UiPath Documentation
orchestrator
latest
false
Wichtig :
Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
UiPath logo, featuring letters U and I in white

Orchestrator-Anleitung

Letzte Aktualisierung 21. Apr. 2026

Konfigurieren einer VPN für Cloud-Roboter

Sie können ein VPN-Gateway für einen Mandanten erstellen, damit Ihre VM Cloud-Roboter oder serverlosen Cloud-Roboter auf Ihre lokalen Ressourcen zugreifen können, die sich hinter einer Firewall befinden.

Beschreibung auf dieser Seite:

  • Funktionsweise des UiPath VPN-Gateways auf Netzwerkebene.
  • Wie Sie CIDR-Bereiche, Routing, Firewall-Regeln und DNS richtig planen.
  • So konfigurieren Sie Site-to-Site-VPN-Verbindungen, einschließlich statisches Routing, BGP und benutzerdefinierter IPsec- oder IKE-Richtlinien.

Voraussetzungen

Wichtig:

Die Installation von benutzerdefinierter Software auf Ihrer VM, z. B. VPN-Clients, kann die Core Services beeinträchtigen und die VM unbrauchbar machen. Verwenden Sie stattdessen die Konfiguration in diesem Kapitel.

Um das VPN-Gateway einzurichten, müssen Sie die folgenden Anforderungen erfüllen:

  • Be an organization administrator.
  • Über eine Orchestrator-Rolle verfügen, die die Berechtigung „ Maschinen – Bearbeiten “ enthält.
  • Von Ihrem Netzwerkadministrator benötigte Informationen:
    • Eine Liste der reservierten IP-Adressbereiche in Ihrer lokalen Netzwerkkonfiguration in CIDR-Notation. Als Teil der Konfiguration müssen Sie die IP-Adressbereichspräfixe angeben, die wir an Ihren lokalen Standort weiterleiten.
    • Die privaten CIDRs, die UiPath über das VPN erreichen soll (Ihre lokalen Netzwerke).
    • Ein Pre-Shared Key (PSK) für jedes VPN-Gerät.
      Wichtig:

      Die Subnetze Ihres lokalen Netzwerks dürfen sich nicht mit den Subnetzen des virtuellen Netzwerks überschneiden, mit denen Sie eine Verbindung herstellen möchten.

    • Verwenden Sie kompatible VPN-Geräte und stellen Sie sicher, dass Sie in der Lage sind, diese zu konfigurieren, wie unter Über VPN-Geräte für Verbindungen – Azure VPN Gateway beschrieben. Weitere Informationen zu den Standardverbindungsparametern finden Sie unter Standardrichtlinien für Azure.
    • Ihr VPN-Gerät muss nach außen gerichtete, öffentliche IPv4-Adressen verwenden.
    • Hinweis:

      Der vorab freigegebene Schlüssel muss aus maximal 128 druckbaren ASCII-Zeichen bestehen. Verwenden Sie keine Leerzeichen, Bindestriche - oder Tilde ~.

Das VPN-Gateway-Workflowschema

Dieses Schema zeigt, wie die VPN-Verbindung zwischen Ihrem lokalen Netzwerk und UiPath Cloud Robot-Netzwerken hergestellt wird.

Durch die Verbindung mit einem VPN-Gateway können VM-basierte Cloud-Roboter (ACR-VM-Pools) und serverlose Roboter auf eingeschränkte Ressourcen in Ihrem lokalen Netzwerk zugreifen.

Abbildung 1. Workflow-Schema des VPN-Gateways Das VPN-Gateway-Workflowschema

Der Ablauf ist wie folgt:

