IBM Cloud Docs
Configurando uma conexão da VPN do IPsec

Configurando uma conexão da VPN do IPsec

A VPN IPsec está obsoleta. A partir de 3 de novembro de 2024, você não poderá criar novas instâncias de VPN IPsec. As instâncias de VPN IPsec existentes têm suporte até 30 de junho de 2025. Todas as instâncias que ainda existirem nessa data serão excluídas.

O que é uma VPN do IPsec?

O IPsec é um conjunto de protocolos desenvolvidos para autenticar e criptografar todo o tráfego de IP entre dois locais. Ele permite que dados confiáveis sejam transmitidos por redes, o que seria considerado inseguro caso contrário. Os terminais de túnel IPsec podem ser localizados em qualquer lugar e ainda fornecer acesso a toda a sua rede privada ou às redes que você especificar. Os túneis do IPsec serão incompatíveis se você estiver usando uma zona ou terminais de serviço de nuvem.

O acesso à VPN do IBM Cloud permite que os usuários gerenciem todos os servidores remotamente e com segurança sobre a rede do IBM Cloud Private. Uma conexão de VPN de sua localização para a rede privada fornece a capacidade de gerenciamento fora da banda e de resgate do servidor por meio de um túnel VPN criptografado. Com o acesso de VPN, é possível:

  • Estabelecer uma conexão VPN com a rede privada por SSL ou IPsec.
  • Acesse o seu servidor usando o endereço IP privado 10.x.x.x dele por SSH ou RDP.
  • Conecte-se ao endereço IP do IPMI do seu servidor para obter gerenciamento do servidor adicional ou necessidades de resgate.

Fornecemos o serviço IPSec aos clientes para o gerenciamento de seus ambientes. Ele não é recomendado para cargas de trabalho de produção.

Parâmetros de negociação

É necessário saber as informações a seguir para o lado remoto da VPN do IPsec:

  • Endereço IP estático para o terminal VPN
  • Chave pré-compartilhada (senha)
  • Algoritmo de criptografia (DES, 3DES, AES128, AES192, AES256)
  • Autenticação (MD5, SHA1, SHA256, para a fase 1 & 2)
  • Grupo Diffie-Hellman Group (para a fase 1 & 2)
  • O Perfect Forward Secrecy (PFS) é usado?
  • Tempo de vida fundamental (para a fase 1 & 2)- Nota: Nosso sistema mede esse valor em segundos!

Depois que essas informações estiverem disponíveis, será possível configurar os parâmetros básicos de negociação da conexão VPN.

Redes protegidas

Nas propriedades da conexão VPN, deve-se definir as redes na extremidade remota do túnel e as redes locais do túnel. Em "Sub-rede protegida do cliente (remoto)", insira o espaço de endereço IP privado em notação CIDR para a extremidade remota (não IBM) do túnel IPSec.

Por exemplo, se a sua rede na extremidade remota do túnel usar uma única sub-rede 10.0.0.0 com uma máscara de rede de 255.255.255.0, você inserirá o endereço IP 10.0.0.0 / CIDR 24 para a seção "Sub-rede protegida do cliente (Remoto)".

Conversão de endereço de rede (NAT)

Com a VPN IPsec, você também tem permissão para definir endereços IP privados na rede IBM Cloud que roteará o tráfego para as sub-redes remotas na outra extremidade da conexão VPN. Isso permite que você tenha tráfego de Internet privado que é encaminhado para um de seus endereços IP internos de um sistema por trás da sua VPN, sem expor o local remoto para acesso total à Internet.

Conversão de endereço de rede/sub-redes de conversão de endereço de rede estática designadas

Para configurar um IP de VPN remoto com uma entrada de conversão de endereço de rede estática:

  • Selecione a seta vermelha para exibir a lista de sub-redes na seção Sub-redes de conversão de endereço de rede estática designadas. Cada IP na sub-rede é exibido.
  • Insira o IP na extremidade remota da conexão VPN na coluna IP do cliente e insira um nome para o mapeamento sob a coluna Nome.
  • Selecione Incluir/modificar as conversões de endereço de contexto e Aplicar configurações para salvar e aplicar a configuração.

Essa ação configura uma conversão de rede um-para-um estática para o tráfego de retorno, que é usada por seus hosts atrás do concentrador de VPN do IBM Cloud para se comunicar com os hosts atrás do peer da VPN remota. Por exemplo, todo o tráfego para o IP 10.1.255.92 será convertido e encaminhado para o IP 192.168.10.15 do cliente. Esse encaminhamento elimina a necessidade de entradas de rota adicionais no servidor IBM Cloud.

Por motivos de segurança, a IBM não fornece informações específicas de hardware ou software / sistema operacional sobre o equipamento usado para hospedar nossos serviços IPsec e SSL VPN.

Restrições conhecidas

Devido a incompatibilidades com nossos IBM Com o serviço CLoud IPsec VPN, você não poderá criar túneis IPsec VPN com outros grandes provedores de nuvem, como AWS, Azure, e Google Cloud. Se você acha que construir um túnel VPN IPsec entre seus IBM Cloud ambiente e qualquer um desses fornecedores for necessário, entre em contato com o IBM Equipe de vendas para discutir as opções disponíveis, como um dispositivo de gateway pessoal.