Docs
Powered by

# VPN einrichten, ändern und löschen

# Kyberio Secure Public Cloud – Kundenanleitung

# Überblick

Mit dem VPN-as-a-Service (VPNaaS) der Kyberio Secure Public Cloud können Sie eine verschlüsselte IPsec-Verbindung zwischen Ihrem Cloud-Netzwerk und einem entfernten Standort (z. B. Ihrem Firmennetzwerk) aufbauen. Diese Anleitung erklärt die Einrichtung in der Cloud und stellt eine Beispielkonfiguration für strongSwan auf der Gegenstelle bereit.

# Netzwerk-Szenario (Beispiel)

Parameter Cloud-Seite Firmennetzwerk (Gegenstelle)
Öffentliche IP 203.0.113.10 198.51.100.1
Internes Subnetz 10.0.1.0/24 192.168.1.0/24
Router cloud-router-01

# 1. VPN einrichten

# 1.1 Über das Horizon-Dashboard

Schritt 1: IKE-Policy erstellen

  1. Navigieren Sie zu Projekt → Netzwerk → VPN.
  2. Klicken Sie auf den Reiter „IKE-Policies"„IKE-Policy erstellen".
  3. Konfigurieren Sie:
Feld Wert
Name ike-policy-01
Autorisierungsalgorithmus sha256
Verschlüsselungsalgorithmus aes-256
IKE-Version v2
Lifetime (Sekunden) 28800
Perfect Forward Secrecy group14
  1. Klicken Sie auf „Erstellen".

Schritt 2: IPsec-Policy erstellen

  1. Wechseln Sie zum Reiter „IPsec-Policies"„IPsec-Policy erstellen".
  2. Konfigurieren Sie:
Feld Wert
Name ipsec-policy-01
Autorisierungsalgorithmus sha256
Verschlüsselungsalgorithmus aes-256
Encapsulation-Modus tunnel
Transform-Protokoll esp
Lifetime (Sekunden) 3600
Perfect Forward Secrecy group14
  1. Klicken Sie auf „Erstellen".

Schritt 3: VPN-Service erstellen

  1. Wechseln Sie zum Reiter „VPN-Services"„VPN-Service erstellen".
  2. Konfigurieren Sie:
Feld Wert
Name vpn-service-01
Router cloud-router-01
Subnetz subnet-intern-01 (10.0.1.0/24)
Admin State UP
  1. Klicken Sie auf „Erstellen".

Schritt 4: Endpoint-Gruppen erstellen

  1. Wechseln Sie zum Reiter „Endpoint-Gruppen"„Endpoint-Gruppe erstellen".
  2. Erstellen Sie die lokale Endpoint-Gruppe:
Feld Wert
Name local-ep-group
Typ subnet
Endpoints subnet-intern-01
  1. Erstellen Sie die Peer-Endpoint-Gruppe:
Feld Wert
Name peer-ep-group
Typ cidr
Endpoints 192.168.1.0/24

Schritt 5: IPsec-Site-Connection erstellen

  1. Wechseln Sie zum Reiter „IPsec-Site-Connections"„IPsec-Site-Connection erstellen".
  2. Konfigurieren Sie:
Feld Wert
Name vpn-to-firmennetz
VPN-Service vpn-service-01
IKE-Policy ike-policy-01
IPsec-Policy ipsec-policy-01
Peer-Gateway-IP 198.51.100.1
Peer-ID 198.51.100.1
Lokale Endpoint-Gruppe local-ep-group
Peer-Endpoint-Gruppe peer-ep-group
Pre-Shared Key (PSK) MeinSuperGeheimesPasswort123!
Admin State UP
  1. Klicken Sie auf „Erstellen".