  1. Identifizieren Sie die lokalen CIDRs, die UiPath erreichen soll (Ihre internen privaten Adressbereiche). Dies sind die CIDRs, die über das VPN erreichbar sein müssen.
  2. Geben Sie in Ihrem lokalen Netzwerk die IP-Bereiche der ACR-VM-Pools (6, 7) an, um deren Datenverkehr in das Netzwerk zu ermöglichen.
  3. Erstellen Sie das UiPath VPN-Gateway-Netzwerk (Gateway-Subnetz-CIDR). Dieses Netzwerk hostet nur die VPN-Gateway-Ressourcen (Tunnel-Endpunkte und BGP-Peering).
    • Unterstützte Mindestanzahl: /27
    • Empfohlen: /25 oder größer
    • Private Endpunkte erfordern /25 oder größer
    • Kann nach der Erstellung nicht geändert werden
  4. UiPath erstellt eine öffentliche IP für das VPN-Gateway. Ihr lokales VPN-Gerät verwendet diese öffentliche IP als Remote-Peer. BGP-Peer-Adresse und ASN sind ebenfalls verfügbar, sobald die Bereitstellung abgeschlossen ist.
  5. Erstellen Sie einen Site-to-Site-Tunnel zwischen der öffentlichen IP Ihres On-Premises VPN-Geräts und der öffentlichen IP des UiPath VPN-Gateways.
  6. Das Routing ist festgelegt (statisch oder BGP):
    • Statisches Routing (BGP in der Verbindung deaktiviert): Sie geben die lokalen CIDRs für die Verbindung ein; Nur diese Bereiche werden an die lokale Umgebung weitergeleitet.
    • Dynamisches Routing (BGP auf der Verbindung aktiviert): Routen werden dynamisch ausgetauscht.
  7. Der Roboterdatenverkehr stammt von Roboter-CIDRs und nicht vom Gateway-CIDR:
    • Jedes ACR VM-Pool-CIDR (jeder Pool hat ein eigenes CIDR).
    • Das einzelne serverlose Roboter-CIDR (eines pro Mandant).
  8. Ihre lokale Firewall (und alle zwischengeschalteten Firewalls) müssen eingehende Verbindungen von den Roboter-CIDRs zu den lokalen Ressourcen zulassen und das Return Routing zurück zu diesen Roboter-CIDRs (statische Route oder BGP) sicherstellen.
    Wichtig:

    Das VPN-Gateway führt kein NAT durch. CIDRs dürfen sich nicht überschneiden und Quell-IPs müssen in beide Richtungen weiterleitbar sein.

Schritt 1. Erstellen Sie das VPN-Gateway

So erstellen Sie ein VPN-Gateway für einen Mandanten:

  1. Wechseln Sie zu Administrator.

Wenn nicht bereits aktiviert, aktivieren Sie die neue Administratorumgebung mithilfe des Umschalters im Header.

  1. Wählen Sie im Bereich Mandanten auf der linken Seite den Mandanten, für den Sie ein VPN-Gateway erstellen möchten.

Die Einstellungsseite für den ausgewählten Mandanten wird geöffnet.

  1. Wählen Sie die Kachel VPN-Gateway aus.
  2. Wählen Sie Gateway für Mandanten erstellen. Der Bereich Gateway erstellen öffnet sich
  3. Geben Sie im Feld Name einen Namen für das Gateway ein, wie er auf der Seite VPN-Gateway des Mandanten angezeigt werden soll.
  4. Fügen Sie im Feld Adressraum für VPN-Gateway-vnet die IP-Adressen hinzu, die Sie von Ihrem Netzwerkadministrator erhalten haben.
    • CIDR-Notation verwenden
    • Unterstützte Mindestanzahl: /27
    • Empfohlen: /25 oder größer (private Endpunkte erfordern /25 oder größer).
    • Kann nach der Erstellung nicht geändert werden.
Wichtig:
  • Vnet-Bereiche für das Gateway oder für den VM-Pool können nach der Erstellung nicht geändert werden.
  • Auch wenn Sie dem VPN-Gateway-Netzwerk einen CIDR-Block zuweisen (z. B. /25), stammt der Datenverkehr von Maschinenpools oder serverlosen Maschinenvorlagen mit aktiviertem VPN nicht aus diesem CIDR. Die tatsächlichen Quell-IP-Adressen, die für ausgehenden Datenverkehr verwendet werden, sind diejenigen der CIDRs, die dem einzelnen Maschinenpool oder der serverlosen Vorlage zugewiesen sind. Stellen Sie sicher, dass Sie den Datenverkehr von den CIDRs Ihrer Maschinenpools oder serverlosen Vorlagen zulassen, nicht vom CIDR des VPN-Gateway-Netzwerks.
  1. (Optional) Wenn Sie ein DNS für diese Verbindung verwenden möchten, wählen Sie DNS-Adresse hinzufügen und dann:
    1. Fügen Sie im Feld DNS-Adresse eine DNS-Adresse hinzu.
    2. Um zusätzliche DNS-Adressen hinzuzufügen, wählen Sie Mehr hinzufügen aus, um ein weiteres Feld hinzuzufügen, und fügen Sie dann die Adresse zu diesem Feld hinzu.
      Hinweis:

      Sie können DNS-Adressen später hinzufügen, nachdem das VPN-Gateway erstellt wurde. Dazu müssen Sie jedoch alle VMs neu starten, die mit dem Gateway verbunden sind.

