Configuration d'un réseau privé virtuel (VPN) dans un réseau privé sécurisé
Ce tutoriel décrit l'utilisation de l'infrastructure classique. La plupart des charges de travail peuvent être implémentées à l'aide des ressources IBM Cloud® Virtual Private Cloud. Utilisez IBM Cloud VPC pour créer votre propre environnement de calcul de type cloud privé sur une infrastructure de cloud public partagé. Un VPC permet à une entreprise de définir et de contrôler un réseau virtuel qui est logiquement isolé de tous les autres locataires de cloud public, créant ainsi un endroit privé et sécurisé sur le cloud public. Plus précisément, Direct Link, les instances de serveur, les groupes de sécurité, le VPN, les sous-réseaux et les listes de contrôle d'accès réseau.
Ce tutoriel peut entraîner des coûts. Utilisez l'Estimateur de coûts pour générer une estimation du coût en fonction de votre utilisation projetée.
La nécessité de créer une connexion privée entre un environnement réseau distant et des serveurs sur le réseau privé d'IBM Cloud est une exigence courante. Généralement, cette connectivité prend en charge les charges de travail hybrides, les transferts de données, les charges de travail privées ou l'administration de systèmes sur IBM Cloud. Un tunnel de réseau privé virtuel (Virtual Private Network - VPN) de site à site est l'approche habituelle pour sécuriser la connectivité entre les réseaux.
IBM Cloud fournit un certain nombre d'options pour la connectivité de centre de données de site à site, en utilisant un VPN sur le réseau Internet public ou via une connexion réseau dédiée privée.
Voir IBM Cloud® Direct Link Pour plus de détails sur les liens réseau sécurisés dédiés à IBM Cloud. Un VPN sur le réseau Internet public offre une option à moindre coût, mais sans garantie de bande passante.
Il existe deux options de VPN appropriées pour la connectivité sur le réseau Internet public avec les serveurs mis à disposition sur IBM Cloud :
Ce tutoriel présente la configuration d'un VPN IPSec de site à site à l'aide d'un dispositif VRA (Virtual Router Appliance) permettant de connecter un sous-réseau d'un centre de données client à un sous-réseau sécurisé sur le réseau privé IBM Cloud.
Cet exemple s'appuie sur le tutoriel Isolation de charges de travail à l'aide d'un réseau privé sécurisé. Il utilise un VPN IPSec de site à site, un tunnel GRE et un routage statique. Des configurations VPN plus complexes utilisant le routage dynamique (BGP, etc.) et les tunnels VTI sont consultables dans la documentation supplémentaire sur les dispositifs VRA .
Objectifs
- Documenter les paramètres de configuration pour le VPN IPSec
- Configurer un VPN IPSec sur un dispositif Virtual Router Appliance
- Acheminer le trafic via un tunnel GRE

- Documentez la configuration d'un VPN
- Créez un VPN IPSec sur un dispositif VRA
- Configurez un VPN de centre de données et un tunnel
- Créez un tunnel GRE
- Création d'une route IP statique
- Configurez le pare-feu
Avant de commencer
Ce tutoriel connecte l'enceinte de réseau privé sécurisé créée dans le tutoriel Isolation de charges de travail à l'aide d'un réseau privé sécurisé à votre centre de données. Ce tutoriel doit être effectué en premier lieu.
Documentation de la configuration d'un VPN
La configuration d'une liaison de site à site de VPN IPSec entre votre centre de données et IBM Cloud nécessite une coordination avec votre équipe réseau sur site pour déterminer de nombreux paramètres de configuration, le type de tunnel et les informations de routage IP. Les paramètres doivent correspondre exactement pour que vous puissiez établir une connexion de VPN opérationnelle. En règle générale, votre équipe de réseau sur site définit la configuration en fonction des normes définies par l'entreprise et vous fournit l'adresse IP nécessaire de la passerelle de VPN du centre de données, ainsi que les plages d'adresses de sous-réseau accessibles.
Avant de commencer la configuration du VPN, les adresses IP des passerelles VPN et des plages de sous-réseaux du réseau IP doivent être déterminées et disponibles pour la configuration du VPN du centre de données et pour l'enceinte de réseau privé sécurisé d'IBM Cloud. Elles sont illustrées à la figure suivante, où la zone APP de l'enceinte sécurisée est connectée via le tunnel IPSec aux systèmes du "sous-réseau IP DC" du centre de données client.