# 1.2 Über die CLI 

# 1. IKE-Policy erstellen
openstack vpn ike policy create ike-policy-01 \
  --auth-algorithm sha256 \
  --encryption-algorithm aes-256 \
  --ike-version v2 \
  --lifetime seconds=28800 \
  --pfs group14

# 2. IPsec-Policy erstellen
openstack vpn ipsec policy create ipsec-policy-01 \
  --auth-algorithm sha256 \
  --encryption-algorithm aes-256 \
  --encapsulation-mode tunnel \
  --transform-protocol esp \
  --lifetime seconds=3600 \
  --pfs group14

# 3. VPN-Service erstellen
ROUTER_ID=$(openstack router show cloud-router-01 -f value -c id)

openstack vpn service create vpn-service-01 \
  --router $ROUTER_ID \
  --subnet subnet-intern-01

# 4. Endpoint-Gruppen erstellen
SUBNET_ID=$(openstack subnet show subnet-intern-01 -f value -c id)

openstack vpn endpoint group create local-ep-group \
  --type subnet \
  --value $SUBNET_ID

openstack vpn endpoint group create peer-ep-group \
  --type cidr \
  --value 192.168.1.0/24

# 5. IPsec-Site-Connection erstellen
openstack vpn ipsec site connection create vpn-to-firmennetz \
  --vpnservice vpn-service-01 \
  --ikepolicy ike-policy-01 \
  --ipsecpolicy ipsec-policy-01 \
  --peer-address 198.51.100.1 \
  --peer-id 198.51.100.1 \
  --local-endpoint-group local-ep-group \
  --peer-endpoint-group peer-ep-group \
  --psk "MeinSuperGeheimesPasswort123!"

# 6. Status prüfen
openstack vpn ipsec site connection show vpn-to-firmennetz

# 2. VPN-Verbindung ändern

# 2.1 Über das Horizon-Dashboard

  1. Navigieren Sie zu Projekt → Netzwerk → VPN → IPsec-Site-Connections.
  2. Klicken Sie auf „Bearbeiten" neben der gewünschten Verbindung.
  3. Passen Sie die gewünschten Parameter an (z. B. Peer-Gateway-IP, PSK).
  4. Klicken Sie auf „Speichern".

# 2.2 Über die CLI 

# Peer-Adresse ändern
openstack vpn ipsec site connection set vpn-to-firmennetz \
  --peer-address 198.51.100.2 \
  --peer-id 198.51.100.2

# Pre-Shared Key ändern
openstack vpn ipsec site connection set vpn-to-firmennetz \
  --psk "NeuesNochBesseresPasswort456!"

# Verbindung deaktivieren
openstack vpn ipsec site connection set vpn-to-firmennetz \
  --enable=False

# Verbindung wieder aktivieren
openstack vpn ipsec site connection set vpn-to-firmennetz \
  --enable=True

# 3. VPN-Verbindung löschen

# 3.1 Über das Horizon-Dashboard

  1. Navigieren Sie zu Projekt → Netzwerk → VPN.
  2. Löschen Sie die Ressourcen in folgender Reihenfolge:
    • IPsec-Site-Connections → Verbindung markieren → „Löschen"
    • VPN-Services → Service markieren → „Löschen"
    • Endpoint-Gruppen → Gruppen markieren → „Löschen"
    • IPsec-Policies → Policy markieren → „Löschen"
    • IKE-Policies → Policy markieren → „Löschen"

# 3.2 Über die CLI 

# Reihenfolge beachten! Abhängige Ressourcen zuerst löschen.

# 1. Site-Connection löschen
openstack vpn ipsec site connection delete vpn-to-firmennetz

# 2. VPN-Service löschen
openstack vpn service delete vpn-service-01

# 3. Endpoint-Gruppen löschen
openstack vpn endpoint group delete local-ep-group
openstack vpn endpoint group delete peer-ep-group

# 4. IPsec-Policy löschen
openstack vpn ipsec policy delete ipsec-policy-01

# 5. IKE-Policy löschen
openstack vpn ike policy delete ike-policy-01

# 4. Beispielkonfiguration: strongSwan (Gegenstelle)

Die folgende Konfiguration beschreibt die Einrichtung auf Ihrer Firmennetzwerk-Seite mit strongSwan (Version 5.x / charon). Passen Sie die IP-Adressen und den PSK an Ihre Umgebung an.

