Lobster Cloud unterstützt ausschließlich Site-to-Site-VPN-Verbindungen für die sichere Kommunikation zwischen Ihrem On-Premises-Netzwerk und Ihrer Lobster Cloud-Umgebung. Diese Seite behandelt die verfügbaren VPN-Optionen, Anwendungsfälle, technische Voraussetzungen und wichtige Einschränkungen.
Was enthalten ist
Leistung | Details |
|---|---|
Enthaltene VPN-Verbindungen | 2× Site-to-Site-VPN-Verbindungen pro Kundenumgebung |
Maximale VPN-Verbindungen | 5 pro Kundenumgebung (VPC) |
Zusätzliche VPN-Verbindungen | Gegen Aufpreis verfügbar. Kontaktieren Sie bitte Ihren Lobster-Vertriebskontakt. |
Unterstützte Verbindungstypen
Lobster bietet ausschließlich die folgenden AWS-Verbindungsdienste für das Cloud-Hosting an:
Verbindungstyp | Status |
|---|---|
Site-to-Site-VPN (IPsec/IKE) | Unterstützt |
VPC Peering (zwischen zwei AWS-Konten) | In Ausnahmefällen verfügbar. Muss vom Kunden initiiert werden. |
Transit Gateway | Nicht unterstützt |
AWS PrivateLink | Nicht unterstützt |
AWS Direct Connect | Nicht unterstützt |
Client VPN | Nicht unterstützt |
Wichtig
Alle weiteren AWS-Netzwerkverbindungsdienste, die oben nicht aufgeführt sind, sind nicht Bestandteil des Lobster Cloud-Angebots und werden nicht unterstützt.
Wann Sie ein VPN benötigen
Eine VPN-Verbindung ist erforderlich, wenn Ihr Lobster-Cloud-System mit Ressourcen innerhalb Ihres privaten On-Premise-Netzwerks kommunizieren muss. Typische Anwendungsfälle sind:
Anwendungsfall | Beschreibung |
|---|---|
Lokale Datenbankanbindung | Verbindung zu einer Datenbank innerhalb Ihres internen Netzwerks (beispielsweise SQL Server, Oracle, MySQL). |
SAP-Anbindung | Integration mit SAP-Systemen, die in Ihrer On-Premise-Umgebung laufen. |
SMB/NFS-Dateifreigabezugriff | Zugriff auf freigegebene Ordner in Ihrem lokalen Netzwerk. Stellen Sie sicher, dass Port 445 für SMB-Verbindungen geöffnet ist. |
ERP-Systemintegration | Verbindung zu ERP- oder anderen Unternehmenssystemen, die nicht öffentlich erreichbar sind. |
Wann Sie kein VPN benötigen
Eine VPN-Verbindung ist für folgende Szenarien nicht erforderlich:
Szenario | Beschreibung |
|---|---|
Zugriff auf die Lobster Data Platform | Die Plattform ist öffentlich über HTTPS erreichbar. Für die Anmeldung und Arbeit mit Ihrem System ist kein VPN erforderlich. |
Externe Partnerintegrationen | Die Verbindung mit externen Partnern über AS2, HTTPS, SFTP oder andere Standardprotokolle erfordert kein VPN. |
Cloud-zu-Cloud-Integrationen | Die Verbindung zu anderen cloudbasierten Diensten oder APIs, die über das Internet erreichbar sind. |
Technische Voraussetzungen
Um eine Site-to-Site-VPN-Verbindung herzustellen, muss Ihr On-Premise-Netzwerk die folgenden Voraussetzungen erfüllen:
Voraussetzung | Details |
|---|---|
Firewall-Kompatibilität | Ihre Firewall muss IPsec/IKE-Protokolle unterstützen. |
Statische öffentliche IP | Ihre Firewall muss über eine statische öffentliche IP-Adresse verfügen. Dynamische IP-Adressen werden nicht unterstützt. |
Netzwerkbereich | Ihr interner Netzwerkbereich darf sich nicht mit dem Netzwerkbereich überschneiden, der während des Onboardings für Ihre Lobster-Cloud-Umgebung ausgewählt wurde. |
Kundenseitige Konfiguration | Lobster ist ausschließlich für die VPN-Konfiguration auf der AWS-Seite verantwortlich. Sie sind für die Konfiguration auf Ihrer On-Premise-Firewall verantwortlich. |
Netzwerkbereichsplanung
Die VPN-Verbindung leitet den Datenverkehr zwischen Ihrem On-Premise-Netzwerk und Ihrer Lobster Cloud VPC. Die Netzwerkbereiche auf beiden Seiten dürfen sich nicht überschneiden. Während des Onboardings wählen Sie einen von drei privaten Netzwerkbereichen für Ihre Lobster Cloud-Umgebung:
Option | Netzwerkbereich |
|---|---|
Option 1 | 10.248.249.0/24 |
Option 2 | 172.16.249.0/24 |
Option 3 | 192.168.249.0/24 |
Der Netzwerkbereich kann nach der Bereitstellung nicht mehr geändert werden. Wenn Sie einen dieser Bereiche bereits in Ihrem On-Premise-Netzwerk verwenden, wählen Sie eine der anderen Optionen, um Konflikte zu vermeiden. Lobster bespricht die optimale Wahl mit Ihnen während des Onboardings, um die Notwendigkeit von NAT-Routing zu vermeiden.