Les paramètres suivants doivent être convenus et documentés entre l'utilisateur IBM Cloud qui configure le VPN et l'équipe réseau du centre de données client. Dans cet exemple, les adresses IP des tunnels distant et local sont définies sur 192.168.10.1 et 192.168.10.2. Tout sous-réseau arbitraire peut être utilisé avec l'accord de l'équipe de mise en réseau sur site.
Elément | Description |
---|---|
< nom du groupe ike > | Nom donné au groupe IKE pour la connexion. |
< chiffrement ike > | Norme de chiffrement IKE convenue à utiliser entre IBM Cloud et le centre de données client, généralement aes256. |
< hachage ike > | Hachage IKE convenu entre IBM Cloud et le centre de données client, généralement sha1. |
< durée-vie d'ike> | Durée de vie IKE du centre de données client, généralement 3600. |
< nom de groupe esp > | Nom attribué au groupe ESP pour la connexion. |
< chiffrement esp > | Norme de chiffrement ESP convenue entre IBM Cloud et le centre de données client, généralement aes256. |
< hachage esp > | Hachage ESP convenu entre IBM Cloud et le centre de données client, généralement sha1. |
< durée-durée> | Durée de vie ESP du centre de données client, généralement 1800. |
< IP publique VPN DC > | Adresse IP publique sur Internet de la passerelle de VPN dans le centre de données client. |
< IP publique VRA > | Adresse IP publique du dispositif VRA. |
< Adresse IP IP/24> | Adresse IP attribuée à l'extrémité distante du tunnel IPSec. Paire d'adresses IP dans la plage qui n'entre pas en conflit avec IP Cloud ou le centre de données client. |
< IP IP/24> | Adresse IP attribuée à l'extrémité locale du tunnel IPSec. |
< DC Subnet / CIDR> | Adresse IP du sous-réseau accessible dans le centre de données client et CIDR. |
< Sous-réseau/CIDR> de la zone d'application | Adresse IP du réseau et CIDR du sous-réseau de la zone APP créés dans le tutoriel de création d'un dispositif VRA. |
< Secret-partagé> | Clé de chiffrement partagée à utiliser entre IBM Cloud et le centre de données client. |
Configuration du VPN IPSec sur un dispositif VRA
Pour créer le VPN sur IBM Cloud, les commandes et toutes les variables qui doivent être modifiées sont mises en évidence ci-dessous avec < >. Les modifications sont identifiées ligne par ligne, pour chaque ligne à modifier. Les valeurs sont extraites du tableau.
- Connectez-vous à l'aide de SSH au dispositif VRA et passez en mode
[edit]
.SSH vyatta@<VRA Private IP Address> configure
- Créez un groupe IKE (Internet Key Exchange).
set security vpn ipsec ike-group <ike group name> proposal 1 set security vpn ipsec ike-group <ike group name> proposal 1 encryption <ike encryption> set security vpn ipsec ike-group <ike group name> proposal 1 hash <ike hash> set security vpn ipsec ike-group <ike group name> proposal 1 dh-group 2 set security vpn ipsec ike-group <ike group name> lifetime <ike-lifetime>
- Créez un groupe ESP (Encapsulating Security Payload)
set security vpn ipsec esp-group <esp group name> proposal 1 encryption <esp encryption> set security vpn ipsec esp-group <esp group name> proposal 1 hash <esp hash> set security vpn ipsec esp-group <esp group name> lifetime <esp-lifetime> set security vpn ipsec esp-group <esp group name> mode tunnel set security vpn ipsec esp-group <esp group name> pfs enable
- Définissez la connexion de site à site
set security vpn ipsec site-to-site peer <DC VPN Public IP> authentication mode pre-shared-secret set security vpn ipsec site-to-site peer <DC VPN Public IP> authentication pre-shared-secret <Shared-Secret> set security vpn ipsec site-to-site peer <DC VPN Public IP> connection-type initiate set security vpn ipsec site-to-site peer <DC VPN Public IP> ike-group <ike group name> set security vpn ipsec site-to-site peer <DC VPN Public IP> local-address <VRA Public IP> set security vpn ipsec site-to-site peer <DC VPN Public IP> default-esp-group <esp group name> set security vpn ipsec site-to-site peer <DC VPN Public IP> tunnel 1 set security vpn ipsec site-to-site peer <DC VPN Public IP> tunnel 1 protocol gre commit
Configuration d'un VPN de centre de données et d'un tunnel
- L'équipe réseau du centre de données client configurera une connexion IPSec VPN identique avec les paramètres < DC VPN Public IP> et < VRA Public IP> permutés, l'adresse de tunnel locale et distante ainsi que les paramètres < DC Subnet / CIDR> et < App Zone subnet/CIDR> permutés. Les commandes de configuration spécifiques dans le centre de données client dépendent du fournisseur du VPN.
