Cloud VPN – Übersicht

Auf dieser Seite werden Konzepte im Zusammenhang mit Google Cloud VPN beschrieben.

Mit Cloud VPN können Sie Ihr Peer-Netzwerk über eine IPsec-VPN-Verbindung sicher mit Ihrem Virtual Private Cloud-Netzwerk (VPC) verbinden. Der Traffic zwischen den beiden Netzwerken wird von dem einen VPN-Gateway verschlüsselt und vom anderen VPN-Gateway entschlüsselt. Dies schützt Ihre Daten, wenn sie über das Internet übertragen werden. Sie können auch zwei Instanzen von Cloud VPN miteinander verbinden.

Definitionen der in der Cloud VPN-Dokumentation verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Hybride Netzwerklösung auswählen

Ermitteln Sie anhand des Artikels So wählen Sie ein Netzwerkverbindungsprodukt aus, ob Sie Cloud VPN, Dedicated Interconnect, Partner Interconnect oder Cloud Router für die Verbindung Ihres hybriden Netzwerks zu Google Cloud verwenden sollten.

Cloud VPN-Typen

Google Cloud bietet zwei Arten von Cloud VPN-Gateways: HA VPN und klassisches VPN.

Informationen zum Wechsel zu einem HA VPN finden Sie unter Von einem klassischen VPN auf ein HA VPN umstellen.

HA VPN

HA VPN ist eine Cloud VPN-Lösung mit Hochverfügbarkeit (High Availability, HA), mit der Sie Ihr lokales Netzwerk über eine IPsec-VPN-Verbindung in einer einzelnen Region sicher mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verbinden können. HA VPN bietet ein SLA mit einer Dienstverfügbarkeit von 99,99 %.

Wenn Sie ein HA VPN-Gateway erstellen, wählt Google Cloud automatisch zwei externe IP-Adressen aus, eine für jede festgelegte Anzahl von zwei Schnittstellen. Jede IP-Adresse wird automatisch aus einem eindeutigen Adresspool ausgewählt, um eine hohe Verfügbarkeit zu unterstützen. Jede HA VPN-Gateway-Schnittstelle unterstützt mehrere Tunnel. Sie können auch mehrere HA VPN-Gateways erstellen. Wenn Sie das HA VPN-Gateway löschen, gibt Google Cloud die IP-Adressen für die erneute Verwendung frei. Sie können ein HA VPN-Gateway mit nur einer aktiven Schnittstelle und einer öffentlichen IP-Adresse konfigurieren. Allerdings bietet diese Konfiguration kein SLA mit einer Dienstverfügbarkeit von 99,99 %.

In der API-Dokumentation und in gcloud-Befehlen werden HA VPN-Gateways als VPN-Gateways und nicht als Ziel-VPN-Gateways bezeichnet. Für HA VPN-Gateways müssen keine Weiterleitungsregeln erstellt werden.

HA VPN verwendet eine externe VPN-Gateway-Ressource in Google Cloud, um Google Cloud Informationen über Ihre Peer-VPN-Gateways bereitzustellen.

HA VPN-Anforderungen

Ihre Cloud VPN-Konfiguration muss die folgenden Anforderungen erfüllen, um eine Dienstverfügbarkeit von 99,99 % für HA VPN zu erreichen:

  • Wenn Sie ein HA VPN-Gateway mit Ihrem Peer-Gateway verbinden, ist eine Verfügbarkeit von 99,99 % nur auf der Google Cloud-Seite der Verbindung garantiert. Die End-to-End-Verfügbarkeit hängt von der richtigen Konfiguration des Peer-VPN-Gateways ab.

  • Wenn beide Seiten Google Cloud-Gateways sind und ordnungsgemäß konfiguriert wurden, ist eine End-to-End-Verfügbarkeit von 99,99 % garantiert.

  • Verwenden Sie zwei HA VPN-Gateways, die sich in derselben Region befinden müssen, um eine hohe Verfügbarkeit zu erreichen, wenn sich beide VPN-Gateways in VPC-Netzwerken befinden.