NAT-Routing
Wichtig
NAT-Routing ist auf der Lobster Cloud Seite nicht verfügbar. Wenn NAT-Routing für Ihr Setup erforderlich ist, muss dies auf Ihrer On-Premise-Firewall implementiert werden. Lobster arbeitet mit Ihnen während des Onboardings zusammen, um einen geeigneten Netzwerkbereich zu finden, der die Notwendigkeit von NAT-Routing nach Möglichkeit vermeidet.
Latenz
Latenz ist ein wichtiger Faktor bei der Entscheidung zwischen Cloud-Hosting mit VPN und einem On-Premise-Deployment. Die folgenden Werte bieten Orientierung für typische Szenarien:
Verbindungstyp | Typische Latenz | Geeignet für |
|---|---|---|
VPN Site-to-Site | 20 bis 50 ms | Standard-Geschäftsintegrationen, Batchverarbeitung, EDI |
VPN-Einrichtungsprozess
Schritt | Beschreibung |
|---|---|
1 | Lobster stellt Ihnen ein VPN-Connection-Sheet mit allen erforderlichen Konfigurationsdetails für Ihre On-Premise-Firewall bereit. |
2 | Lobster konfiguriert das VPN auf der Lobster-Seite (Virtual Private Gateway, Customer Gateway, VPN-Tunnel). |
3 | Sie konfigurieren das VPN auf Ihrer On-Premise-Firewall anhand der Details aus dem VPN-Connection-Sheet. |
4 | Beide Seiten verifizieren die Konnektivität. Der VPN-Tunnel ist verschlüsselt und der gesamte Datenverkehr zwischen Ihrem Netzwerk und der Lobster Cloud VPC wird gesichert, ohne das öffentliche Internet zu durchqueren. |
Hinweis
Das VPN kann separat nach der Installation Ihres Systems eingerichtet werden. Es muss nicht gleichzeitig mit der initialen Bereitstellung konfiguriert werden.
Verantwortlichkeiten
Bereich | Lobster | Kunde |
|---|---|---|
VPN-Konfiguration (Lobster-Seite) | Volle Verantwortung | Kein Handlungsbedarf |
VPN-Konfiguration (Kundenseite) | Nicht durch Lobster verwaltet | Volle Verantwortung |
Firewall-Konfiguration | Ausschließlich AWS Security-Groups | Ihre On-Premises-Firewall |
Fehlerbehebung | AWS-seitige Diagnose | Kundenseitige Diagnose |
Wichtig
Sie haben eine Mitwirkungspflicht bei der VPN-Einrichtung. Zeitnahe Kommunikation und eine korrekte Konfiguration auf Ihrer Seite tragen dazu bei, den Einrichtungsprozess effizient und im angemessenen Kostenrahmen zu halten.
VPN-Konfigurationsdetails
Während der VPN-Einrichtung werden die folgenden Informationen zwischen Lobster und dem Kunden ausgetauscht.
Wichtige Hinweise
AWS VPN ist auf ein einzelnes Security Association (SA)-Paar pro Tunnel beschränkt (jeweils eine eingehende und eine ausgehende) in Phase 2.
NAT-Routing ist auf der AWS-Seite nicht möglich.
Bei mehreren Subnetzen muss NAT-Routing auf Kundenseite eingerichtet, CIDR-Blöcke zusammengefasst oder separate VPNs erstellt werden.
Der Pre-Shared Key muss separat ausgetauscht werden (z. B. über ein Teams-Meeting).
AWS-Referenz: https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html
Kontakt- und Geräteinformationen
Lobster DATA GmbH | Kunde | |
|---|---|---|
Gerätetyp | Lobster Site-to-Site-VPN | |
Öffentliche IP-Adresse | ||
Lokaler Netzwerkbereich |
Routing-Option
Routing-Typ | Details |
|---|---|
Statisch | Lokales Netzwerk des Kunden |
Dynamisch (BGP) | Autonomous System Number (ASN) |
AWS-VPN-Tunnelparameter
Parameter | Phase 1 – IKE | Phase 2 – IPsec |
|---|---|---|
IKE-Version | 2 | 2 |
Standardmodus | Main | – |
Authentifizierungsmethode | Pre-Shared Key (PSK) | – |
Verschlüsselungsalgorithmen | AES256 | AES256 |
Integritätsalgorithmen | SHA2-256 | SHA2-256 |
Perfect Forward Secrecy | DH Group 14 | DH Group 14 |
Gültigkeitsdauer (Sekunden) | 28800s | 3600s |
Standard-Startaktion | Add | – |
VPN-Verfügbarkeit
Jede AWS Site-to-Site-VPN-Verbindung umfasst zwei Tunnel, die jeweils in einer separaten AWS Availability-Zone terminieren. Fällt ein Tunnel oder eine Availability-Zone aus, wird der Datenverkehr automatisch über den zweiten Tunnel geleitet. Auf Ihrer Seite sind in diesem Szenario keine Änderungen erforderlich.
