IBM Cloud Docs
Impostazione di una connessione VPN IPsec

Impostazione di una connessione VPN IPsec

IPsec VPN è deprecato. A partire dal 3 novembre 2024, non sarà più possibile creare nuove istanze di IPsec VPN. Le istanze VPN IPsec esistenti sono supportate fino al 30 giugno 2025. Tutte le istanze ancora esistenti a quella data saranno eliminate.

Cosa è la VPN IPSec?

IPsec è una suite di protocolli progettati per autenticare e crittografare tutto il traffico IP tra due sedi. Consente il passaggio di dati affidabili attraverso reti che altrimenti sarebbero considerate insicure. Gli endpoint del tunnel IPsec possono essere ubicati ovunque e forniscono comunque l'accesso all'intera rete privata o alle reti specificate. I tunnel IPsec non sono compatibili se si utilizza una zona o gli endpoint del servizio cloud.

IBM Cloud VPN consente agli utenti di gestire tutti i server in modo remoto e sicuro attraverso la rete IBM Cloud Private. Una connessione VPN dalla tua ubicazione alla rete privata ti offre la possibilità di gestione fuori banda e di recupero del server tramite un tunnel VPN crittografato. Con l'accesso VPN, puoi:

  • Stabilire una connessione VPN alla rete privata tramite SSL o IPsec.
  • Accedere al server utilizzando l'indirizzo IP privato 10.x.x.x tramite SSH o RDP.
  • Collegarti all'indirizzo IP IPMI del tuo server per ulteriori bisogni di salvataggio o gestione server.

Forniamo il servizio IPSec ai clienti per la gestione dei loro ambienti. Non è consigliato per i carichi di lavoro nella produzione.

Parametri di negoziazione

È necessario conoscere le seguenti informazioni per il lato remoto della VPN IPsec:

  • Indirizzo IP statico dell'endpoint VPN
  • Chiave precondivisa (Password)
  • Algoritmo di codifica (DES, 3DES, AES128, AES192, AES256)
  • Autenticazione ( MD5, SHA1, SHA256, per la fase 1&2)
  • Gruppo Diffie-Hellman (per la fase 1&2)
  • Viene utilizzato PFS (perfect forward secrecy)?
  • Tempo di vita della chiave (per la fase 1 e 2)- Nota: il nostro sistema misura questo valore in secondi!

Dopo aver ottenuto queste informazioni, è possibile configurare i parametri di negoziazione di base della connessione VPN.

Reti protette

Nelle proprietà della connessione VPN, è necessario definire le reti all'estremità remota del tunnel e le reti locali per il tunnel. In “Protected Customer (Remote) Subnet”, immetti lo spazio dell'indirizzo IP privato nell'annotazione CIDR per il lato remoto (non IBM) del tunnel IPSec.

Ad esempio, se la rete all'estremità remota del tunnel utilizza una singola sottorete 10.0.0.0 con una netmask di 255.255.255.0, si dovrebbe inserire l'indirizzo IP 10.0.0.0 / CIDR 24 per la sezione "Sottorete cliente protetta (remota)".

NAT (Network Address Translation)

Con la VPN IPSec, puoi anche definire gli indirizzi IP privati nella rete IBM Cloud che instraderanno il traffico alle sottoreti remote nell'altro lato della connessione VPN. Ciò consente di avere un traffico Internet privato che viene inoltrato a uno degli indirizzi IP interni di un sistema dietro la VPN, senza esporre la posizione remota all'accesso completo a Internet.

Sottoreti Network Address Translation/Assigned Static NAT

Per configurare un IP VPN remoto con una voce NAT statica:

  • Seleziona la freccia rossa per visualizzare l'elenco delle sottoreti nella sezione Assigned Static NAT subnets. Viene visualizzato ogni IP della sottorete.
  • Immetti l'IP nel lato remoto della connessione VPN nella colonna Customer IP e inserisci un nome per l'associazione nella colonna Name.
  • Seleziona Add/Modify Context Address Translations e Apply Configurations per salvare e applicare la configurazione.

Questa azione configura una traduzione della rete one-to-one per il traffico restituito, che viene utilizzata dai tuoi host dietro a un concentratore VPN di IBM Cloud per comunicare con gli host dietro il peer VPN remoto. Ad esempio, tutto il traffico per l'IP 10.1.255.92 sarà tradotto e inoltrato all'IP del cliente 192.168.10.15. Questo inoltro elimina la necessità di ulteriori voci di percorso sul server IBM Cloud.

A causa di ragioni di sicurezza, IBM non fornisce informazioni specifiche su hardware o software / sistema operativo relative all'apparecchiatura utilizzata per ospitare i nostri servizi IPsec e SSL VPN.

Limitazioni note

Causa incompatibilità con il ns IBM Servizio VPN IPsec CLoud, non è possibile creare tunnel VPN IPsec con altri importanti provider cloud, come AWS, Azure, E Google Cloud. Se ritieni che costruire un tunnel VPN IPsec tra i tuoi IBM Cloud ambiente e uno qualsiasi di questi fornitori è necessario, contattare il IBM Il team di vendita discute delle opzioni disponibili, ad esempio un dispositivo gateway personale.