionen für VPN-Verbindungen
IPsec-Verbindungen unterstützen eine Reihe von Authentifizierungsmethoden, von denen die unten aufgeführten derzeit unterstützt werden:
- IKEv1 und IKEv2
- Zertifikatsbasierte Authentifizierung
- EAP-TLS (Zertifikat)
- PSK (Pre Shared Key)
- EAP (Benutzername/Passwort)
IPsec-Richtlinie
Die hier aufgeführten Einstellungen werden als IKE / IPsec-Richtlinie verwendet. Die Gegenstelle muss entsprechend dieser Einstellungen konfiguriert werden.
Weiter unten im Dokument finden Sie Beispiele für die Konfiguration von Verbindungen zu verschiedenen Gegenstellen.
|
|
|---|
| IKE encryption | AES128 - AES192 - AES265 |
| IKE Authentication | SHA2 265 - SHA2 384 - SHA2 512 |
| IKE SA Lifetime | max. 14000 |
| IKE DH Group | Group 14-18: MODP 2048-3072-4096-6144-8192 Group 19-21: ECP256-384-521 |
|
|
| IPsec encryption | AES128 GCM - AES192 GCM - AES265 GCM |
| IPsec SA Lifetime | max. 3600 |
| IPsec PFS Group | Group 14-18: MODP 2048-3072-4096-6144-8192 Group 19-21: ECP256-384-521 |
Diese Liste zeigt die möglichen und unterstützten Verschlüsselungsmethoden der VPN-Appliance. In der Appliance selbst müssen keine Einstellungen vorgenommen werden, da diese automatisch mit der Gegenstelle synchronisiert werden.
Grundlagen IPsec VPN
Bei IPsec-Verbindungen muss sichergestellt sein, dass eine der beiden Seiten aktiv ist. Das bedeutet, dass die Verbindung aktiv initiiert wird und die andere Seite passiv ist, d.h. nur antwortet. In der Sprache der Appliance ist dies Start für den aktiven Teil und Trap für den passiven Teil.
