VPN en una red privada segura
En esta guía de aprendizaje se describe el uso de la Infraestructura clásica. La mayoría de las cargas de trabajo se pueden implementar utilizando recursos de IBM Cloud® Virtual Private Cloud. Utilice IBM Cloud VPC para crear su propio entorno de cálculo similar al de una nube privada en una infraestructura de nube pública compartida. Una VPC proporciona a una empresa la posibilidad de definir y controlar una red virtual que está aislada lógicamente de todos los demás arrendatarios de nube pública, creando un lugar privado y seguro en la nube pública. En concreto, Direct Link, instancias de servidor virtual, grupos de seguridad, VPN, subredes y ACL de red.
Esta guía de aprendizaje puede incurrir en costes. Utilice Estimador de costes para generar una estimación del coste basada en el uso previsto.
La necesidad de crear una conexión privada entre un entorno de red remoto y los servidores de la red privada de IBM Cloud es un requisito común. Por lo general, esta conectividad da soporte a cargas de trabajo híbridas, transferencias de datos, cargas de trabajo privadas o administración de sistemas en IBM Cloud. Un túnel de red privada virtual (VPN) de sitio a sitio es el enfoque habitual para asegurar la conectividad entre las redes.
IBM Cloud proporciona una serie de opciones para la conectividad del centro de datos de sitio a sitio, ya sea utilizando una VPN a través de Internet pública o mediante una conexión de red privada dedicada.
Consulte IBM Cloud® Direct Link para obtener más detalles sobre los enlaces de red seguros dedicados a IBM Cloud. Una VPN a través de Internet pública proporciona una opción de bajo coste, aunque sin garantías de ancho de banda.
Hay dos opciones de VPN adecuadas para la conectividad a través de Internet pública a los servidores suministrados en IBM Cloud:
Esta guía de aprendizaje muestra la configuración de una VPN IPSec de sitio a sitio que utiliza un dispositivo de direccionador virtual (VRA) para conectar una subred de un centro de datos del cliente con una subred protegida en la red privada de IBM Cloud.
Este ejemplo se basa en la guía de aprendizaje Aislamiento de cargas de trabajo con una red privada segura. Utiliza una VPN IPSec de sitio a sitio, un túnel GRE y direccionamiento estático. Encontrará configuraciones de VPN más complejas que utilizan direccionamiento dinámico (BGP, etc.) y túneles VTI en la documentación complementaria de VRA.
Objetivos
- Documentación de los parámetros de configuración de VPN IPSec
- Configuración de VPN IPSec en un dispositivo de direccionador virtual
- Direccionamiento del tráfico a través de un túnel GRE
- Documentación de la configuración de VPN
- Creación de IPSec VPN en un VRA
- Configuración de VPN del centro de datos y del túnel
- Creación de un túnel GRE
- Creación de una ruta IP estática
- Configuración del cortafuegos
Antes de empezar
En esta guía de aprendizaje se conecta el alojamiento privado seguro de la guía de aprendizaje sobre Aislamiento de cargas de trabajo con una red privada segura con el centro de datos. Esta guía de aprendizaje debe completarse en primer lugar.
Documentación de la configuración de VPN
La configuración de un enlace de sitio a sitio de VPN IPSec entre el centro de datos y IBM Cloud requiere coordinación con el equipo de gestión de red en el sitio para determinar muchos de los parámetros de configuración, el tipo de túnel y la información de direccionamiento de IP. Los parámetros tienen que estar perfectamente coordinados para conseguir una conexión VPN operativa. Generalmente, el equipo de gestión de red del sitio especifica una configuración que se ajusta a los estándares corporativos y le proporciona la dirección IP necesaria de la pasarela VPN del centro de datos, así como los rangos de direcciones de subred a los que se puede acceder.
Antes de empezar a configurar la VPN, las direcciones IP de las pasarelas VPN y los rangos de subred de red IP deben determinarse y deben estar disponibles para la configuración de VPN del centro de datos y para el alojamiento de red privada segura en IBM Cloud. Esto se muestra en la figura siguiente, en la que la zona APP del alojamiento seguro se conectará a través del túnel IPSec a los sistemas de la 'Subred IP de CD' del centro de datos del cliente.
