Criando uma VPN entre o gateway de borda do data center virtual e o gateway de VPN no local.
Este tutorial pode incorrer em custos. Use o Estimador de custos para gerar uma estimativa do custo baseada em seu uso projetado.
Objetivos
O objetivo deste tutorial é demonstrar as etapas básicas de conexão de uma IBM Cloud® for VMware Cloud Foundation as a Service instância de locatário único ou de diversos locatários com o Juniper ® vSRX. A conexão acontece através de uma rede privada virtual (VPN). O vSRX pode ser implementado na Infraestrutura clássica do IBM Cloud ou em um data center do cliente. As etapas a seguir criam um ambiente de trabalho básico, fornecendo uma VPN, uma implementação de firewall básica, e conectividade de rede de ponta a ponta
Neste tutorial, você aprenderá:
- Como criar VPNs entre um gateway de borda do data center virtual (VDC) e o vSRX.
- Como criar e configurar propostas e perfis de túnel IKE e IPsec correspondentes.
- Como configurar regras de firewall em seu gateway de borda VDC e vSRX para permitir o tráfego de VPN.
O diagrama a seguir apresenta uma visão geral da solução a ser implementada..
Antes de Iniciar
Este tutorial requer:
- Uma IBM Cloud conta faturável.
- Permissões de usuário necessárias Assegure-se de que sua conta do usuário tenha permissões suficientes para criar e gerenciar VMware Cloud Foundation (VCF) as a Service recursos.
- Uma instância do VCF as a Service pré-provisionada.
- Um VDC pré-fornecido no VCF as a Service.
- IBM CloudCLI.
- Uma IBM Cloud chave de API.
Reunir informações e requisitos
Para estabelecer um túnel baseado em política, é necessário coletar várias informações de sua implementação e design, como terminais de gateway e redes locais e remotas.. Além disso, é necessário definir as políticas de segurança do túnel para IKE e IPsec.
Colete cuidadosamente e documente as informações listadas e mencionadas aqui. Os valores devem corresponder exatamente às configurações de túnel em ambos os lados.
Use o portal IBM Cloud e a configuração de firewall vSRX para coletar as informações a seguir e, em seguida, definir os parâmetros de política IPsec e IKE para o túnel com base em seus requisitos de segurança:
-
Colete informações de rede local e remota para o túnel baseado em política
A interface privada do vSRX geralmente é configurada como a seguir:
set interfaces reth2 unit <vlan-id> description "Your private network routed through Gateway Appliance" set interfaces reth2 unit <vlan-id> vlan-id <vlan-id> set interfaces reth2 unit <vlan-id> family inet address <private-IP address-of-the-vsrx>/26
Você pode ter vários endereços IP secundários na interface vSRX, portanto, colete todas as informações de rede necessárias para o túnel.
Coletar todas as informações de rede VDC necessárias para o túnel. Use o console VMware Cloud Director™ ou colete as informações da sua documentação de projeto de rede (quais redes estão implantadas no VDC).
Valores de exemplo são fornecidos da seguinte forma:
Lista de prefixos ou sub-redes de sites a serem revisados antes de configurar a VPN. Prefixo Valor Sub-redes atrás do vSRX 10.95.1.0/26
Sub-redes no VDC 192.168.100.0/24
Como sua solução pode ser diferente, use as sub-redes de seu design e implementação de rede.
-
Colete informações de endereço IP do gateway local e remoto para o túnel do IPsec
O endereço IP da interface pública do vSRX é geralmente configurado conforme a seguir em IBM Cloud:
set interfaces reth1 unit 0 description "SL PUBLIC VLAN INTERFACE" set interfaces reth1 unit 0 family inet address <public-IP address-of-the-vsrx>/29
Colete o endereço IP público do VDC Edge Gateway de seu VDC. Os endereços IP públicos estão disponíveis no portal IBM Cloud, sob sua instância do VDC.
A tabela a seguir mostra os valores usados neste exemplo:
Lista de endereços IP de gateway a serem revisados antes de configurar a VPN. Endereço IP do gateway Valor Endereço IP público do gateway de borda <public-IP address-of-the-vdc-edge-gateway>
Endereço IP público do vSRX <public-IP address-of-the-vsrx>
Como a sua solução pode ser diferente, use os endereços IP do terminal correspondentes à sua implementação
-
Crie uma chave pré-compartilhada.. Gerar uma chave pré-compartilhada
your-psk
para o túnel IPsec. A chave é usada na configuração de firewall e VDC IPsec. -
Defina sua política de IKE para o túnel A tabela a seguir mostra os valores usados neste exemplo:
Lista de parâmetros de política IKE a serem revisados antes de configurar a VPN. Política IKE Valor Versão IKE v2 Criptografia AES 256 Compilação SHA 2-256 Grupo Diffie-Hellman Grupo 14 Tempo de Vida da Associação (segundos) 28800 Como seus requisitos podem ser diferentes, use os valores de sua implementação..
-
Defina sua política IPsec (ou túnel) para o túnel. A tabela a seguir mostra os valores usados neste exemplo:
Lista de parâmetros de política de IPsec (ou túnel) a serem revisados antes de configurar a VPN. Política IPsec (ou túnel) Valor Perfect Forward Secrecy Ativado Política de Desfragmentação Copiar Criptografia AES 256 Compilação SHA 2-256 Grupo Diffie-Hellman Grupo 14 Tempo de Vida da Associação (segundos) 3600 Como seus requisitos podem ser diferentes, use os valores de sua implementação..