# 4.1 Installation (Ubuntu/Debian) 

sudo apt update
sudo apt install strongswan strongswan-pki libcharon-extra-plugins -y

# 4.2 Konfiguration /etc/ipsec.conf 

# /etc/ipsec.conf – strongSwan IPsec-Konfiguration

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2"

conn kyberio-vpn
    # Allgemeine Einstellungen
    type=tunnel
    auto=start
    keyexchange=ikev2
    authby=psk

    # Verschlüsselungsparameter (passend zur Cloud-Konfiguration)
    ike=aes256-sha256-modp2048!
    esp=aes256-sha256-modp2048!

    # Lifetime (passend zur Cloud-Konfiguration)
    ikelifetime=28800s
    lifetime=3600s

    # Dead Peer Detection
    dpdaction=restart
    dpddelay=30s
    dpdtimeout=120s

    # Lokale Seite (Firmennetzwerk)
    left=%defaultroute
    leftid=198.51.100.1
    leftsubnet=192.168.1.0/24

    # Gegenstelle (Kyberio Secure Public Cloud)
    right=203.0.113.10
    rightid=203.0.113.10
    rightsubnet=10.0.1.0/24

# 4.3 Konfiguration /etc/ipsec.secrets 

# /etc/ipsec.secrets – Pre-Shared Key

198.51.100.1 203.0.113.10 : PSK "MeinSuperGeheimesPasswort123!"

# 4.4 strongSwan starten und Status prüfen 

# Konfiguration neu laden
sudo ipsec restart

# Verbindungsstatus anzeigen
sudo ipsec statusall

# Tunnel manuell starten (falls auto=start nicht gesetzt)
sudo ipsec up kyberio-vpn

# Tunnel stoppen
sudo ipsec down kyberio-vpn

# 4.5 Verbindung testen 

# Von der Firmennetzwerk-Seite aus die Cloud-Instanz anpingen
ping 10.0.1.10

# SA (Security Association) prüfen
sudo ipsec statusall | grep "ESTABLISHED"

# Routing prüfen
ip route | grep 10.0.1.0

Erwartete Ausgabe bei erfolgreicher Verbindung:

kyberio-vpn[1]: ESTABLISHED 5 minutes ago, 198.51.100.1[198.51.100.1]...203.0.113.10[203.0.113.10]
kyberio-vpn{1}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c1a2b3d4_i c5e6f7a8_o
kyberio-vpn{1}: 192.168.1.0/24 === 10.0.1.0/24

# 4.6 Kernel-Parameter (IP-Forwarding aktivieren) 

# Temporär
sudo sysctl -w net.ipv4.ip_forward=1

# Permanent in /etc/sysctl.conf
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

# 5. Fehlerbehebung

Symptom Mögliche Ursache Lösung
Status: DOWN PSK stimmt nicht überein PSK auf beiden Seiten prüfen
Status: PENDING_CREATE Gegenstelle nicht erreichbar Firewall-Regeln und Routing prüfen
Tunnel steht, kein Traffic Subnetz-Konfiguration falsch Endpoint-Gruppen und leftsubnet/rightsubnet prüfen
IKE-Timeout UDP 500/4500 blockiert Firewalls für UDP 500 und 4500 öffnen
Phase 2 schlägt fehl Algorithmen stimmen nicht überein ike= und esp= Parameter abgleichen

Wichtig: Stellen Sie sicher, dass die Ports UDP 500 (IKE) und UDP 4500 (NAT-Traversal) auf beiden Seiten in den Firewalls freigegeben sind.

# Häufige Fragen

Kann ich mehrere VPN-Verbindungen zu verschiedenen Standorten aufbauen? Ja. Erstellen Sie für jeden Standort eine eigene IPsec-Site-Connection mit den jeweiligen Peer-Parametern und Endpoint-Gruppen.

Unterstützt die Kyberio Secure Public Cloud auch Zertifikats-basierte Authentifizierung? Der VPN-Dienst unterstützt primär Pre-Shared Keys. Für Zertifikats-basierte VPNs wenden Sie sich bitte an den Kyberio-Support.

Was passiert, wenn sich meine öffentliche IP ändert? Aktualisieren Sie die Peer-Adresse in der IPsec-Site-Connection (siehe Abschnitt 2).

Kyberio Secure Public Cloud – Dokumentation