UiPath Documentation
orchestrator
latest
false
Wichtig :
Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
UiPath logo, featuring letters U and I in white

Orchestrator-Anleitung

Letzte Aktualisierung 4. März 2026

Konfigurieren einer VPN für Cloud-Roboter

Sie können ein VPN-Gateway für einen Mandanten erstellen, damit Ihre VM-Cloud Robots oder serverlosen Cloud Robots auf Ihre lokalen Ressourcen hinter einer Firewall zugreifen können.

Beschreibung auf dieser Seite:
  • Funktionsweise des UiPath VPN-Gateways auf Netzwerkebene.
  • Wie Sie CIDR-Bereiche, Routing, Firewall-Regeln und DNS richtig planen.
  • So konfigurieren Sie Site-to-Site-VPN-Verbindungen, einschließlich statisches Routing, BGP und benutzerdefinierter IPsec- oder IKE-Richtlinien.

Voraussetzungen

Wichtig:

Die Installation von benutzerdefinierter Software auf Ihrer VM, z. B. VPN-Clients, kann die Core Services beeinträchtigen und die VM unbrauchbar machen. Verwenden Sie stattdessen die Konfiguration in diesem Kapitel.

Um das VPN-Gateway einzurichten, müssen Sie die folgenden Anforderungen erfüllen:

  • Sie müssen ein Organisationsadministrator in der Automation CloudTM sein.
  • Sie benötigen eine Orchestrator-Rolle, die die Berechtigung Maschinen – Bearbeiten enthält.

  • Von Ihrem Netzwerkadministrator benötigte Informationen:

    • Eine Liste der reservierten IP-Adressbereiche in Ihrer lokalen Netzwerkkonfiguration in CIDR-Notation. Als Teil der Konfiguration müssen Sie die IP-Adressbereichspräfixe angeben, die wir an Ihren lokalen Standort weiterleiten.

    • Die privaten CIDRs, die UiPath über das VPN erreichen soll (Ihre lokalen Netzwerke).
    • Ein Pre-Shared Key (PSK) für jedes VPN-Gerät.
      Wichtig:

      Die Subnetze Ihres lokalen Netzwerks dürfen sich nicht mit den Subnetzen des virtuellen Netzwerks überschneiden, mit denen Sie eine Verbindung herstellen möchten.

    • Verwenden Sie kompatible VPN-Geräte und stellen Sie sicher, dass Sie in der Lage sind, diese zu konfigurieren, wie unter Über VPN-Geräte für Verbindungen – Azure VPN Gateway beschrieben. Weitere Informationen zu den Standardverbindungsparametern finden Sie unter Standardrichtlinien für Azure.
    • Ihr VPN-Gerät muss nach außen gerichtete, öffentliche IPv4-Adressen verwenden.
    • Hinweis:

      Der vorab freigegebene Schlüssel muss aus maximal 128 druckbaren ASCII-Zeichen bestehen.

      Verwenden Sie keine Leerzeichen, Bindestriche - oder Tilde ~.

Das VPN-Gateway-Workflowschema

Dieses Schema zeigt, wie die VPN-Verbindung zwischen Ihrem lokalen Netzwerk und UiPath Cloud Robot-Netzwerken hergestellt wird.

Durch die Verbindung mit einem VPN-Gateway können VM-basierte Cloud-Roboter (ACR-VM-Pools) und serverlose Roboter auf eingeschränkte Ressourcen in Ihrem lokalen Netzwerk zugreifen.
Abbildung 1. Workflow-Schema des VPN-Gateways Das VPN-Gateway-Workflowschema
Der Ablauf ist wie folgt:
  1. Identifizieren Sie die lokalen CIDRs, die UiPath erreichen soll (Ihre internen privaten Adressbereiche). Dies sind die CIDRs, die über das VPN erreichbar sein müssen.