  2. Wählen Sie Erstellen im unteren Bereich des Bereichs, um die VPN Gateway-Verbindung zu erstellen.

Der Bereich wird geschlossen und der Status des VPN-Gateways lautet Bereitstellen.

Nach Abschluss wird der Status Bereitgestellt auf der Karte des Gateways angezeigt.

Hinweis:

Wenn der Status Fehlgeschlagen ist, löschen Sie das Gateway und erstellen Sie es neu, indem Sie die vorherigen Anweisungen befolgen.

Schritt 2. Cloud-Roboter-Vorlagen erstellen

Hinweis:

Das VPN-Gateway muss den Status Bereitgestellt anzeigen, bevor Sie diesen Schritt ausführen können.

Das Vnet für eine Cloud-Roboter-Vorlage wird erstellt, wenn jede Vorlage erstellt wird.

Cloud robots - VM

Erstellen Sie in Orchestrator einen oder mehrere Cloud robot - VM-Pools gemäß den Anweisungen unter Erstellen des Cloud robot Pools.Stellen Sie während der Einrichtung sicher, dass Sie die Option VPN-Gateway verbinden auswählen.

Für jeden Pool können Sie den VPN-Status auf der Seite Maschinen > Cloud-Roboter verwalten – VM überwachen.

Hinweis:

Vorhandene Cloud Robot – VM-Pools können keine Verbindung mit dem VPN-Gateway herstellen. Sie müssen neue erstellen. Darüber hinaus haben Sie bei Pools, die für die Verbindung mit dem VPN-Gateway des Mandanten eingerichtet wurden, die Möglichkeit, den Pool zu bearbeiten und den Umschalter VPN-Integration aktivieren zu deaktivieren, um die Verbindung zum Pool zu trennen. Sobald die Verbindung getrennt ist, können Sie den Pool nicht wieder mit dem VPN-Gateway verbinden.

Cloud Robots - Serverless

In Orchestrator, edit or create Cloud robot - Serverless templates, following the instructions in Automation Cloud™ robots - Serverless . During setup, make sure to configure options on the Network Configuration page.

Schritt 3. Erstellen der Site-to-Site-Verbindung

Nachdem Sie das VPN-Gateway bereitgestellt haben, können Sie jetzt Ihre lokalen Netzwerke damit verbinden.

Die Gateway-Karte zeigt die öffentliche IP-Adresse an, die eine wesentliche Information für die Tunnelkonfiguration ist.

So konfigurieren Sie das VPN-Gateway für die Verbindung mit einem VPN-Gerät:

  1. Wechseln Sie in Ihrer Organisation zu Administrator > Mandant > VPN-Gateway.
  2. Wählen Sie auf der Kachel für das Gateway die Option Verbindung hinzufügen aus.

Der Bereich „Verbindung erstellen“ wird geöffnet.

  1. Geben Sie Werte für die folgenden Felder an:

    OptionBeschreibung
    VerbindungsnameGeben Sie einen Namen für Ihre Verbindung an.
    Shared key (PSK)Schreiben Sie einen geheimen Ausdruck oder eine Zeichenfolge. Sie müssen sich diesen genauen Schlüssel merken und ihn angeben, wenn Sie die Verbindung auf Ihrem lokalen Gerät konfigurieren.
    Public IP for the VPN deviceGeben Sie die öffentliche IP-Adresse Ihres lokalen VPN-Geräts an. Wichtig: Geben Sie nicht die öffentliche IP-Adresse des VPN-Gateways an, die auf der Karte angezeigt werden. Diese öffentliche IP des Gateways muss auf Ihrem lokalen Gerät als Remote-Peer konfiguriert werden.