    Auch wenn sich beide Gateways in derselben Region befinden müssen, können sich die Routen zu ihren gemeinsamen Subnetzen in einer beliebigen Region befinden, wenn Ihr VPC-Netzwerk den Modus für globales dynamisches Routing verwendet. Wenn Ihr VPC-Netzwerk den Modus für regionales dynamisches Routing verwendet, werden nur Routen zu Subnetzen in derselben Region für das Peer-Netzwerk freigegeben. Erkannte Routen werden nur auf Subnetze in derselben Region wie der VPN-Tunnel angewendet.

    Weitere Informationen zum dynamischen Routingmodus eines VPC-Netzwerks finden Sie in der VPC-Netzwerkübersicht.

  • HA VPN lehnt Google Cloud-IP-Adressen ab, wenn diese in einer externen VPN-Gateway-Ressource konfiguriert sind. Ein Beispiel hierfür ist die Verwendung der externen IP-Adresse einer VM-Instanz als externe IP-Adresse für die externe VPN-Gateway-Ressource. Für Gateways zwischen Google Cloud und Google Cloud HA VPN wird nur die Topologie unterstützt, bei der HA VPN auf beiden Seiten verwendet wird, wie in Gateways zwischen Google Cloud und Google Cloud HA VPN erstellen beschrieben.

  • Sie müssen aus der Perspektive des Cloud VPN-Gateways zwei VPN-Tunnel konfigurieren:

    • Wenn Sie zwei Peer-VPN-Gateway-Geräte haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit seinem eigenen Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway mit zwei Schnittstellen haben, muss jeder Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit einer eigenen Schnittstelle auf dem Peer-Gateway verbunden sein.
    • Wenn Sie ein einzelnes Peer-VPN-Gateway-Gerät mit einer einzelnen Schnittstelle haben, müssen beide Tunnel von jeder Schnittstelle im Cloud VPN-Gateway mit derselben Schnittstelle auf dem Peer-Gateway verbunden sein.
  • Ein Peer-VPN-Gerät muss mit einer angemessenen Redundanz konfiguriert sein. Die Details einer ausreichend redundanten Konfiguration werden vom Gerätehersteller angegeben und können mehrere Hardwareinstanzen enthalten. Weitere Informationen finden Sie in der Anbieterdokumentation für das Peer-VPN-Gerät.

    Wenn zwei Peer-Geräte erforderlich sind, muss jedes Peer-Gerät mit einer anderen HA VPN-Gateway-Schnittstelle verbunden sein. Wenn es sich bei der Peer-Seite um einen anderen Cloud-Anbieter wie beispielsweise AWS handelt, müssen VPN-Verbindungen auf der AWS-Seite ebenfalls mit ausreichender Redundanz konfiguriert werden.

  • Ihr Peer-VPN-Gateway-Gerät muss dynamisches Routing (BGP) unterstützen.

Das folgende Diagramm zeigt das HA VPN-Konzept mit einer Topologie, die die beiden Schnittstellen eines mit zwei Peer-VPN-Gateways verbundenen HA VPN-Gateways enthält. Ausführlichere HA VPN-Topologien (Konfigurationsszenarien) finden Sie unter Cloud VPN-Topologien.

HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)
HA VPN-Gateway zu zwei Peer-VPN-Gateways (zum Vergrößern klicken)

Klassisches VPN

Im Gegensatz dazu haben klassische VPN-Gateways eine einzelne Schnittstelle sowie eine einzelne externe IP-Adresse und unterstützen Tunnel mit dynamischem (BGP) oder statischem Routing (routenbasiert oder richtlinienbasiert). Sie bieten ein SLA mit einer Dienstverfügbarkeit von 99,9 %.

Informationen zu unterstützten Topologien für klassisches VPN finden Sie auf der Seite zu den Topologien für klassisches VPN.

Klassische VPNs werden in der API-Dokumentation und in gcloud-Befehlen als Ziel-VPN-Gateways bezeichnet.

Vergleichstabelle

In der folgenden Tabelle werden HA VPN-Features mit denen für klassisches VPN verglichen.

