Beschreibung:
Dieses Dokument beschreibt, wie Sie eine Verbindung zur Amazon VPC per VPN konfigurieren und die Routen dynamisch per BGP lernen/propagieren.
Weitere Informationen zur Virtual Private Cloud von Amazon finden Sie unter folgendem Link: https://aws.amazon.com/de/vpc/


Voraussetzungen:


Vorgehensweise:
Zur Anbindung an die Amazon VPC werden zwei IPSec-Tunnel konfiguriert, worüber dann jeweils eine BGP Session konfiguriert wird. Aus Redundanzgründen müssen nach Vorgabe von Amazon zwei VPN-Tunnel und zwei BGP Verbindungen konfiguriert werden.
Die Parameter für die VPN-Tunnel, sowie die benötigten Daten zur Konfiguration der beiden BGP Sessions, erhalten Sie nach dem Anlegen der "VPN Connection" in Ihrer Amazon VPC Oberfläche. Eine Beispiel-Konfiguration können Sie sich unter folgendem Link anschauen: http://docs.aws.amazon.com/de_de/AmazonVPC/latest/NetworkAdminGuide/GenericConfig.html


1. Konfiguration von zwei VPN Verbindungen
1.1 Öffnen Sie die Konfiguration des LANCOM Routers und wechseln Sie in das Menü VPN → Allgemein.
Dort aktiveren Sie das VPN-Modul und setzen den Aufbau der Netzbeziehungen (SAs) auf Gemeinsam für KeepAlive.
1.2 Wechseln Sie in das Menü VPN → IKE/IPsec → IKE-Proposals...
1.3 Klicken Sie auf die Schaltfläche Hinzufügen, vergeben Sie einen Namen und legen Sie das IKE-Proposal anhand der Vorgaben Ihrer Amazon VPC an.
1.4 Wechseln Sie nun in das Menü VPN → IKE/IPsec → IKE-Proposal-Listen...
Klicken Sie auf die Schaltfläche Hinzufügen, vergeben Sie einen Namen und fügen das in Schritt 1.3 erstellte Proposal dieser Liste hinzu.
1.5 Wechseln Sie in das Menü VPN → IKE/IPsec → IPsec-Proposals...
1.6 Klicken Sie auf die Schaltfläche "Hinzufügen", vergeben Sie einen Namen und legen Sie das IPsec-Proposal anhand der Vorgaben Ihrer Amazon VPC an.
1.7 Wechseln Sie nun in das Menü VPN → IKE/IPsec → IPsec-Proposal-Listen...
Klicken Sie auf die Schaltfläche Hinzufügen, vergeben Sie einen Namen und fügen das in Schritt 1.6 erstellte Proposal dieser Liste hinzu.
1.8 Wechseln Sie in das Menü VPN → IKE/IPsec → IKE-Schlüssel & Identitäten...
1.9 Klicken Sie auf die Schaltfläche Hinzufügen und geben Sie den Pre-Shared Key ein, den Ihre Amazon VPC vorgibt.
Wiederholen Sie den Vorgang und legen Sie direkt den zweiten Eintrag für die zweite VPN Verbindung an.
1.10 Wechseln Sie in das Menü VPN → IKE/IPsec → Verbindungs-Parameter... und fügen Sie die bisher angelegten Listen und den Schlüssel, gemeinsam mit der IKE- und PFS-Gruppe zusammen.
Welche IKE- und PFS-Gruppe Sie verwenden müssen, erfahren Sie von Ihrer Amazon VPC. Legen Sie auch hier bereits zwei Einträge für beide VPN Verbindungen an.


Die im Schritt 1.2 bis 1.7 angelegten Proposal-Listen können Sie für beide VPN Verbindungen verwenden. Die Verbindungs-Parameter sollten sich nur im IKE-Schlüssel und in der Bezeichnung unterscheiden.