  2. Choose the routing type for this connection between Static routing (BGP disabled) or Dynamic routing (BGP enabled). A single UiPath VPN gateway can host a mix of BGP and non-BGP connections.

    1. Statisches Routing (BGP deaktiviert)

Wenn BGP für die Verbindung deaktiviert ist, müssen Sie konfigurieren, an welche lokalen CIDRs UiPath weitergeleitet werden soll.

Adressraum für das lokale Gerät: Geben Sie alle privaten CIDRs in Ihrem lokalen Netzwerk an, die über diese Verbindung erreichbar sein müssen. Nur diese Bereiche werden über diesen Tunnel an Ihre lokale Umgebung weitergeleitet.

Hinweis:

Wenn Sie DNS-Server-IP-Adressen auf dem Gateway konfiguriert haben, stellen Sie sicher, dass diese DNS-IPs unter eines der hier definierten lokalen CIDRs fallen (damit das Gateway sie durch den Tunnel erreichen kann).

  1. Dynamisches Routing (BGP aktiviert)

Wenn BGP für die Verbindung aktiviert ist:

  • Routen werden dynamisch ausgetauscht.
  • UiPath wirbt:
    • CIDRs aller ACR-VM-Pool.
    • Das CIDR des serverlosen Roboters
  • Ihr lokales Gerät gibt seine lokalen CIDRs an.

Geben Sie Werte für die folgenden Felder an:

  • Lokale ASN: Die ASN, die von Ihrem lokalen VPN-Gerät verwendet wird.
  • BGP-Peer-Adresse: Die IP-Adresse, die von Ihrem lokalen Gerät für BGP-Peering verwendet wird.

Wenn einer der Werte fehlt oder falsch ist, wird BGP nicht eingerichtet.

  1. Optional können Sie benutzerdefinierte Konfigurationen für die IPsec/IKE-Richtlinie definieren. Verwenden Sie diesen Abschnitt, um die Kompatibilität mit den spezifischen Sicherheitseinstellungen sicherzustellen, die von Ihrem lokalen VPN-Gerät benötigt werden, oder um erweiterte Sicherheitsrichtlinien zu implementieren, die auf die Anforderungen Ihrer Organisation zugeschnitten sind. Aktivieren Sie dazu den Umschalter Benutzerdefinierte IPsec/IKE-Richtlinie .
Hinweis:

Nur IKEv2 wird unterstützt.

  1. Geben Sie für IKE-Phase 1 Werte für die folgenden Felder an:

Encryption * : Provide the matching encryption method for the initial secure key exchange (IKE Phase 1). This must be identical to the UiPath Gateway setting (for example, AES-256, GCMAES).

Mögliche Werte: GCMAES256, GCMAES128, AES256, AES192, AES128

Integrity * : Provide the matching data integrity check for the initial IKE Phase 1 communication (for example, SHA-256, SHA-512). This must match the UiPath Gateway.

Mögliche Werte: SHA384, SHA256, SHA1, MD5

DH Group * : Provide the matching Diffie-Hellman (DH) group for the secure key exchange in IKE Phase 1 (for example, Group 14, Group 19). This must match the UiPath Gateway.

Mögliche Werte: dhGruppe24, ECP384, ECP256, Domänennamen14, Domänenname2048, Domänenname, Domänenname, Keine

  1. Geben Sie für IKE-Phase 2 (IPsec) Werte für die folgenden Felder an:

IPsec Encryption * : Provide the matching encryption method for data traffic within the VPN tunnel (IPSec Phase 2) (for example, AES-256, 3DES). This must match the UiPath Gateway.

Mögliche Werte: GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, Keine

IPsec Integrity * : Provide the matching data integrity check for traffic within the VPN tunnel (IPSec Phase 2) (for example, SHA-256, SHA-512). This must match the UiPath Gateway.

Mögliche Werte: GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5

PFS Group * : Provide the matching Perfect Forward Secrecy (PFS) group for IPSec Phase 2, if enabled on the UiPath Gateway (for example, Group 14, Group 19). If one side uses PFS, the other should match or disable it.

Mögliche Werte: PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, Keine

IPSec SA lifetime in Kilobytes * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.