Feature HA VPN Klassisches VPN
SLA Bietet ein SLA von 99,99 %, wenn es mit zwei Schnittstellen und zwei externen IP-Adressen konfiguriert ist Bietet ein SLA von 99,9 %
Erstellen externer IP-Adressen und Weiterleitungsregeln Aus einem Pool erstellte externe IP-Adressen Es sind keine Weiterleitungsregeln erforderlich Externe IP-Adressen und Weiterleitungsregeln müssen erstellt werden
Routingoptionen werden unterstützt Nur dynamisches Routing (BGP) Statisches Routing (richtlinienbasiert, routenbasiert) oder dynamisches Routing mit BGP
Zwei Tunnel von einem Cloud VPN-Gateway zum selben Peer-Gateway Unterstützt Nicht unterstützt
API-Ressourcen Wird als VPN-Gateway-Ressource bezeichnet Wird als VPN-Ziel-Gateway-Ressource bezeichnet

Spezifikationen

Für Cloud VPN gilt Folgendes:

  • Cloud VPN kann mit VPC-Netzwerken und Legacy-Netzwerken verwendet werden. Für VPC wird der benutzerdefinierte Modus empfohlen, damit Sie vollständige Kontrolle über die IP-Adressbereiche haben, die von den Subnetzen im Netzwerk verwendet werden. Weitere Informationen finden Sie in der Dokumentation zu VPC-Netzwerke im Allgemeinen, Legacy-Netzwerke und Netzwerke im benutzerdefinierten Modus.

    • Klassische VPN- und HA VPN-Gateways verwenden externe (im Internet routingfähige) IPv4-Adressen. Für diese Adressen ist nur ESP-, UDP 500- und UDP 4500-Traffic zulässig. Dies gilt für Cloud VPN-Adressen, die Sie für klassisches VPN konfiguriert haben, oder für automatisch zugewiesene Adressen für HA VPN.

    • Wenn sich IP-Adressbereiche für lokale Subnetze mit den IP-Adressen von Subnetzen in Ihrem VPC-Netzwerk überschneiden, können Sie unter Reihenfolge der Routen erfahren, wie sich Routingkonflikte beheben lassen.

  • Cloud VPN kann in Verbindung mit Privatem Google-Zugriff für lokale Hosts verwendet werden. Weitere Informationen finden Sie unter Optionen für Privaten Google-Zugriff.

  • Jedes Cloud VPN-Gateway muss mit einem anderen Cloud VPN-Gateway oder einem Peer-VPN-Gateway verbunden sein.

  • Das Peer-VPN-Gateway muss eine statische externe (im Internet routingfähige) IPv4-Adresse haben. Sie benötigen diese IP-Adresse zum Konfigurieren von Cloud VPN.

    • Wenn sich das Peer-VPN-Gateway hinter einer Firewall befindet, müssen Sie die Firewall so konfigurieren, dass das ESP-Protokoll (IPsec) und IKE-Traffic (UDP 500 und UDP 4500) an das Gateway übertragen werden. Wenn die Firewall Network Address Translation (NAT) bietet, finden Sie weitere Informationen im Abschnitt zu UDP-Kapselung und NAT-T.
  • Cloud VPN setzt voraus, dass das Peer-VPN-Gateway die Vorfragmentierung unterstützt. Pakete müssen vor dem Kapseln fragmentiert werden.

  • Cloud VPN verwendet die Wiedergabeerkennung mit einem Fenster von 4.096 Paketen. Dies ist nicht deaktivierbar.

Netzwerkbandbreite

Jeder Cloud VPN-Tunnel unterstützt bis zu 3 Gbit/s. Die tatsächliche Bandbreite hängt von mehreren Faktoren ab:

  • Die Netzwerkverbindung zwischen dem Cloud VPN-Gateway und Ihrem Peer-Gateway:
    • Netzwerkbandbreite zwischen den beiden Gateways. Der Durchsatz ist höher, wenn Sie eine Direct Peering-Beziehung mit Google hergestellt haben, im Vergleich zu VPN-Traffic, der über das öffentliche Internet gesendet wird.
    • Round Trip Time (RTT) und Paketverlust. Erhöhte RTT- und Paketverlustraten verringern die TCP-Leistung erheblich.
  • Funktionen Ihres Peer-VPN-Gateways. Weitere Informationen finden Sie in der Dokumentation Ihres Geräts.
  • Paketgröße. Cloud VPN verwendet eine maximale Übertragungseinheit (Maximum Transmission Unit, MTU) von 1.460 Byte. Peer-VPN-Gateways müssen so konfiguriert sein, dass sie eine MTU von maximal 1460 Byte verwenden. Da die Verarbeitung auf Paketbasis erfolgt, kann bei einer bestimmten Paketrate eine erhebliche Anzahl kleiner Pakete den Gesamtdurchsatz reduzieren. Zur Berücksichtigung des ESP-Aufwands müssen Sie möglicherweise die MTU-Werte auf Systemen festlegen, die Traffic durch VPN-Tunnel an Werte senden, die unter der MTU des Tunnels liegen. Unter Überlegungen zur MTU finden Sie ausführliche Informationen und Empfehlungen.
  • Paketrate. Für ein- und ausgehenden Traffic beträgt die empfohlene maximale Paketrate für jeden Cloud VPN-Tunnel 250.000 Pakete pro Sekunde (pps). Wenn es für Sie erforderlich ist, dass Pakete mit einer höheren Rate gesendet werden, müssen Sie weitere VPN-Tunnel erstellen.

Für die Messung der TCP-Bandbreite eines VPN-Tunnels empfiehlt es sich, mehrere gleichzeitige TCP-Streams zu messen. Wenn Sie das iperf-Tool nutzen, geben Sie mit dem Parameter -P die Anzahl der gleichzeitigen Streams an.

IPsec- und IKE-Support

Cloud VPN führt bei eingehenden Authentifizierungspaketen keine richtlinienbezogene Filterung durch. Ausgehende Pakete werden anhand des IP-Bereichs gefiltert, der im Cloud VPN-Gateway konfiguriert wurde.

  • Cloud VPN unterstützt für die Authentifizierung nur einen vorinstallierten Schlüssel bzw. ein "gemeinsames Secret". Sie müssen beim Erstellen des Cloud VPN-Tunnels ein gemeinsames Secret angeben. Die Angabe desselben Schlüssels ist beim Erstellen des Tunnels am Peer-Gateway erforderlich. Weitere Informationen erhalten Sie unter Starkes vorinstalliertes Secret generieren.

  • Informationen zu den von Cloud VPN unterstützten Chiffren und Konfigurationsparametern finden Sie unter Unterstützte IKE-Chiffren.

UDP-Kapselung und NAT-T

Wie Sie Ihr Peer-Gerät für NAT-T mit Cloud VPN konfigurieren, erfahren Sie im Abschnitt zu UDP und NAT-T in der erweiterten Übersicht.

Cloud VPN als Transitnetzwerk

Lesen Sie sich die dienstspezifischen Nutzungsbedingungen von Google Cloud aufmerksam durch, bevor Sie Cloud VPN verwenden.

Verwenden Sie Cloud VPN-Tunnel nicht, um zwei oder mehr lokale Netzwerke ausschließlich zu dem Zweck zu verbinden, den Traffic über ein VPC-Netzwerk als Transitnetzwerk weiterzuleiten. Hub-and-Spoke-Konfigurationen wie diese stellen einen Verstoß gegen die dienstspezifischen Nutzungsbedingungen von Google Cloud dar.

Aktiv/Aktiv- und Aktiv/Passiv-Routingoptionen für HA VPN

Fällt ein Cloud VPN-Tunnel aus, wird er automatisch neu gestartet. Fällt ein komplettes virtuelles VPN-Gerät aus, initiiert Cloud VPN automatisch ein neues Gerät mit derselben Konfiguration. Das neue Gateway und der neue Tunnel werden automatisch verbunden.

VPN-Tunnel, die mit HA VPN-Gateways verbunden sind, müssen dynamisches Routing (BGP) verwenden. Je nach Konfiguration der Routenprioritäten für HA VPN-Tunnel können Sie eine Aktiv/Aktiv- oder Aktiv/Passiv-Routingkonfiguration erstellen. Bei beiden Routingkonfigurationen bleiben jeweils beide VPN-Tunnel aktiv.

In der folgenden Tabelle werden die Features einer Aktiv/Aktiv- mit denen einer Aktiv/Passiv-Routingkonfiguration verglichen.