- Vérifiez que l'adresse IP publique de la passerelle VPN DC est accessible sur Internet avant de poursuivre :
ping <DC VPN Public IP>
- Lorsque la configuration du VPN du centre de données est terminée, la liaison IPSec devrait apparaître automatiquement. Vérifiez que la liaison a été établie et que l'état indique qu'il existe un ou plusieurs tunnels IPsec actifs. Vérifiez
auprès du centre de données que les deux extrémités du VPN affichent les tunnels IPsec actifs.
show vpn ipsec sa show vpn ipsec status
- Si la liaison n'a pas été créée, vérifiez que les adresses locale et distante ont été correctement spécifiées et que les autres paramètres sont conformes aux attentes à l'aide de la commande debug :
show vpn debug
La ligne peer-<DC VPN Public IP>-tunnel-1: ESTABLISHED 5 seconds ago, <VRA Public IP>[500].......
doit être trouvée dans la sortie. Si elle n'apparaît pas ou si "CONNECTING" est indiqué, une erreur s'est produite
dans la configuration du VPN.
Définition du tunnel GRE
- Créez le tunnel GRE en mode édition dans le VRA.
set interfaces tunnel tun0 address <Local tunnel IP/24> set interfaces tunnel tun0 encapsulation gre set interfaces tunnel tun0 mtu 1300 set interfaces tunnel tun0 local-ip <VRA Public IP> set interfaces tunnel tun0 remote-ip <DC VPN Public IP> commit
- Une fois que les deux extrémités du tunnel ont été configurées, il devrait apparaître automatiquement. Vérifiez l'état opérationnel du tunnel à partir de la ligne de commande du VRA.
La première commande doit afficher le tunnel avec State et Link sous la formeshow interfaces tunnel show interfaces tun0
u/u
(UP/UP). La deuxième commande affiche davantage de détails sur le tunnel et indique que le trafic est transmis et reçus. - Vérifiez que le trafic traverse le tunnel
Les décomptes TX et RX sur unping <Remote tunnel IP>
show interfaces tunnel tun0
doivent s'incrémenter en cas de traficping
. - Si le trafic ne circule pas, les commandes de l'
monitor interface
peuvent être utilisées pour étudier le trafic qui est observé sur chaque interface. L'interfacetun0
affiche le trafic interne via le tunnel. L'interfacedp0bond1
affiche le flux de trafic encapsulé vers et depuis la passerelle VPN distante.monitor interface tunnel tun0 traffic monitor interface bonding dp0bond1 traffic
Si aucun trafic de retour n'est visible, pour localiser le problème, l'équipe réseau du centre de données doit surveiller les flux de trafic au niveau des interfaces du VPN et du tunnel sur le site distant.
Création d'une route IP statique
Créez le routage VRA pour diriger le trafic vers le sous-réseau distant via le tunnel.