  2. Geben Sie in Ihrem lokalen Netzwerk die IP-Bereiche der ACR-VM-Pools (6, 7) an, um deren Datenverkehr in das Netzwerk zu ermöglichen.

  3. Erstellen Sie das UiPath VPN-Gateway-Netzwerk (Gateway-Subnetz-CIDR). Dieses Netzwerk hostet nur die VPN-Gateway-Ressourcen (Tunnel-Endpunkte und BGP-Peering).
    • Unterstützte Mindestanzahl: /27
    • Empfohlen: /25 oder größer
    • Private Endpunkte erfordern /25 oder größer
    • Kann nach der Erstellung nicht geändert werden
  4. UiPath erstellt eine öffentliche IP für das VPN-Gateway. Ihr lokales VPN-Gerät verwendet diese öffentliche IP als Remote-Peer. BGP-Peer-Adresse und ASN sind ebenfalls verfügbar, sobald die Bereitstellung abgeschlossen ist.
  5. Erstellen Sie einen Site-to-Site-Tunnel zwischen der öffentlichen IP Ihres On-Premises VPN-Geräts und der öffentlichen IP des UiPath VPN-Gateways.
  6. Das Routing ist festgelegt (statisch oder BGP):
    • Statisches Routing (BGP in der Verbindung deaktiviert): Sie geben die lokalen CIDRs für die Verbindung ein; Nur diese Bereiche werden an die lokale Umgebung weitergeleitet.
    • Dynamisches Routing (BGP auf der Verbindung aktiviert): Routen werden dynamisch ausgetauscht.
  7. Der Roboterdatenverkehr stammt von Roboter-CIDRs und nicht vom Gateway-CIDR:
    • Jedes ACR VM-Pool-CIDR (jeder Pool hat ein eigenes CIDR).
    • Das einzelne serverlose Roboter-CIDR (eines pro Mandant).
  8. Ihre lokale Firewall (und alle zwischengeschalteten Firewalls) müssen eingehende Verbindungen von den Roboter-CIDRs zu den lokalen Ressourcen zulassen und das Return Routing zurück zu diesen Roboter-CIDRs (statische Route oder BGP) sicherstellen.
Wichtig:

Das VPN-Gateway führt kein NAT durch. CIDRs dürfen sich nicht überschneiden und Quell-IPs müssen in beide Richtungen weiterleitbar sein.

Schritt 1. Erstellen Sie das VPN-Gateway

So erstellen Sie ein VPN-Gateway für einen Mandanten:

  1. Wechseln Sie in der Automation CloudTM zu Administrator.

    Wenn nicht bereits aktiviert, aktivieren Sie die neue Administratorumgebung mithilfe des Umschalters im Header.

  2. Wählen Sie im Mandantenbereich auf der linken Seite den Mandanten aus, für den Sie ein VPN-Gateway erstellen möchten.

    Die Einstellungsseite für den ausgewählten Mandanten wird geöffnet.

  3. Wählen Sie die Kachel VPN-Gateway aus.
  4. Wählen Sie Gateway für Mandant erstellen aus. Der Bereich Verbindung erstellen wird geöffnet
  5. Geben Sie im Feld Name einen Namen für das Gateway ein, wie er auf der Seite VPN-Gateway des Mandanten angezeigt werden soll.
  6. Fügen Sie im Feld Adressraum für VPN Gateway vnet die IP-Adressen hinzu, die Sie von Ihrem Netzwerkadministrator erhalten haben.
    • CIDR-Notation verwenden
    • Unterstützte Mindestanzahl: /27
    • Empfohlen: /25 oder größer (private Endpunkte erfordern /25 oder größer).
    • Kann nach der Erstellung nicht geändert werden.
    Wichtig:
    • Vnet-Bereiche für das Gateway oder für den VM-Pool können nach der Erstellung nicht geändert werden.
    • Selbst wenn Sie dem VPN-Gateway-Netzwerk einen CIDR-Block zuweisen (z. B. /25), stammt der Verkehr von Maschinenpools oder serverlosen Maschinenvorlagen mit aktiviertem VPN nicht von diesem CIDR.

