Site-to-Site-VPN mit Ubiquiti und GCP: Die Schritt-für-Schritt-Anleitung

Drei Voraussetzungen müssen erfüllt sein, bevor Sie loslegen können.

1. Auf der On-Premise-Seite benötigen Sie einen UniFi-Router wie das UniFi Security Gateway (USG), UniFi Security Gateway Pro (USG3/USG4), die UniFi Dream Machine (UDM) oder die UniFi Dream Machine Pro (UDM Pro/UDMP). Außerdem brauchen Sie einen eingerichteten UniFi-Controller, der mit Ihrem Router verbunden ist. Bei den letzten beiden Modellen ist der Controller direkt im Gerät integriert.
2. Sie benötigen außerdem eine statische IP-Adresse für Ihre Verbindung. Falls Sie noch keine haben, fragen Sie bei Ihrem ISP nach – meist lässt sich gegen eine geringe Gebühr eine statische IP zu Ihrem Anschluss hinzufügen.
3. Auf der GCP-Seite benötigen Sie ein Projekt, in dem Ihr Nutzer mindestens die IAM-Rolle "Network Management Admin" besitzt.

Wie am Anfang jeder guten Spurensuche brauchen Sie vorab ein paar Informationen. Öffnen Sie am besten einen Texteditor, um die Werte für die späteren Schritte zu notieren.

Die erste Information ist schnell beschafft: Ihre statische IP-Adresse.

1. Am einfachsten ist es, "my IP" zu googeln – das Ergebnis erscheint direkt oben in der Trefferliste, sofern Sie sich von einem Rechner im selben Netzwerk aus suchen. Falls Sie nicht im selben Netzwerk sind, fragen Sie Ihren Administrator oder ISP nach der IP-Adresse.
2. Notieren Sie diese in Ihrem Texteditor unter Statische IP-Adresse für später.

Die zweite benötigte Information ist der Subnetz-IP-Adressbereich der On-Premise-Netzwerke, die Sie mit GCP verbinden möchten.

1. Melden Sie sich dazu mit einem Admin-Konto an Ihrem UniFi-Controller an.
2. Gehen Sie ins Menü Settings (Zahnrad-Symbol unten links) und dort auf die Seite Networks.
3. Suchen Sie die Netzwerke, die Sie verbinden möchten, und notieren Sie sich die Werte aus der Subnetz-Spalte.

Sie können hier auch mehrere Netzwerke auswählen. 4. Notieren Sie diese Werte in Ihrem Texteditor unter On-Prem-Subnetz für später.

Im folgenden Screenshot sehen Sie ein Beispiel: Ich möchte die Netzwerke "Gaming" und "Home Devices" mit GCP verbinden und notiere mir daher die folgenden IP-Bereiche in CIDR-Notation für später: 10.4.4.0/24 und 10.2.2.0/24.

Screenshot der Netzwerk-Einstellungen im UniFi-Controller

Lassen Sie diese Seite ebenfalls in einem Tab geöffnet – wir kehren später dorthin zurück.

Die letzte Information, die Sie benötigen, ist der Subnetz-IP-Adressbereich der GCP-Region, mit der Sie sich verbinden möchten. Dafür sollten Sie wissen, was sich in Ihrem Projekt befindet und in welcher Region es läuft.

Melden Sie sich dazu in der GCP-Konsole an:

1. Klicken Sie oben links auf das Hauptnavigationsmenü (drei Balken) und gehen Sie zu VPC network > VPC networks.
2. Auf der erscheinenden Seite sehen Sie ein oder mehrere Netzwerke mit einer Tabelle der Subnetze in verschiedenen Regionen. Das kann je nach Netzwerkdesign in jedem Projekt anders aussehen, daher gehe ich davon aus, dass Sie das Standard-Netzwerkdesign von GCP verwenden.
3. Gesucht ist die Region, in der Ihre Ressourcen liegen – in der Regel us-central1, je nach Netzwerk- und Infrastrukturdesign aber auch eine andere.
4. Sobald die richtige Region feststeht, notieren Sie sich den Wert in der Spalte IP address ranges.
5. Notieren Sie diesen in Ihrem Texteditor unter GCP-Netzwerkbereich.

