Dieses Szenario geht davon aus, dass die Amazon Cloud als Erweiterung eines lokalen LANs beziehungsweise Rechenzentrums verwendet werden soll. Amazon stellt für diesen Zweck netzseitig VPN-Gateways bereit, die mit verschiedenen Hardware-VPN-Routern und Firewalls – darunter die Sophos-UTM-Firewall – kompatibel sind. Die VPN-Anbindung kann dabei entweder über statisches oder dynamisches Routing erfolgen.
Das dynamische Routing von IPsec-VPN-Tunneln setzt die Unterstützung des Border Gateway Protocols (BGP) voraus. Unter [6] stellt Amazon eine Liste der kompatiblen VPN-Hardware-Devices bereit, die auch Auskunft zur BGP-Unterstützung gibt. Für kompatible Geräte lassen sich im VPC-Wizard Konfigurationsdateien erstellen, die dann einfach in das lokale VPN-Gerät eingelesen werden.
Um den VPC-Connector mit einer lokal installierten Sophos-UTM-Firewall zu nutzen, muss sie mit einer festen IP-Adresse ans Internet angebunden und mit der Software-Version 9 bestückt sein. Die Verwendung von Hostnamen statt fester IP-Adressen für die IPsec-Verbindung wird leider nicht unterstützt. Netzwerke, die über eine dynamische IP-Adresse ans Internet angebunden sind, bleiben daher außen vor und können den VPC-Connector nicht verwenden. Sind diese Voraussetzungen gegeben, ist die Einrichtung der VPN-Verbindung kinderleicht ( Abbildung 7 ).
Um das lokale Netzwerk mit den Ressourcen im virtuellen Rechenzentrum bei Amazon zu verbinden, benötigen Sie zunächst eine weitere Virtual Private Cloud, diesmal aber mit VPN-Zugriff. Starten Sie den Wizard über das VPC-Dashboard und wählen Sie
»VPC with a Private Subnet Only and Hardware VPN Access
«
(
Abbildung 8
). Der Wizard fragt zunächst die öffentliche IP-Adresse des lokal installierten VPN-Gateways ab. Im Falle eines Sophos-UTM-Systems ist dies die offizielle IP-Adresse der externen Netzwerkkarte der Firewall. Bei den Routing-Optionen können Sie zwischen statischem und dynamischen Routing wählen.
Da Sophos-UTM das Border Gateway Protocol (BGP) unterstützt, soll dynamisches Routing zum Einsatz kommen. Wie in Szenario 1 steht im nächsten Schritt nun wieder die Definition des VPC-Netzes an. In diesem erzeugen Sie wieder ein Subnetz, in dem später die Server laufen, die über die VPN-Verbindung mit dem lokalen Netz gekoppelt werden sollen:
VPC: 192.168.12.0/22 Private Subnet: 192.168.15.0/24
Nach einigen Minuten hat Amazon die VPC erzeugt und bietet den Download einer Konfigurationsdatei für den VPN-Zugriff an. Damit die Konfigurationsdatei eingelesen werden kann, müssen Sie hier das korrekte Format wählen. In diesem Fall ist das
»Sophos UTM V9
«
. Laden Sie die Datei herunter und speichern Sie sie auf Ihrem Rechner.