Los parámetros siguientes se deben acordar y documentar entre el usuario de IBM Cloud que configura la VPN y el equipo de gestión de red del centro de datos del cliente. En este ejemplo, las direcciones IP de túnel remoto y local se establecen en 192.168.10.1 y 192.168.10.2. Se puede utilizar cualquier subred arbitraria que se acuerde con el equipo de gestión de red del sitio.
| Elemento | Descripción |
|---|---|
| < nombre de grupo ike > | Nombre asignado al grupo IKE para la conexión. |
| < cifrado ike > | Estándar de cifrado IKE acordado que se utilizará entre IBM Cloud y el centro de datos del cliente, generalmente aes256. |
| < hash ike > | Hash de IKE acordado entre IBM Cloud y el centro de datos del cliente, generalmente sha1. |
| < ike-tiempo de vida> | Tiempo de vida de IKE del centro de datos del cliente, generalmente 3600. |
| < nombre de grupo esp > | Nombre asignado al grupo ESP para la conexión. |
| < cifrado esp > | Estándar de cifrado de ESP acordado entre IBM Cloud y el centro de datos del cliente, generalmente aes256. |
| < hash esp > | Hash de ESP acordado entre IBM Cloud y el centro de datos del cliente, generalmente sha1. |
| < duración-espacio> | Tiempo de vida de ESP del centro de datos del cliente, generalmente 1800. |
| < IP pública de VPN de DC > | Dirección IP pública de cara a Internet de la pasarela VPN en el centro de datos del cliente. |
| < IP pública de VRA > | Dirección IP pública del VRA. |
| < Túnel remoto IP/24> | Dirección IP asignada al extremo remoto del túnel IPSec. Par de direcciones IP del rango que no entra en conflicto con las IP del centro de datos del cliente o de la nube. |
| < Túnel local IP/24> | Dirección IP asignada al extremo local del túnel IPSec. |
| < Subred DC/CIDR> | Dirección IP de la subred a la que se va a acceder en el centro de datos del cliente y en CIDR. |
| < Subred de zona de aplicación/CIDR> | Dirección IP de red y CIDR de la subred de la zona APP de la guía de aprendizaje de creación de VRA. |
| < Secret-Compartido> | Clave de cifrado compartida que se va a utilizar entre IBM Cloud y el centro de datos del cliente. |
Configuración de VPN IPSec en un VRA
Para crear la VPN en IBM Cloud, los mandatos y todas las variables que deben cambiarse se resaltan a continuación con < >. Los cambios se identifican línea por línea, para cada línea que se debe cambiar. Los valores proceden de la tabla.
- Ejecute SSH en VRA y entre en la modalidad
[edit].SSH vyatta@<VRA Private IP Address> configure - Cree un grupo de intercambio de claves de Internet (IKE).
set security vpn ipsec ike-group <ike group name> proposal 1 set security vpn ipsec ike-group <ike group name> proposal 1 encryption <ike encryption> set security vpn ipsec ike-group <ike group name> proposal 1 hash <ike hash> set security vpn ipsec ike-group <ike group name> proposal 1 dh-group 2 set security vpn ipsec ike-group <ike group name> lifetime <ike-lifetime> - Cree un grupo ESP (Encapsulating Security Payload)
set security vpn ipsec esp-group <esp group name> proposal 1 encryption <esp encryption> set security vpn ipsec esp-group <esp group name> proposal 1 hash <esp hash> set security vpn ipsec esp-group <esp group name> lifetime <esp-lifetime> set security vpn ipsec esp-group <esp group name> mode tunnel set security vpn ipsec esp-group <esp group name> pfs enable - Defina la conexión entre sitio y sitio
set security vpn ipsec site-to-site peer <DC VPN Public IP> authentication mode pre-shared-secret set security vpn ipsec site-to-site peer <DC VPN Public IP> authentication pre-shared-secret <Shared-Secret> set security vpn ipsec site-to-site peer <DC VPN Public IP> connection-type initiate set security vpn ipsec site-to-site peer <DC VPN Public IP> ike-group <ike group name> set security vpn ipsec site-to-site peer <DC VPN Public IP> local-address <VRA Public IP> set security vpn ipsec site-to-site peer <DC VPN Public IP> default-esp-group <esp group name> set security vpn ipsec site-to-site peer <DC VPN Public IP> tunnel 1 set security vpn ipsec site-to-site peer <DC VPN Public IP> tunnel 1 protocol gre commit
Configuración de la VPN y del túnel del centro de datos
- El equipo de red del centro de datos del cliente configurará una conexión IPSec VPN idéntica con los parámetros < DC VPN Public IP> y < VRA Public IP> intercambiados, la dirección de túnel local y remota y también los parámetros < DC Subnet/CIDR> y < App Zone subnet/CIDR> intercambiados. Los mandatos de configuración específicos del centro de datos del cliente dependerán del proveedor de la VPN.