      Die tatsächlichen Quell-IP-Adressen, die für ausgehenden Datenverkehr verwendet werden, sind die der CIDRs, die dem einzelnen Maschinenpool oder der serverlosen Vorlage zugewiesen sind.

      Stellen Sie sicher, dass der Verkehr von den CIDRs Ihrer Maschinenpools oder serverlosen Vorlagen zugelassen ist, nicht vom CIDR des VPN-Gateway-Netzwerks.

  7. (Optional) Wenn Sie ein DNS für diese Verbindung verwenden möchten, wählen Sie DNS-Adresse hinzufügen aus und dann:
    1. Fügen Sie im Feld DNS-Adresse eine DNS-Adresse hinzu.
    2. Um zusätzliche DNS-Adressen hinzuzufügen, wählen Sie Mehr hinzufügen aus, um ein weiteres Feld hinzuzufügen, und fügen Sie dann die Adresse zu diesem Feld hinzu.
      Hinweis: Sie können DNS-Adressen später hinzufügen, nachdem das VPN-Gateway erstellt wurde. Dazu müssen Sie jedoch alle VMs neu starten, die mit dem Gateway verbunden sind.
  8. Wählen Sie Erstellen unten im Bereich aus, um die VPN Gateway-Verbindung zu erstellen.

Der Bereich wird geschlossen und der Status des VPN-Gateways lautet Bereitstellen.

Nach Abschluss wird der Status Bereitgestellt auf der Karte des Gateways angezeigt.

Hinweis: Wenn der Status Fehlgeschlagen ist, löschen Sie das Gateway und erstellen Sie es neu, indem Sie die vorherigen Anweisungen befolgen.

Schritt 2. Cloud-Roboter-Vorlagen erstellen

Hinweis: Das VPN-Gateway muss den Status Bereitgestellt anzeigen, bevor Sie diesen Schritt ausführen können.

Das Vnet für eine Cloud-Roboter-Vorlage wird erstellt, wenn jede Vorlage erstellt wird.

Cloud robots - VM

Erstellen Sie in Orchestrator einen oder mehrere Cloud robot - VM-Pools gemäß den Anweisungen unter Erstellen des Cloud robot Pools.Stellen Sie während der Einrichtung sicher, dass Sie die Option VPN-Gateway verbinden auswählen.

Für jeden Pool können Sie den VPN-Status auf der Seite Maschinen > Verwalten von Cloud Robot – VM überwachen.

Hinweis:

Vorhandener Cloud-Roboter – VM-Pools können keine Verbindung mit dem VPN-Gateway herstellen. Sie müssen neue erstellen.

Darüber hinaus haben Sie bei Pools, die für die Verbindung mit dem VPN-Gateway des Mandanten eingerichtet wurden, die Möglichkeit, den Pool zu bearbeiten und den Umschalter VPN-Integration aktivieren zu deaktivieren, um die Verbindung zum Pool zu trennen. Sobald die Verbindung getrennt ist, können Sie den Pool nicht wieder mit dem VPN-Gateway verbinden.

Cloud Robots - Serverless

Bearbeiten oder erstellen Sie in Orchestrator Vorlagen für Cloud robot - Serverless, indem Sie die Anweisungen unter Automatisierung Cloud™ robots - Serverless befolgen.Stellen Sie während der Einrichtung sicher, dass Sie die Optionen auf der Seite Netzwerkkonfiguration konfigurieren.

Schritt 3. Erstellen der Site-to-Site-Verbindung

Nachdem Sie das VPN-Gateway bereitgestellt haben, können Sie jetzt Ihre lokalen Netzwerke damit verbinden.

Die Gateway-Karte zeigt die öffentliche IP-Adresse an, die eine wesentliche Information für die Tunnelkonfiguration ist.