- Créez une route statique en mode édition dans le VRA.
set protocols static route <DC Subnet/CIDR> next-hop <Remote tunnel IP>
- Passez en revue la table de routage du VRA à partir de la ligne de commande du VRA. A ce stade, aucun trafic ne traverse la route car aucune règle de pare-feu n'autorise le trafic via le tunnel. Des règles de pare-feu sont requises pour le
trafic déclenché à chaque extrémité.
show ip route
Configurez le pare-feu
- Créez des groupes de ressources pour le trafic icmp autorisé et les ports TCP.
set res group icmp-group icmpgrp type 8 set res group icmp-group icmpgrp type 11 set res group icmp-group icmpgrp type 3 set res group port tcpports port 22 set res group port tcpports port 80 set res group port tcpports port 443 commit
- Créez des règles de pare-feu pour le trafic vers le sous-réseau distant en mode d'édition du VRA.
set security firewall name APP-TO-TUNNEL default-action drop set security firewall name APP-TO-TUNNEL default-log set security firewall name APP-TO-TUNNEL rule 100 action accept set security firewall name APP-TO-TUNNEL rule 100 protocol tcp set security firewall name APP-TO-TUNNEL rule 100 destination port tcpports set security firewall name APP-TO-TUNNEL rule 200 protocol icmp set security firewall name APP-TO-TUNNEL rule 200 icmp group icmpgrp set security firewall name APP-TO-TUNNEL rule 200 action accept commit
set security firewall name TUNNEL-TO-APP default-action drop set security firewall name TUNNEL-TO-APP default-log set security firewall name TUNNEL-TO-APP rule 100 action accept set security firewall name TUNNEL-TO-APP rule 100 protocol tcp set security firewall name TUNNEL-TO-APP rule 100 destination port tcpports set security firewall name TUNNEL-TO-APP rule 200 protocol icmp set security firewall name TUNNEL-TO-APP rule 200 icmp group icmpgrp set security firewall name TUNNEL-TO-APP rule 200 action accept commit
- Créez une zone pour le tunnel et associez des pare-feux au trafic déclenché dans l'une ou l'autre des zones.
set security zone-policy zone TUNNEL description "GRE Tunnel" set security zone-policy zone TUNNEL default-action drop set security zone-policy zone TUNNEL interface tun0 set security zone-policy zone TUNNEL to APP firewall TUNNEL-TO-APP set security zone-policy zone APP to TUNNEL firewall APP-TO-TUNNEL commit
- Pour vérifier que les pare-feux et le routage aux deux extrémités sont correctement configurés et autorisent désormais le trafic ICMP et TCP, exécutez une commande ping vers l'adresse de passerelle du sous-réseau distant, d'abord à partir
de la ligne de commande du VRA, puis en vous connectant à l'instance VSI.
ping <Remote Subnet Gateway IP> ssh root@<VSI Private IP> ping <Remote Subnet Gateway IP>
- En cas d'échec de la commande ping sur la ligne de commande du VRA, vérifiez qu'une réponse au ping apparaît en réponse à une demande de ping sur l'interface de tunnel.
L'absence de réponse indique un problème lié aux règles de pare-feu ou au routage dans le centre de données. Si une réponse apparaît dans la sortie du moniteur, mais que la commande ping arrive à expiration, vérifiez la configuration des règles de pare-feu VRA locales.monitor interface tunnel tun0 traffic
- Un échec de la commande ping émise par l'instance VSI indique un problème lié aux règles de pare-feu VRA ou au routage dans la configuration du VRA ou de la VSI. Effectuez l'étape précédente pour vous assurer qu'une demande est envoyée et
que la réponse est visible à partir du centre de données. La surveillance du trafic sur le VLAN local et l'examen des journaux du pare-feu aident à isoler le problème lié au routage ou au pare-feu.
monitor interfaces bonding dp0bond0.<VLAN ID> show log firewall name APP-TO-TUNNEL show log firewall name TUNNEL-TO-APP
Cette opération termine la configuration du VPN à partir de l'enceinte de réseau privé sécurisé. Les tutoriels supplémentaires de cette série illustrent comment l'enceinte de réseau privé sécurisé peut accéder aux services sur le réseau Internet public.
Suppression de ressources
Etapes à suivre pour supprimer les ressources créées dans ce tutoriel.
Le VRA est disponible moyennant un forfait mensuel. L'annulation ne donne pas lieu à un remboursement. Il est suggéré d'annuler uniquement si ce VRA n'est plus nécessaire le mois suivant. Si un cluster à haute disponibilité VRA double est requis, ce VRA unique peut être mis à niveau sur la page Détails de la passerelle.
- Annulez tous les serveurs virtuels ou les serveurs bare metal
- Annulez le VRA
- Annulez tous les VLAN supplémentaires