1.11 Wechseln Sie in das Menü VPN → IKE/IPsec → Verbindungs-Liste...
1.12 Hier legen Sie nun die eigentliche VPN Gegenstelle an. Klicken Sie auf die Schaltfläche Hinzufügen und legen Sie die erste der beiden VPN Gegenstellen an.
Definieren Sie die folgenden Parameter:
    • Name der Verbindung: Hier vergeben Sie einen beliebigen Namen für die Verbindung
    • Haltezeit: 9999
    • DPD: 30 Sekunden
    • Entferntes Gateway: Hier geben Sie die IP-Adresse des "Virtual Private Gateway" Ihrer Amazon VPC an, in unserem Beispiel → 72.21.209.193*
    • Verbindungs-Parameter: Hier wählen Sie die zuvor angelegten Verbindungsparameter aus, in unserem Beispiel → AMAZON-VPC1*
    • IKE-Exchange: Main Mode
    • Regelerzeugung: Manuell
    • IPv4 Regeln: RAS-WITH-NETWORK-SELECTION
*Diese Einträge müssen für beide VPN Tunnel unterschiedlich sein.
1.13 Wiederholen Sie den Vorgang für die zweite VPN Verbindung, mit den für die zweite Verbindung vorgesehenen Parametern:
    • Name der Verbindung: Hier vergeben Sie einen beliebigen Namen für die Verbindung
    • Haltezeit: 9999
    • DPD: 30 Sekunden
    • Entferntes Gateway: Hier geben Sie die IP-Adresse des "Virtual Private Gateway" Ihrer Amazon VPC an, in unserem Beispiel → 72.21.209.225*
    • Verbindungs-Parameter: Hier wählen Sie die zuvor angelegten Verbindungsparameter aus, in unserem Beispiel → AMAZON-VPC2*
    • IKE-Exchange: Main Mode
    • Regelerzeugung: Manuell
    • IPv4 Regeln: RAS-WITH-NETWORK-SELECTION
*Diese Einträge müssen für beide Tunnel unterschiedlich sein.


Um die VPN Konfiguration abzuschließen, benötigen Sie einen statischen Routing Eintrag für beide Tunnel. Hierzu haben Sie beim Anlegen der "VPN Connection" in Ihrer Amazon VPC zwei /30 Subnetze erhalten. Eine Adresse davon ist für die LANCOM-Seite der BGP Session und die andere wiederum für den BGP Nachbar auf der Amazon VPC Seite gedacht.
Die Adresse für den LANCOM Router tragen Sie, wie im Schritt 2.1 bis 2.2 beschrieben, als Loopback-Adresse ein. Die Adresse für den BGP Nachbar konfigurieren Sie zunächst in der Routing-Tabelle des LANCOM als statische Route mit einer D-Maske (255.255.255.255) und später dann für den eigentlichen BGP Nachbar (Schritt 2.5 bis 2.7).


1.14 In unserem Beispiel nutzen wir für den ersten Tunnel die Adresse 169.254.255.1 und für den zweiten Tunnel die Adresse 169.254.255.5.
Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle... und tragen Sie eine Route für jeweils einen VPN Tunnel ein, wie im folgenden Bild dargestellt:


2. Konfiguration von zwei BGP Verbindungen
2.1 Wie bereits erwähnt, muss für die BGP Verbindung zunächst eine bzw. zwei Loopback Adressen definiert werden.
Wechseln Sie hierzu in das Menü IPv4 → Allgemein → Loopback-Adressen...
2.2 Klicken Sie auf die Schaltfläche Hinzufügen, vergeben Sie einen Namen und tragen Sie die für den LANCOM bestimmte Adresse aus dem /30 Subnetz, welches Sie bei der Erstellung der "VPN Connection" in der Amazon VPC erhalten haben, als Loopback Adresse ein. Konfigurieren Sie für beide /30 Subnetze einen Eintrag.


Da Sie zwei BGP Sessions zur Amazon VPC aufbauen, muss eine dieser Sessions bzw. die darüber gelernten Routen priorisiert werden. Damit die Netzwerke die propagiert/gelernt werden, auf beiden Seiten über den gleichen Nachbar priorisiert werden, und kein asymmetrisches Routing entsteht, ist es erforderlich einen Eingangs- und einen Ausgangsfilter für einen der beiden Nachbarn zu konfigurieren.
Hierzu muss ein Filter angelegt werden, der das AS_PATH Attribut für einen der beiden Nachbarn verlängert und damit die gelernten Routen über diesen Nachbar unattraktiver zu machen.