Feature Aktiv/Aktiv Aktiv/Passiv
Durchsatz Der effektive aggregierte Durchsatz ist der kombinierte Durchsatz beider Tunnel. Durch die Reduzierung von zwei aktiven Tunneln auf einen halbiert sich der effektive Gesamtdurchsatz, wodurch Verbindungen verlangsamt werden oder Pakete verloren gehen können.
Route Advertisement Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit identischen MED-Werten für jeden Tunnel. Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit identischen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet Equal Cost Multi-Path-Routing (ECMP). Derselbe Cloud Router bewirbt auch Routen für Ihr VPC-Netzwerk mit identischen Prioritäten. Ihr Peer-Gateway kann diese Routen verwenden, um ebenfalls mithilfe von ECMP ausgehenden Traffic an Google Cloud zu senden.
Ihr Peer-Gateway bewirbt die Routen des Peer-Netzwerks mit unterschiedlichen MED-Werten für jeden Tunnel. Der Cloud Router, der die Cloud VPN-Tunnel verwaltet, importiert diese als benutzerdefinierte dynamische Routen in Ihrem VPC-Netzwerk mit unterschiedlichen Prioritäten.

Ausgehender Traffic, der an Ihr Peer-Netzwerk gesendet wird, verwendet die Route mit der höchsten Priorität, solange der zugehörige Tunnel verfügbar ist. Derselbe Cloud Router bewirbt auch Routen für Ihr VPC-Netzwerk mit unterschiedlichen Prioritäten für jeden Tunnel. Ihr Peer-Gateway kann Traffic an Google Cloud nur über den Tunnel mit der höchsten Priorität senden.
Failover Falls ein Tunnel nicht mehr verfügbar ist, entfernt Cloud Router die erlernten benutzerdefinierten dynamischen Routen, wenn deren nächster Hop der nicht verfügbare Tunnel ist. Dieser Aufhebungsvorgang kann bis zu 40 Sekunden dauern, während der ein Paketverlust zu erwarten ist. Verwendet maximal einen Tunnel auf einmal, sodass der zweite Tunnel Ihre gesamte ausgehende Bandbreite verarbeiten kann, falls der erste Tunnel ausfällt und für ihn ein Failover durchgeführt werden muss.

Falls ein Tunnel nicht mehr verfügbar ist, entfernt Cloud Router die ermittelten benutzerdefinierten dynamischen Routen, wenn deren nächster Hop der nicht verfügbare Tunnel ist. Dieser Aufhebungsvorgang kann bis zu 40 Sekunden dauern, während der ein Paketverlust zu erwarten ist.

Mehrere Tunnel oder Gateways verwenden

Je nach Konfiguration des Peer-Gateways ist es möglich, Routen so zu erstellen, dass ein Teil des Traffics einen Tunnel durchquert und ein anderer Teil des Traffics aufgrund von Routenprioritäten (MED-Werte) einen anderen Tunnel durchquert. Ebenso können Sie die Basispriorität anpassen, die der Cloud Router verwendet, um Ihre VPC-Netzwerkrouten freizugeben. Diese Fälle zeigen mögliche Routingkonfigurationen auf, die weder rein aktiv/aktiv noch rein aktiv/passiv sind.

Bei Verwendung eines einzelnen HA VPN-Gateways empfehlen wir die Verwendung einer Aktiv/Passiv-Routingkonfiguration. Bei dieser Konfiguration stimmt die beobachtete Bandbreitenkapazität während des normalen Tunnelbetriebs mit der Bandbreitenkapazität überein, die während des Failovers beobachtet wird. Diese Art der Konfiguration ist einfacher zu verwalten, da das beobachtete Bandbreitenlimit konstant bleibt, mit der Ausnahme des oben beschriebenen Szenarios mit mehreren Gateways.

Bei Verwendung mehrerer HA VPN-Gateways wird eine Aktiv/Aktiv-Konfiguration empfohlen. Bei dieser Konfiguration ist die beobachtete Bandbreitenkapazität während des normalen Betriebs doppelt so hoch wie die garantierte Bandbreitenkapazität. Durch diese Konfiguration werden jedoch die Tunnel faktisch nicht ausreichend verwaltet und es kann bei einem Failover zu Rückgang des Traffics kommen.