Lassen Sie die GCP-Konsole in einem Tab geöffnet, da Sie sie für die nächsten Schritte benötigen.

Mehr brauchen Sie nicht – jetzt geht es an die Umsetzung.

GCP-Einrichtung Teil I: VPN-Gateway konfigurieren

Nun richten wir den VPN-Dienst von GCP ein.

1. Öffnen Sie den Tab mit der GCP-Konsole.
2. Klicken Sie oben links auf das Hauptnavigationsmenü.
3. Navigieren Sie zu Networking -> Hybrid connectivity -> VPN.
4. Klicken Sie dort auf Create VPN connection – damit beginnt die Einrichtung.
5. Wählen Sie zunächst die Option Classic VPN.

Hinweis zur Kompatibilität: Dieser Modus stellt nur ein einzelnes VPN bereit und bietet keine Redundanz, falls eine VPN-Verbindung ausfällt. Der Grund: Hochverfügbares VPN setzt BGP voraus, und UniFi-Netzwerkgeräte unterstützen BGP zum Zeitpunkt dieses Artikels nicht. 6. Geben Sie auf dem Erstellungsbildschirm im oberen Abschnitt für das VPN-Gateway einen aussagekräftigen Namen und eine Beschreibung ein. 7. Wählen Sie anschließend das gewünschte Netzwerk aus.

Meistens ist das das automatisch generierte Netzwerk mit dem Namen default; falls Sie ein eigenes Netzwerkschema verwenden, wählen Sie das passende. 8. Verfahren Sie ebenso mit der Region. Wählen Sie zuletzt eine bestehende externe IP-Adresse aus oder erstellen Sie eine neue.

Hier ein Screenshot eines korrekt konfigurierten VPN-Gateways in der GCP-Konsole.

Beispiel eines VPN-Gateways in der Region us-central1.

GCP-Einrichtung Teil II: VPN-Tunnel einrichten

Der zweite Abschnitt der Seite ist für den eigentlichen VPN-Tunnel zuständig – also den Mechanismus, der GCP und Ihr On-Premise-Netzwerk miteinander verbindet.

1. Scrollen Sie zum zweiten Abschnitt der Seite mit der Bezeichnung VPN tunnel.

2. Geben Sie einen aussagekräftigen Namen und eine Beschreibung ein.

3. Tragen Sie im Feld Remote peer IP address den/die Wert(e) On-Prem-Subnetz aus Ihrem Texteditor ein.

4. Stellen Sie sicher, dass im Feld IKE version der Wert IKEv2 steht.

5. Klicken Sie anschließend auf Generate and copy.

6. Notieren Sie diesen Wert in Ihrem Texteditor unter IKE-Schlüssel.

   Wichtiger Hinweis: Verlieren Sie diesen Wert nicht – nach dem Absenden der Seite ist er in GCP nicht mehr einsehbar.

7. Klicken Sie zuletzt im letzten Abschnitt auf den Tab Route-based.

8. Tragen Sie im Feld Remote network IP ranges den/die Wert(e) On-Prem-Subnetz aus dem UniFi-Controller in Ihrem Texteditor ein und drücken Sie nach jedem Eintrag die Eingabetaste, damit jeder Wert zu einer "Box" wird.

9. Prüfen Sie nach diesen Schritten, ob Ihre Werte denen im folgenden Screenshot ähneln.

10. Klicken Sie nach der Prüfung auf Done in diesem Bereich und auf Create am unteren Rand der Seite.

Beispielhafte Tunneleinrichtung mit den beiden im obigen Screenshot gezeigten On-Premise-Netzwerken.

Anschließend werden Sie zu den Seiten weitergeleitet, die den Status der VPN-Gateways und -Tunnel anzeigen. Die Bereitstellung der Dienste dauert einige Minuten.

Sobald die Bereitstellung abgeschlossen ist, sind nur noch wenige Schritte nötig, um die GCP-Konfiguration abzuschließen.