2.3 BGP Regelwerk anlegen
2.3.1 Um das BGP Regelwerk anzulegen wechseln Sie in das Menü Routing Protokolle → BGP → BGP-Regelwerk...
2.3.2 Konfigurieren Sie zunächst das Voranstellen des eigenen AS im AS_PATH Attribut unter "AS-Pfad...".
  • Klicken Sie hierzu auf die Schaltfläche Hinzufügen, vergeben Sie einen beliebigen Namen und schreiben Sie unter "Voranstellen" das Wort last.
  • Unter "Anzahl voranstellen" geben Sie an, wie oft das eigene AS vorangestellt werden soll. In unserem Beispiel tragen wir eine 5 ein.
2.3.3 Als nächstes wechseln Sie in das Menü Aktionen... und klicken auf Hinzufügen.
Hier vergeben Sie einen Namen für die Aktion und wählen unter AS-Pfad die zuvor in Schritt 2.3.2 angelegte Aktion aus.
2.3.4 Schließlich wechseln Sie in den Menüpunkt Filter... und klicken auf Hinzufügen um den eigentlichen Filter anzulegen.
Vergeben Sie auch hier wieder einen Namen für den Filter, setzen die Regel auf Erlauben und wählen unter Aktion die im Schritt 2.3.2 angelegte Aktion aus.
Damit haben Sie das Anlegen eines BGP Regelwerks abgeschlossen und können mit der BGP Konfiguration fortfahren.
2.4 Wechseln Sie in das Menü Routing Protokolle → BGP → BGP-Instanz.
Tragen Sie hier die in der Amazon VPC konfigurierte AS-Nummer (Default 65.000) ein und tragen Sie als Router-ID eine der beiden Loopback-Adressen ein.
2.5 Wechseln Sie in das Menü Routing Protokolle → BGP → Nachbarn...
2.6 Klicken Sie auf Hinzufügen, um den ersten BGP Nachbar anzulegen.
Konfigurieren Sie die folgenden Parameter:
  • Name: Hier vergeben Sie einen beliebigen Namen für die Verbindung
  • IP-Adresse: Tragen Sie hier die Adresse des ersten BGP Nachbarn aus der Amazon VPC Vorgabe ein, in unserem Beispiel → 169.254.255.1*
  • Absende-Adresse (opt.): Wählen Sie hier die im Schritt 2.2 definierte Loopback-Adresse aus. Beachten Sie dabei, dass Sie die korrekte Adresse aus dem /30 Subnetz wählen, passend zur IP-Adresse die Sie für diesen Nachbar definiert haben. In unserem Beispiel → BGP1* (169.254.255.2)
  • Entferntes AS: Hier wird das AS aus der Amazon VPC eingetragen → 7224
*Diese Einträge müssen für beide BGP Nachbarn unterschiedlich sein.
2.7 Wiederholen Sie den Vorgang für den zweiten BGP-Nachbar und klicken auf Hinzufügen.
Konfigurieren Sie die folgenden Parameter:
  • Name: Hier vergeben Sie einen beliebigen Namen für die Verbindung
  • IP-Adresse: Tragen Sie hier die Adresse des zweiten BGP Nachbarn aus der Amazon VPC Vorgabe ein, in unserem Beispiel → 169.254.255.5*
  • Absende-Adresse (opt.): Wählen Sie hier die im Schritt 2.2 definierte Loopback-Adresse aus. Beachten Sie dabei, dass Sie die korrekte Adresse aus dem /30 Subnetz wählen, passend zur IP-Adresse die Sie für diesen Nachbar definiert haben. In unserem Beispiel → BGP2* (169.254.255.6)
  • Entferntes AS: Hier wird das AS aus der Amazon VPC eingetragen → 7224
  • Eingangsregel/Ausgangsregel: Für die zweite Verbindung wird zusätzlich der im BGP Regelwerk (Schritt 2.3) angelegte Filter als Eingangs- und Ausgangsregel ausgewählt. In unserem Beispiel → FIL-AS_PATH5
*Diese Einträge müssen für beide BGP Nachbarn unterschiedlich sein.
2.8 Wechseln Sie in das Menü Routing Protokolle → BGP → IPv4-Netzwerke... und Klicken Sie auf Hinzufügen.
Hier tragen Sie nun Ihr lokales Netzwerk ein, welches Sie über die BGP Verbindung propagieren möchten. In unserem Beispiel → 10.38.0.0/16
Der Typ Dynamisch sorgt dafür, dass das Netzwerk nur dann propagiert wird, wenn es von Ihrem Gerät aktuell auch erreicht werden kann.
2.9 Wechseln Sie nun in das Menü Routing Protokolle → BGP → IPv4-Adressfamilie..., wählen Sie den DEFAULT Eintrag aus und klicken auf Bearbeiten...
Ändern Sie den Eintrag unter Selbst als nächsten Hop auf Ja.
2.10 Um die Konfiguration abzuschließen schalten Sie das BGP Modul, unter Routing Protokolle → BGP → Border Gateway Protokoll (BGP) aktiviert, ein.


Damit ist die Konfiguration abgeschlossen. Im LANmonitor können Sie prüfen, ob die BGP Verbindungen aufgebaut werden.
Alternativ können Sie auf der Konsole (CLI) mit dem Befehl ls Status/Routing-Protocols/BGP/Neighbors/ prüfen ob die beiden BGP Verbindungen aufgebaut wurden.
Mit dem Befehl ls Status/IP-Router/Act.-IP-Routing-Tab./ können Sie prüfen, ob Ihr LANCOM Router eine Route per eBGP empfangen hat.