So konfigurieren Sie das VPN-Gateway für die Verbindung mit einem VPN-Gerät:

  1. Wechseln Sie in der Automation CloudTM zu Administrator > Mandant > VPN-Gateway.
  2. Wählen Sie auf der Kachel für das Gateway die Option Verbindung hinzufügen aus.

    Der Bereich „Verbindung erstellen“ wird geöffnet.

  3. Geben Sie Werte für die folgenden Felder an:
    OptionBeschreibung

    Verbindungsname *

    Geben Sie einen Namen für Ihre Verbindung an.

    Freigegebener Schlüssel (PSK)*

    Schreiben Sie einen geheimen Ausdruck oder eine Zeichenfolge. Sie müssen sich diesen genauen Schlüssel merken und ihn angeben, wenn Sie die Verbindung auf Ihrem lokalen Gerät konfigurieren.

    Öffentliche IP für das VPN-Gerät *

    Geben Sie die öffentliche IP-Adresse Ihres lokalen VPN-Geräts an. Wichtig: Geben Sie nicht die öffentliche IP-Adresse des VPN-Gateways an, das auf der Karte angezeigt wird. Diese öffentliche IP des Gateways muss auf Ihrem lokalen Gerät als Remote-Peer konfiguriert werden.

  4. Wählen Sie den Routing-Typ für diese Verbindung zwischen statischem Routing (BGP deaktiviert) oder dynamischem Routing (BGP aktiviert) aus.
    Ein einzelnes UiPath VPN-Gateway kann eine Mischung aus BGP- und Nicht-BGP-Verbindungen hosten.
    1. Statisches Routing (BGP deaktiviert)
      Wenn BGP für die Verbindung deaktiviert ist, müssen Sie konfigurieren, an welche lokalen CIDRs UiPath weitergeleitet werden soll.

      Adressraum für das lokale Gerät *: Geben Sie alle privaten CIDRs in Ihrem lokalen Netzwerk an, die über diese Verbindung erreichbar sein müssen.Nur diese Bereiche werden über diesen Tunnel an Ihre lokale Umgebung weitergeleitet.

      Hinweis:

      Wenn Sie DNS-Server-IP-Adressen auf dem Gateway konfiguriert haben, stellen Sie sicher, dass diese DNS-IPs unter eines der hier definierten lokalen CIDRs fallen (damit das Gateway sie durch den Tunnel erreichen kann).

    2. Dynamisches Routing (BGP aktiviert)
      Wenn BGP für die Verbindung aktiviert ist:
      • Routen werden dynamisch ausgetauscht.
      • UiPath wirbt:
        • CIDRs aller ACR-VM-Pool.
        • Das CIDR des serverlosen Roboters
      • Ihr lokales Gerät gibt seine lokalen CIDRs an.
      Geben Sie Werte für die folgenden Felder an:
      • Lokale ASN: Die ASN, die von Ihrem lokalen VPN-Gerät verwendet wird.
      • BGP-Peer-Adresse: Die IP-Adresse, die von Ihrem lokalen Gerät für BGP-Peering verwendet wird.

      Wenn einer der Werte fehlt oder falsch ist, wird BGP nicht eingerichtet.

  5. Optional können Sie benutzerdefinierte Konfigurationen für die IPsec/IKE-Richtlinie definieren. Verwenden Sie diesen Abschnitt, um die Kompatibilität mit den spezifischen Sicherheitseinstellungen sicherzustellen, die von Ihrem lokalen VPN-Gerät benötigt werden, oder um erweiterte Sicherheitsrichtlinien zu implementieren, die auf die Anforderungen Ihrer Organisation zugeschnitten sind. Aktivieren Sie dazu den Umschalter Benutzerdefinierte IPsec/IKE-Richtlinie .
    Hinweis: Es wird nur IKEv2 unterstützt.
    1. Geben Sie für IKE-Phase 1 Werte für die folgenden Felder an:
      Verschlüsselung *

      Geben Sie die übereinstimmende Verschlüsselungsmethode für den ersten sicheren Schlüsselaustausch an (IKE-Phase 1). Dieser muss mit der UiPath-Gateway-Einstellung identisch sein (z. B. AES-256, GCMAES).