1. Sobald der Tunnel den Status First handshake mit einem gelben Ausrufezeichen daneben anzeigt, können Sie fortfahren.
2. In der Spalte Cloud VPN gateway erscheint eine IP-Adresse.
3. Notieren Sie diese in Ihrem Texteditor unter Cloud-VPN-IP.
4. Lassen Sie die GCP-Konsole vorerst in diesem Tab geöffnet, denn nach der Einrichtung des UniFi-Geräts kehren Sie hierher zurück.

UniFi-Einrichtung

Da die GCP-Seite konfiguriert ist und ein aktiver VPN-Tunnel sowie ein Gateway auf eine Verbindung warten, richten wir nun das UniFi-Gerät ein, um die On-Premise-Seite der VPN-Verbindung fertigzustellen.

1. Öffnen Sie den Tab mit dem UniFi-Controller wieder.
2. Klicken Sie in der Hauptnavigationsleiste links auf Site.
3. Auf der Seite Site finden Sie unter Services das Kontrollkästchen Enable advanced features, das aktiviert sein muss.
4. Falls es nicht aktiviert ist, setzen Sie das Häkchen und klicken Sie unten auf Apply. Die erscheinende Warnung können Sie an dieser Stelle ignorieren.
5. Klicken Sie nun auf die Seite Networks, um zur Netzwerkliste zurückzukehren. Klicken Sie unten auf Create New Network.
6. Auf dieser Seite müssen einige Optionen gesetzt werden. Ich liste sie zuerst auf und erkläre dann, was in jedes Feld gehört.
7. Wählen Sie unter Purpose die Option Site-to-Site VPN. Wählen Sie unter VPN Type die Option Manual IPSec. Klappen Sie Advanced Options aus und setzen Sie Key Exchange Version auf IKEv2.
8. Belassen Sie alles andere zunächst bei den Standardwerten.
9. Geben Sie zuerst einen Namen für das Netzwerk ein.
10. Klicken Sie auf Add Subnet und tragen Sie im erscheinenden Feld den Wert GCP-Netzwerkbereich aus Ihrem Texteditor ein.
11. Tragen Sie den Wert Cloud-VPN-IP aus Ihrem Texteditor in das Feld Peer IP ein.
12. Tragen Sie unter Local WAN IP die Statische IP-Adresse aus Ihrem Texteditor ein.
13. Fügen Sie zuletzt auf dieser Seite den IKE-Schlüssel aus Ihrem Texteditor ein. Bevor Sie auf Speichern klicken, prüfen Sie, ob Ihre Seite dem Screenshot unten entspricht – allerdings mit Ihren eigenen Werten.

Ihre Seite sollte genauso aussehen, nur mit anderen IP-Werten.

Zuletzt muss im UniFi-Controller eine statische Route angelegt werden, damit der Datenverkehr über diese VPN-Verbindung geleitet werden kann.

1. Wählen Sie im Hauptnavigationsbereich die Seite Routing & Firewall.
2. Klicken Sie auf Create New Route.
3. Geben Sie einen Namen für diese Route ein.
4. Tragen Sie den Wert GCP-Netzwerkbereich aus Ihrem Texteditor in das Feld Destination Network ein und setzen Sie distance auf 1.
5. Wählen Sie für Static Route Type die Option Interface und wählen Sie im Feld Interface den zuvor erstellten Netzwerknamen aus.
6. Klicken Sie auf Save – nun können Sie die Verbindung testen.

Falls Sie oben Enable advanced features aktiviert haben und diesen Modus nicht aktiv lassen möchten, deaktivieren Sie ihn wie folgt.

1. Klicken Sie in der Hauptnavigationsleiste links auf Site.
2. Entfernen Sie unter Services das Häkchen beim Kontrollkästchen Enable advanced features.
3. Klicken Sie unten auf Apply – damit ist der Modus wieder deaktiviert.

An diesem Punkt sollte die VPN-Verbindung eingerichtet und aktiv sein. Mit den folgenden Schritten prüfen Sie, ob die Verbindung wie erwartet steht.