- Confirme que se puede acceder a la dirección IP pública de la pasarela de VPN del centro de datos a través de Internet antes de continuar:
ping <DC VPN Public IP> - Cuando la configuración de VPN del centro de datos finalice, el enlace IPSec debería aparecer automáticamente. Compruebe que se ha establecido el enlace y que el estado muestra que hay uno o varios túneles IPsec activos. Verifique con el centro
de datos que ambos extremos de la VPN muestran los túneles IPsec activos.
show vpn ipsec sa show vpn ipsec status - Si el enlace no se ha creado, compruebe que las direcciones locales y remotas se han especificado correctamente y que otros parámetros son los esperados utilizando el mandato debug:
show vpn debug
La línea peer-<DC VPN Public IP>-tunnel-1: ESTABLISHED 5 seconds ago, <VRA Public IP>[500]....... debe encontrarse en la salida. Si no es así o si muestra 'CONNECTING', significa que se ha producido un error en la configuración
de la VPN.
Definición de túnel GRE
- Cree el túnel GRE en modalidad de edición de VRA.
set interfaces tunnel tun0 address <Local tunnel IP/24> set interfaces tunnel tun0 encapsulation gre set interfaces tunnel tun0 mtu 1300 set interfaces tunnel tun0 local-ip <VRA Public IP> set interfaces tunnel tun0 remote-ip <DC VPN Public IP> commit - Cuando ambos extremos del túnel se hayan configurado, debería aparecer automáticamente. Compruebe el estado operativo del túnel desde la línea de mandatos de VRA.
El primer mandato debería mostrar el túnel con el estado y el enlaceshow interfaces tunnel show interfaces tun0u/u(UP/UP). El segundo mandato muestra más detalles sobre el túnel y el tráfico que se transmite y se recibe. - Compruebe que el tráfico fluye por el túnel
Los recuentos de TX y de RX del mandatoping <Remote tunnel IP>show interfaces tunnel tun0deberían ir aumentando mientras haya tráficoping. - Si el tráfico no fluye, se pueden utilizar mandatos
monitor interfacepara observar el tráfico que se ve en cada interfaz. La interfaztun0muestra el tráfico interno sobre el túnel. La interfazdp0bond1mostrará el flujo de tráfico encapsulado de salida y de entrada de la pasarela VPN remota.monitor interface tunnel tun0 traffic monitor interface bonding dp0bond1 traffic
Si no se ve ningún tráfico de retorno, el equipo de gestión de red del centro de datos tendrá que supervisar los flujos de tráfico en la VPN y en las interfaces de túnel en el sitio remoto para localizar el problema.
Creación de una ruta IP estática
Cree el direccionamiento de VRA para dirigir el tráfico a la subred remota a través del túnel.