Mögliche Werte: Minimum 1.024, Standard 10.2400.000

IPsec SA lifetime in seconds * : Provide the duration for active secure connections (IKE and IPSec). These are local settings; matching is not strictly required, but similar values are recommended for consistency.

Mögliche Werte: Minimum 300, Standard 27.000

  1. Wählen Sie Verbindung hinzufügen aus. Sobald die Konfiguration abgeschlossen ist, kann es einige Zeit dauern, bis der Verbindungsstatus zu Verbunden aktualisiert wird.

Der Bereich wird geschlossen und die neue Verbindung wird auf der Seite Verbindungen angezeigt. Die Verbindung kann verwendet werden, wenn in der Spalte Verbindungsstatus Verbunden angezeigt wird.

Der Status Verbunden bedeutet, dass der vorab freigegebene Schlüssel (PSK), die Public Internet Protocol (IP)-Peer-Adresse und die IPsec/IKE-Richtlinie korrekt konfiguriert sind und ein verschlüsselter Kanal vorhanden ist.

Hinweis:

Wenn der Verbindungsstatus Verbindung fehlgeschlagen ist, müssen Sie die Verbindung löschen und erneut erstellen.

Um weitere Verbindungen hinzuzufügen, wählen Sie auf der Seite Verbindungen die Option Verbindung erstellen.

Hinweis:

Sie können bis zu 25 Verbindungen hinzufügen.

Schritt 4. Einrichten von VPN-Geräten

Ihr Netzwerkadministrator kann jetzt:

  1. Richten Sie Ihr VPN-Gerät über Ihr lokales Netzwerk ein.

Der PSK muss mit dem PSK übereinstimmen, der für die in Schritt 3 erstellte Verbindung angegeben wurde.

  1. Fügen Sie die Adressräume, die zum Konfigurieren des VPN-Gateways und der Vnets für Cloud-Robotervorlagen verwendet werden, zur Zulassungsliste Ihres Netzwerks hinzu.

For a list of supported VPN devices and for RouteBased configuration instructions, refer to About VPN devices for connections - Azure VPN Gateway in the Microsoft documentation.

Häufig gestellte Fragen

Datenaufbewahrung

Das VPN-Gateway für einen Mandanten wird automatisch in derselben Region wie die Region des Mandanten erstellt und Sie können die Region nicht ändern.

Zu einer anderen Region wechseln

Wenn bereits ein VPN-Gateway vorhanden ist und Sie Ihren Mandanten in eine andere Region verschieben möchten, haben Sie folgende Möglichkeiten:

  • weiterhin das Gateway in der alten Region verwenden oder
  • Löschen Sie das vorhandene VPN-Gateway, und erstellen Sie ein neues, das in der aktuellen Region des Mandanten erstellt wird.

Datenaufbewahrung

Wenn Sie einen Mandanten deaktivieren, der über ein VPN-Gateway verfügt, haben Sie einen Kulanzzeitraum von 60 Tagen, bevor Sie den Zugriff auf Ihr VPN-Gerät verlieren. Nach 60 Tagen wird Ihr VPN-Gateway endgültig von Ihren Mandanten gelöscht.

Wenn Sie den Mandanten innerhalb von 60 Tagen erneut aktivieren, wird Ihr VPN-Gateway nicht gelöscht und kann nicht verwendet werden.

Lizenzablauf

Wenn Ihre Robot Units abgelaufen sind, haben Sie einen Übergangszeitraum von 60 Tagen, bevor Sie den Zugriff auf Ihr VPN-Gerät verlieren. Nach 60 Tagen wird Ihr VPN-Gateway endgültig aus Ihren Mandanten gelöscht.

Fehlerbehebung von VPN-Verbindungen

If a connection is Connected, but you cannot access the resources, check:

  • Address Space Configuration — Ensure defined address spaces on both ends are correct and non-overlapping for proper routing.
  • DNS Resolution — Confirm the gateway and connected devices resolve necessary domain names. Verify DNS server configurations and reachability.
  • Firewall Rules - Review firewall rules on both the gateway and on-premises network; ensure traffic flows on required ports and protocols within defined address spaces.

War diese Seite hilfreich?

Verbinden

Benötigen Sie Hilfe? Support

Möchten Sie lernen? UiPath Academy

Haben Sie Fragen? UiPath-Forum

Auf dem neuesten Stand bleiben