1. Wechseln Sie zurück zum Tab mit der GCP-Konsole.
2. Falls Sie in diesem Tab die Seite gewechselt haben, navigieren Sie über das Hauptnavigationsmenü zu Networking -> Hybrid connectivity -> VPN.
3. Klicken Sie auf dieser Seite auf den Tab Cloud VPN Tunnels.
4. In der Spalte VPN tunnel status der Tabelle sollte ein grünes Häkchen neben dem Text Established erscheinen.

Beachten Sie, dass dies einige Minuten dauern kann. Mit dem Button Refresh oben können Sie die Daten aktualisieren, bis der Status erscheint. 5. Wenn alles passt, ist das VPN zwischen GCP und Ihrem On-Premise-UniFi-Gerät verbunden.

Damit ist überprüft, dass das VPN steht. Um sicherzugehen, dass die Verbindung auch ordnungsgemäß funktioniert, führen wir nun einen einfachen Test durch.

1. Stellen Sie sicher, dass die GCP-Konsole geöffnet ist.
2. Navigieren Sie im Hauptnavigationsmenü zu Compute Engine -> VM Instances.
3. Falls Sie noch keine Compute-Engine-Instanzen erstellt haben oder keine in der Region besitzen, in der oben Ihr VPN liegt, folgen Sie bitte dieser hervorragenden Anleitung vom YouTube-Kanal von GCP, um eine temporäre Instanz zum Testen zu erstellen, und stellen Sie sicher, dass Sie diese in der richtigen Region anlegen: https://www.youtube.com/watch?v=1XH0gLlGDdk
4. Suchen Sie in Ihrer Liste der Compute-Engine-Instanzen eine, die in der Region liegt, in der Sie oben das VPN erstellt haben. Standardmäßig ist das us-central1.
5. Notieren Sie sich für diese Instanz den Wert in der Spalte Internal IP.
6. Öffnen Sie ein Terminalfenster.
7. Führen Sie den folgenden Befehl aus und ersetzen Sie dabei die interne IP aus dem vorherigen Schritt:

ping <internal IP>

Der Befehl sollte daraufhin Zeilen ausgeben, die die empfangenen Bytes von dieser IP-Adresse und die Latenzzeit anzeigen. Erscheinen diese Ausgaben, ist Ihr VPN verbunden und einsatzbereit. Glückwunsch – das ist nicht der einfachste Prozess.

Falls es Probleme gibt, finden Sie im nächsten Abschnitt Tipps zur Fehlersuche.

Falls Probleme auftreten, hier einige Tipps zur Fehlersuche, die ich beim Schreiben dieses Artikels gesammelt habe:

Stackdriver-Logs sind Ihre besten Freunde. Häufig liefern die Logs des VPN-Gateways oder des VPN-Tunnels Hinweise darauf, woran die VPN-Verbindung scheitert.

Prüfen Sie außerdem die statische Route auf Ihrem UniFi-Controller, um sicherzugehen, dass die Werte korrekt sind.

Manchmal speichert Ihr lokaler Rechner ICMP-Routing-Tabellen zwischen. Bei mir hat ein Neustart das Problem behoben.

Prüfen Sie die Firewall-Regeln in GCP und im UniFi-Controller, damit die Kommunikation zwischen internen Knoten nicht blockiert wird. Beachten Sie: Über VPN kommuniziert Ihr Netzwerk mit privaten IPs in GCP.

Der UniFi-Controller ist im Grunde eine Linux-Maschine, auf die Sie per SSH zugreifen und auf der Sie grundlegende Befehle ausführen können. Im Controller gibt es auf der Seite General eine Option, um den SSH-Zugriff zu aktivieren oder zu deaktivieren und Zugangsdaten festzulegen. Vom Controller aus sollten Sie die internen GCP-IPs anpingen oder per Traceroute erreichen können.

Stellen Sie sicher, dass Ihre statische IP korrekt eingerichtet und auf dem Router zugewiesen ist.

Verwenden Sie zum Testen immer die internen GCP-IPs und nicht die externen – Letztere leiten den Datenverkehr nicht über den VPN-Tunnel.