- Cree una ruta estática en modalidad de edición de VRA.
set protocols static route <DC Subnet/CIDR> next-hop <Remote tunnel IP> - Revise la tabla de direccionamiento de VRA desde la línea de mandatos de VRA. En este momento, no habrá tráfico por la ruta porque no existen reglas de cortafuegos para permitan el tráfico a través del túnel. Se necesita reglas de cortafuegos
para el tráfico iniciado en cualquiera de los lados.
show ip route
Configuración del cortafuegos
- Cree grupos de recursos para el tráfico icmp permitido y los puertos tcp.
set res group icmp-group icmpgrp type 8 set res group icmp-group icmpgrp type 11 set res group icmp-group icmpgrp type 3 set res group port tcpports port 22 set res group port tcpports port 80 set res group port tcpports port 443 commit - Cree reglas de cortafuegos para el tráfico destinado a la subred remota en modalidad de edición de VRA.
set security firewall name APP-TO-TUNNEL default-action drop set security firewall name APP-TO-TUNNEL default-log set security firewall name APP-TO-TUNNEL rule 100 action accept set security firewall name APP-TO-TUNNEL rule 100 protocol tcp set security firewall name APP-TO-TUNNEL rule 100 destination port tcpports set security firewall name APP-TO-TUNNEL rule 200 protocol icmp set security firewall name APP-TO-TUNNEL rule 200 icmp group icmpgrp set security firewall name APP-TO-TUNNEL rule 200 action accept commitset security firewall name TUNNEL-TO-APP default-action drop set security firewall name TUNNEL-TO-APP default-log set security firewall name TUNNEL-TO-APP rule 100 action accept set security firewall name TUNNEL-TO-APP rule 100 protocol tcp set security firewall name TUNNEL-TO-APP rule 100 destination port tcpports set security firewall name TUNNEL-TO-APP rule 200 protocol icmp set security firewall name TUNNEL-TO-APP rule 200 icmp group icmpgrp set security firewall name TUNNEL-TO-APP rule 200 action accept commit - Cree una zona para el túnel y asocie cortafuegos para el tráfico iniciado en cualquiera de las zonas.
set security zone-policy zone TUNNEL description "GRE Tunnel" set security zone-policy zone TUNNEL default-action drop set security zone-policy zone TUNNEL interface tun0 set security zone-policy zone TUNNEL to APP firewall TUNNEL-TO-APP set security zone-policy zone APP to TUNNEL firewall APP-TO-TUNNEL commit - Para comprobar que los cortafuegos y el direccionamiento en ambos extremos se han configurado correctamente y ahora permiten el tráfico ICMP y TCP, ejecute ping sobre la dirección de pasarela de la subred remota, primero desde la línea de
mandatos VRA y, si es correcto, iniciando una sesión en la VSI.
ping <Remote Subnet Gateway IP> ssh root@<VSI Private IP> ping <Remote Subnet Gateway IP> - Si el mandato ping desde la línea de mandatos de VRA falla, compruebe que se ha visto una respuesta de ping como respuesta a una solicitud de ping en la interfaz de túnel.
Si no hay respuesta significa que existe un problema con las reglas de cortafuegos o con el direccionamiento en el centro de datos. Si se ve una respuesta en la salida del supervisor, pero se excede el tiempo de espera del mandato ping, compruebe la configuración de las reglas de los cortafuegos VRA locales.monitor interface tunnel tun0 traffic - Si el ping desde la VSI falla, significa que hay un problema con las reglas de cortafuegos de VRA, con el direccionamiento en el VRA o con la configuración de la VSI. Complete el paso anterior para asegurarse de que se envía una solicitud
al centro de datos y se ve la respuesta procedente del mismo. La supervisión del tráfico en la VLAN local y la inspección de los registros del cortafuegos le ayudarán a aislar el problema al direccionamiento o al cortafuegos.
monitor interfaces bonding dp0bond0.<VLAN ID> show log firewall name APP-TO-TUNNEL show log firewall name TUNNEL-TO-APP
Esto completa la configuración de la VPN desde el alojamiento de red privada segura. Otras guías de aprendizaje de esta serie muestran cómo el alojamiento puede acceder a los servicios en Internet pública.
Eliminación de recursos
Pasos que se deben seguir para eliminar los recursos que se crean en esta guía de aprendizaje.
El VRA está en el plan de pago mensual. La cancelación no da derecho a un reembolso. Se recomienda cancelar solo si este VRA no se volverá a necesitar durante el mes siguiente. Si se necesita un clúster de alta disponibilidad VRA dual, este VRA se puede actualizar en la página Detalles de pasarela.
- Cancele todos los servidores virtuales o servidores locales
- Cancele el VRA
- Cancelar las VLAN adicionales