Standard-Tunnel-Konfiguration
Standardmäßig konfiguriert Lobster einen Tunnel pro VPN-Verbindung. Dies deckt den Großteil der Anwendungsfälle ab und hält den Konfigurationsaufwand auf Ihrer Firewall überschaubar. Sofern Ihre Firewall den Betrieb beider Tunnel unterstützt und Sie die zweite Tunnel-Verbindung für zusätzliche Ausfallsicherheit aktivieren möchten, sprechen Sie dies bitte direkt bei der VPN-Einrichtung mit dem Lobster-Team an.
Wichtig
Wenn beide Tunnel auf Ihrer On-Premise-Firewall konfiguriert werden, müssen beide aktiv sein. Eine VPN-Verbindung mit nur einem konfigurierten Tunnel bietet keine Tunnel-Redundanz.
Routing und Failover-Verhalten
Das Failover-Verhalten zwischen den Tunneln hängt vom konfigurierten Routing-Typ Ihrer VPN-Verbindung ab.
Bei dynamischem Routing (BGP) erfolgt das Failover vollständig automatisch. BGP tauscht kontinuierlich Routing-Informationen zwischen Ihrer Firewall und dem AWS-seitigen Gateway aus. Wird ein Tunnel nicht mehr erreichbar, erkennt BGP dies automatisch und leitet den Datenverkehr ohne manuellen Eingriff über den verbleibenden Tunnel um.
Bei statischem Routing leitet die AWS-Seite den Datenverkehr automatisch auf den verfügbaren Tunnel um. Ihre On-Premise-Firewall muss jedoch so konfiguriert sein, dass sie beide Tunnel aktiv überwacht und im Fehlerfall auf den verfügbaren Tunnel wechselt. Die genaue Konfiguration ist abhängig von Ihrer Firewall und dem jeweiligen Hersteller. Wir empfehlen, diese Anforderung mit Ihrem Firewall-Hersteller oder -Administrator zu klären.
Inkludierte VPN-Verbindungen
Ihre Lobster-Cloud-Umgebung umfasst zwei VPN-Verbindungen, die unabhängig voneinander zur Verfügung stehen. Im Standardsetup wird jede Verbindung für ein separates Netzwerksegment oder einen separaten Standort genutzt. Wenn Sie Connection-Redundanz benötigen, also zwei separate VPN-Verbindungen, die jeweils auf einer dedizierten On-Premise-Firewall terminieren, werden beide inkludierten Verbindungen für diesen Zweck verwendet. Dies erfordert zwei separate On-Premise-Firewall-Geräte, jeweils mit einer statischen Public-IP-Adresse.
Regionaler Geltungsbereich
Die VPN-Verbindung ist an die AWS-Region gebunden, in der Ihre Lobster Cloud-Umgebung betrieben wird. Die Redundanz gilt innerhalb dieser Region über mehrere Availability Zones hinweg. Im Falle eines vollständigen regionalen AWS-Ausfalls ist das Virtual Private Gateway an diese Region gebunden und folgt einem Workload in eine andere Region nicht automatisch. Die Wiederherstellung in einem solchen Szenario erfordert einen koordinierten Prozess einschließlich einer VPN-Neukonfiguration.
Für den normalen Betrieb und Ausfälle auf Availability-Zone-Ebene bleibt Ihre VPN-Verbindung automatisch aufrechterhalten.
Routing-Limits
Sowohl statisches als auch dynamisches Routing (BGP) unterliegt bei Verwendung eines Virtual Private Gateway einem Limit von maximal 100 Routen pro VPN-Verbindung. Bei statischem Routing können nicht mehr als 100 statische Routen konfiguriert werden. Bei BGP wird die BGP-Session zurückgesetzt, wenn mehr als 100 Routen von Ihrem Customer-Gateway-Device advertised werden. Wenn Ihr On-Premise-Netzwerk eine große Anzahl an Subnetzen umfasst, empfehlen wir, diese mittels Route-Summarization zusammenzufassen, um innerhalb dieses Limits zu bleiben.
Verantwortlichkeiten
Bereich | Lobster | Kunde |
|---|---|---|
VPN-Konfiguration (Lobster-Seite) | Volle Verantwortung | Keine Maßnahme erforderlich |
VPN-Konfiguration (Kundenseite) | Nicht durch Lobster verwaltet | Volle Verantwortung |
Firewall-Konfiguration | Security-Groups | Ihre On-Premise-Firewall |
Fehlerbehebung | Lobster-seitige Diagnose | Kundenseitige Diagnose |
Wichtig
Ihre Mitwirkung bei der VPN-Einrichtung ist zwingend erforderlich. Zeitnahe Rückmeldungen sowie eine korrekte Konfiguration auf Ihrer Seite sind notwendig, um einen reibungslosen Einrichtungsprozess und einen kontrollierten Ressourceneinsatz sicherzustellen.