      Mögliche Werte: GCMAES256, GCMAES128, AES256, AES192, AES128

      Integrität *

      Geben Sie die Datenintegritätsprüfung für die übereinstimmende Datenintegrität für die anfängliche IKE-Phase-1-Kommunikation an (z. B. SHA-256, SHA-512). Diese muss mit dem UiPath-Gateway übereinstimmen.

      Mögliche Werte: SHA384, SHA256, SHA1, MD5

      dh, Gruppe *

      Geben Sie die übereinstimmende Differenz-Hellman-Gruppe (DHA) für den sicheren Schlüsselaustausch in IKE-Phase 1 an (z. B. Gruppe 14, Gruppe 19). Diese muss mit dem UiPath-Gateway übereinstimmen.

      Mögliche Werte: dhGruppe24, ECP384, ECP256, Domänennamen14, Domänenname2048, Domänenname, Domänenname, Keine

    2. Geben Sie für IKE-Phase 2 (IPSec) Werte für die folgenden Felder an:
      IPsec-Verschlüsselung *

      Geben Sie die passende Verschlüsselungsmethode für den Datenverkehr innerhalb des VPN-Tunnels (IPSec Phase 2) an (z. B. AES-256, 3DES). Diese muss mit dem UiPath-Gateway übereinstimmen.

      Mögliche Werte: GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Keine

      IPsec-Integrität *

      Geben Sie die Datenintegritätsprüfung für den Datenverkehr innerhalb des VPN-Tunnels an (IPSec Phase 2) (z. B. SHA-256, SHA-512). Diese muss mit dem UiPath-Gateway übereinstimmen.

      Mögliche Werte: GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

      PFS-Gruppe *

      Geben Sie die übereinstimmende PFS-Gruppe (Perfect Forward Secrecy) für IPsec Phase 2 an, wenn dies auf dem UiPath-Gateway aktiviert ist (z. B. Gruppe 14, Gruppe 19). Wenn eine Seite PFS verwendet, sollte die andere es abgleichen oder deaktivieren.

      Mögliche Werte: PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Keine

      IPsec-SA-Lebensdauer in Kilobyte *

      Geben Sie die Dauer für aktive sichere Verbindungen (IKE und IPsec) an. Dies sind lokale Einstellungen. Abgleich ist nicht unbedingt erforderlich, aber ähnliche Werte werden für die Konsistenz empfohlen.

      Mögliche Werte: Minimum 1.024, Standard 10.2400.000

      IPsec-SA-Lebensdauer in Sekunden *

      Geben Sie die Dauer für aktive sichere Verbindungen (IKE und IPsec) an. Dies sind lokale Einstellungen. Abgleich ist nicht unbedingt erforderlich, aber ähnliche Werte werden für die Konsistenz empfohlen.

      Mögliche Werte: Minimum 300, Standard 27.000

  6. Wählen Sie Verbindung hinzufügen aus. Sobald die Konfiguration abgeschlossen ist, kann es einige Zeit dauern, bis der Verbindungsstatus auf Verbunden aktualisiert wird.

Der Bereich wird geschlossen und die neue Verbindung wird auf der Seite Verbindungen angezeigt. Die Verbindung kann verwendet werden, wenn in der Spalte Verbindungsstatus Verbunden angezeigt wird.

Der Status Verbunden bedeutet, dass der Pre-Shared Key (PSK), die IP-Adresse (Public Internet Protocol) des Peers und die IPsec/IKE-Richtlinienparameter korrekt konfiguriert sind und ein verschlüsselter Tunnel vorhanden ist.