Peer-IP-Adressen über einen Cloud VPN-Tunnel einschränken

Als Organisationsrichtlinienadministrator können Sie eine Organisationsrichtlinieneinschränkung erstellen, um eine Reihe von Peer-IP-Adressen zu definieren, die ein Nutzer beim Erstellen neuer Cloud VPN-Tunnel in einem bestimmten Projekt, Ordner oder einer Organisation angeben darf.

Die IP-Adressen des Peer-Gateways können entweder die IP-Adressen lokaler Gateways oder anderer Cloud VPN-Gateways sein.

Verwenden Sie die Resource Manager-Einschränkung constraints/compute.restrictVpnPeerIPs, um die Liste der Peer-IP-Adressen zu steuern, die Nutzer beim Erstellen neuer Cloud VPN-Tunnel angeben können.

Im folgenden Beispiel erstellt ein Organisationsrichtlinienadministrator eine Organisationsrichtlinieneinschränkung, die die zulässige IP-Adresse des Peer-VPN-Gateways definiert. Diese Einschränkung hat eine allowList, die nur aus der IP-Adresse 100.1.1.1 besteht.

Netzwerkadministratoren in dem Projekt, das das network-a-VPC-Netzwerk enthält, können nur neue Cloud VPN-Tunnel erstellen, die eine Verbindung zur Peer-Gateway-IP-Adresse 100.1.1.1 herstellen. Die Einschränkung verhindert das Erstellen neuer Cloud VPN-Tunnel mit einer anderen Peer-Gateway-IP-Adresse.

Organisationsrichtlinie zum Einschränken von VPN-Peer-Systemen (zum Vergrößern klicken)
Organisationsrichtlinie zum Einschränken von VPN-Peer-Systemen (zum Vergrößern klicken)

Eine Anleitung zum Einschränken von IP-Adressen finden Sie auf den folgenden Seiten:

Hinweise

  • Die Organisationsrichtlinieneinschränkung, die IP-Adressen von Peer-Gateways einschränkt, gilt nur für neue Cloud VPN-Tunnel. Cloud VPN-Tunnel, die nach Anwendung der Einschränkung erstellt wurden, sind durch die Einschränkung verboten. Weitere Informationen finden Sie unter Informationen zur Hierarchie des Resource Managers.

  • Sie können diese Einschränkung auf klassische VPN-Tunnel anwenden, die statisches oder dynamisches Routing mit BGP oder zu HA VPN-Tunneln verwenden.

  • Sie können in einer Richtlinie mehrere allowedList- oder deniedList-Einträge angeben. Sie können jedoch nicht beide gleichzeitig verwenden.

  • Sie oder ein Netzwerkadministrator mit den entsprechenden Berechtigungen müssen den Lebenszyklus und die Integrität Ihrer VPN-Tunnel verwalten.

Wartung und Verfügbarkeit

Cloud VPN wird regelmäßig gewartet. Während der Wartungsarbeiten werden Cloud VPN-Tunnel offline geschaltet, was zu einem kurzzeitigen Rückgang des Netzwerktraffics führt. Die Cloud VPN-Tunnel werden im Anschluss an die Wartungsarbeiten automatisch wiederhergestellt.

Die Wartung von Cloud VPN zählt zu den normalen betrieblichen Aufgaben, die jederzeit ohne vorherige Ankündigung erfolgen können. Die Wartungszeiträume werden entsprechend kurz gehalten, sodass es nicht zu Verletzungen des Cloud VPN-SLA kommt.

HA VPN ist die empfohlene Methode zum Konfigurieren von hochverfügbaren VPNs. Informationen zu Konfigurationsoptionen finden Sie auf der Seite "HA VPN-Topologien". Wenn Sie aus Gründen der Redundanz und für Optionen mit hohem Durchsatz klassisches VPN verwenden, finden Sie weitere Informationen auf der Seite "Klassische VPN-Topologien".

Best Practices

Mit diesen Best Practices können Sie Cloud VPN effektiv konfigurieren.

Nächste Schritte