IBM Cloud Docs
Configuration d'une connexion VPN IPsec

Configuration d'une connexion VPN IPsec

Le VPN IPsec est obsolète. A partir du 3 novembre 2024, vous ne pourrez plus créer de nouvelles instances de VPN IPsec. Les instances VPN IPsec existantes sont prises en charge jusqu'au 30 juin 2025. Toutes les instances qui existent encore à cette date seront supprimées.

Qu'est-ce qu'un VPN IPsec ?

IPsec est une suite de protocoles conçue pour authentifier et chiffrer l'intégralité du trafic IP entre deux emplacements. Cette suite permet de transmettre des données sécurisées via des réseaux qui autrement seraient considérés comme non sécurisés. Les noeuds finaux de tunnel IPsec peuvent être situés n'importe où et vous permettent d'accéder à l'ensemble de votre réseau privé ou aux réseaux que vous spécifiez. Les tunnels IPsec sont incompatibles si vous utilisez une zone ou des noeuds finaux de service de cloud.

L'accès VPN d'IBM Cloud permet aux utilisateurs de gérer à distance tous les serveurs en toute sécurité sur le réseau privé d'IBM Cloud. Une connexion VPN de votre site vers le réseau privé permet une gestion externe et la récupération de serveurs via un tunnel VPN chiffré. Avec l'accès au VPN, vous pouvez :

  • Etablir une connexion VPN au réseau privé sur SSL ou IPsec.
  • Accéder à votre serveur à l'aide de son adresse IP 10.x.x.x privée via SSH ou RDP
  • Etablir une connexion à l'adresse IP IPMI de votre serveur à des fins de récupération ou de gestion de serveur supplémentaires.

Nous fournissons à nos clients le service IPsec pour la gestion de leurs environnements. Ce service n'est pas adapté aux charges de travail de production.

Paramètres de négociation

Vous devez connaître les informations suivantes concernant le côté distant du VPN IPsec :

  • Adresse IP statique du point d'accès au VPN
  • Clé pré-partagée (mot de passe)
  • Algorithme de chiffrement (DES, 3DES, AES128, AES192, AES256)
  • Authentification (MD5, SHA1, SHA256, pour la phase 1 et 2)
  • Groupe Diffie-Hellman (pour la phase 1 et 2)
  • La confidentialité persistante parfaite (PFS) est-elle utilisée ?
  • Temps de vie de clé (pour la phase 1 et 2)- Remarque : Notre système mesure cette valeur en secondes !

Lorsque vous disposez de ces informations, vous pouvez configurer les paramètres de négociation de base de la connexion VPN.

Réseaux protégés

Dans les propriétés de la connexion VPN, vous devez définir les réseaux à l'extrémité distante du tunnel et les réseaux locaux du tunnel. A la section "Protected Customer (Remote) Subnet", indiquez en notation CIDR l'espace d'adresse IP privé du site distant (non IBM) du tunnel IPsec.

Par exemple , si votre réseau à l'extrémité distante du tunnel utilise un seul sous-réseau 10.0.0.0 avec un masque de réseau 255.255.255.0, entrez l'adresse IP 10.0.0.0 / CIDR 24 à la section "Protected Customer (Remote) Subnet".

Conversion d'adresses réseau (NAT)

Le VPN IPsec permet également de définir des adresses IP privées sur le réseau IBM Cloud afin d'acheminer le trafic vers des sous-réseaux distants à l'autre extrémité de la connexion VPN. Ainsi, vous pouvez acheminer le trafic Internet privé vers l'une de vos adresses IP internes d'un système située derrière votre VPN, sans exposer le site distant à un accès Internet complet.

Conversion NAT/Sous-réseaux NAT statiques affectés

Pour configurer une adresse IP de VPN distante avec une entrée NAT statique :

  • Cliquez sur la flèche rouge pour afficher la liste des sous-réseaux dans la section Sous-Réseaux NAT Statiques Affectés. Toutes les adresses IP du sous-réseau sont affichées.
  • Entrez l'adresse IP sur le site distant de la connexion VPN dans la colonne IP Client et entrez un nom pour le mappage dans la colonne Nom.
  • Sélectionnez Ajouter/Modifier des conversions d'adresse de contexte et Appliquer Configurations pour sauvegarder et appliquer la configuration.

Cette procédure définit une conversion réseau un à un statique pour le trafic retour, qui est utilisée par vos hôte derrière le concentrateur VPN d'IBM Cloud pour communiquer avec les hôtes situés derrière l'homologue VPN distant. Par exemple, l'intégralité du trafic de l'adresse IP 10.1.255.92 sera convertie et acheminée vers l'adresse IP 192.168.10.15 du client. Ce réacheminement supprime le besoin d'entrées de route supplémentaires sur le serveur IBM Cloud.

Pour des raisons de sécurité, IBM ne fournit pas d'informations spécifiques sur le matériel ou les logiciels / systèmes d'exploitation utilisés pour héberger nos services IPsec et SSL VPN.

Restrictions connues

En raison d'incompatibilités avec notre IBM Service VPN CLoud IPsec, vous ne pouvez pas créer de tunnels VPN IPsec avec d'autres principaux fournisseurs de cloud, tels que AWS, Azure, et Google Cloud. Si vous pensez que la construction d'un tunnel VPN IPsec entre votre IBM Cloud environnement et l’un de ces fournisseurs est nécessaire, contactez le IBM L'équipe commerciale pour discuter des options disponibles, telles qu'une appliance de passerelle personnelle.