Hinweis: Wenn der Verbindungsstatus Verbindung fehlgeschlagen ist, müssen Sie die Verbindung löschen und erneut erstellen.

Um weitere Verbindungen hinzuzufügen, wählen Sie auf der Seite Verbindungen die Option Verbindung erstellen aus.

Hinweis: Sie können bis zu 25 Verbindungen hinzufügen.

Schritt 4. Einrichten von VPN-Geräten

Ihr Netzwerkadministrator kann jetzt:

  1. Richten Sie Ihr VPN-Gerät über Ihr lokales Netzwerk ein.

    Der PSK muss mit dem PSK übereinstimmen, der für die in Schritt 3 erstellte Verbindung angegeben wurde.

  2. Fügen Sie die Adressräume, die zum Konfigurieren des VPN-Gateways und der Vnets für Cloud-Robotervorlagen verwendet werden, zur Zulassungsliste Ihres Netzwerks hinzu.

Eine Liste der unterstützten VPN-Geräte und Anweisungen zur routenbasierten Konfiguration finden Sie unter Über VPN-Geräte für Verbindungen – Azure VPN Gateway in der Microsoft-Dokumentation.

Häufig gestellte Fragen

Datenaufbewahrung

Das VPN-Gateway für einen Mandanten wird automatisch in derselben Region wie die Region des Mandanten erstellt und Sie können die Region nicht ändern.

Zu einer anderen Region wechseln

Wenn bereits ein VPN-Gateway vorhanden ist und Sie Ihren Mandanten in eine andere Region verschieben möchten, haben Sie folgende Möglichkeiten:

  • weiterhin das Gateway in der alten Region verwenden oder
  • Löschen Sie das vorhandene VPN-Gateway, und erstellen Sie ein neues, das in der aktuellen Region des Mandanten erstellt wird.

Datenaufbewahrung

Wenn Sie einen Mandanten deaktivieren, der über ein VPN-Gateway verfügt, haben Sie einen Kulanzzeitraum von 60 Tagen, bevor Sie den Zugriff auf Ihr VPN-Gerät verlieren. Nach 60 Tagen wird Ihr VPN-Gateway endgültig von Ihren Mandanten gelöscht.

Wenn Sie den Mandanten innerhalb von 60 Tagen erneut aktivieren, wird Ihr VPN-Gateway nicht gelöscht und kann nicht verwendet werden.

Lizenzablauf

Wenn Ihre Robot Units abgelaufen sind, haben Sie einen Übergangszeitraum von 60 Tagen, bevor Sie den Zugriff auf Ihr VPN-Gerät verlieren. Nach 60 Tagen wird Ihr VPN-Gateway endgültig aus Ihren Mandanten gelöscht.

Fehlerbehebung von VPN-Verbindungen

Wenn eine Verbindung hergestellt wurde, Sie aber nicht auf die Ressourcen zugreifen können, überprüfen Sie:

  • Konfiguration des Adressraums – Stellen Sie sicher, dass an beiden Enden die Adressräume korrekt definiert sind und sich nicht überschneiden, um ein ordnungsgemäßes Routing zu gewährleisten.

  • DNS-Auflösung – Bestätigen Sie, dass Gateway und angeschlossene Geräte die erforderlichen Domainnamen auflösen können. Überprüfen Sie die DNS-Serverkonfigurationen und die Erreichbarkeit.

  • Firewall-Einstellungen – Überprüfen Sie die Firewall-Einstellungen sowohl für das Gateway als auch für das lokale Netzwerk. Stellen Sie sicher, dass der Datenverkehr über die erforderlichen Ports und Protokolle innerhalb definierter Adressräume fließt.

War diese Seite hilfreich?

Verbinden

Benötigen Sie Hilfe? Support

Möchten Sie lernen? UiPath Academy

Haben Sie Fragen? UiPath-Forum

Auf dem neuesten Stand bleiben