-
Defina sua política de detecção de peer inativo (DPD) para o túneis. A tabela a seguir mostra os valores usados neste exemplo:
Lista de parâmetros de política de detecção de pares mortos (DPD) a serem revisados antes de configurar a VPN. DPD Valor Intervalo de Análise (segundos) 60 Como seus requisitos podem ser diferentes, use os valores de sua implementação..
Configurar vSRX
As configurações a seguir usam os valores de política de exemplo que foram apresentados anteriormente: Seu ambiente e as políticas podem ser diferentes, portanto, ajuste os comandos de configuração
-
Configure a proposta IKE, a política IKE e a chave pré-compartilhada:
set security ike proposal ike-phase1-vmwaas authentication-method pre-shared-keys set security ike proposal ike-phase1-vmwaas dh-group group14 set security ike proposal ike-phase1-vmwaas authentication-algorithm sha-256 set security ike proposal ike-phase1-vmwaas encryption-algorithm aes-256-cbc set security ike proposal ike-phase1-vmwaas lifetime-seconds 28800 set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-vmwaas set security ike policy ike-phase1-policy pre-shared-key ascii-text <your-psk>
-
Configure o gateway IKE:
set security ike gateway vmwaas ike-policy ike-phase1-policy set security ike gateway vmwaas address <public-IP address-of-the-vdc-edge-gateway> set security ike gateway vmwaas external-interface reth1.0 set security ike gateway vmwaas version v2-only
-
Configure a política e a proposta IPsec:
set security ipsec proposal ipsec-phase2-vmwaas protocol esp set security ipsec proposal ipsec-phase2-vmwaas authentication-algorithm hmac-sha-256-128 set security ipsec proposal ipsec-phase2-vmwaas encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-phase2-vmwaas lifetime-seconds 3600 set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group14 set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-vmwaas
-
Configure a VPN IPsec:
set interfaces st0 unit 0 family inet set security ipsec vpn vmwaas-vpn-1 bind-interface st0.0 set security ipsec vpn vmwaas-vpn-1 ike gateway vmwaas set security ipsec vpn vmwaas-vpn-1 ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 local-ip 10.95.1.0/26 set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 remote-ip 192.168.100.0/24 set security ipsec vpn vmwaas-vpn-1 establish-tunnels immediately set security ipsec vpn vmwaas-vpn-1 df-bit copy
-
Configure o firewall do plano de controle:
set firewall filter PROTECT-IN term PING from destination-address 10.95.1.1/32 set firewall filter PROTECT-IN term PING from protocol icmp set firewall filter PROTECT-IN term IPSec-IKE from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-IKE from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-IKE from protocol udp set firewall filter PROTECT-IN term IPSec-IKE from port 500 set firewall filter PROTECT-IN term IPSec-IKE then accept set firewall filter PROTECT-IN term IPSec-ESP from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-ESP from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-ESP from protocol esp set firewall filter PROTECT-IN term IPSec-ESP then accept set firewall filter PROTECT-IN term IPSec-4500 from destination-address `<public-IP address-of-the-vsrx>/32` # Alternative way to use source-address # set firewall filter PROTECT-IN term IPSec-4500 from source-address `<public-IP address-of-the-vdc-edge-gateway>/32` set firewall filter PROTECT-IN term IPSec-4500 from protocol udp set firewall filter PROTECT-IN term IPSec-4500 from port 4500 set firewall filter PROTECT-IN term IPSec-4500 then accept
-
Configure as zonas de segurança e políticas de zona:
set security zones security-zone vpn-vmwaas-tunnel interfaces st0.0 set security zones security-zone vsrx-vlan interfaces reth2.2498 set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match source-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match destination-address any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match application any set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas then permit set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match source-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match destination-address any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match application any set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan then permit
-
Configure o tamanho máximo do segmento TCP (MSS):
set security flow tcp-mss ipsec-vpn mss 1360
Configurar o gateway de borda da instância VCF as a Service
Efetue login em sua instância do VCF as a Service, configure sub-redes de rede, regras de firewall e túnel IPsec.
Faça login no console VCF as a Service
-
Faça login na instância VCF as a Service com um usuário que tenha a função
Organization Administrator
. -
Clique em Rede no painel de navegação esquerdo.
-
Em Gateways de borda, selecione o
name
de seu Gateway de borda.VCF as a Service VDC Edge Gateway Selection -
No menu lateral, clique em IP Sets (Conjuntos de IP) e clique em New (Novo ) para criar um novo conjunto de IP.
-
Crie dois conjuntos de IPs
Detalhes dos conjuntos de IP Conjunto de IP Nome Endereço IP IPSET 1 Firewall-Rede 10.95.1.0/26
IPSET 2 VMWaaS-VDC-Network 192.168.100.0/24
VCF as a Service Conjuntos de IPs do VDC -
Clique em Salvar.
Criar a regra de firewall do gateway do VDC
A instância do locatário VCF as a Service é provisionada com uma regra de firewall padrão que elimina todo o tráfego para assegurar a segurança.
Deve-se incluir duas regras extras para permitir o tráfego para e da conexão VPN.
-
Com o Edge Gateway selecionado, clique em Firewall no painel de navegação esquerdo.
-
Clique em Editar Regras e clique em Novo na Parte Superior
-
Repita para cada regra, em seguida, clique em Salvar.
VCF as a Service Regras de firewall do VDC Regra de firewall Nome Endereço de origem Endereço de destino Regra de firewall 1 VMWaaS-to-FW
VMWaaS-VDC-Network
Firewall-Network
Regra de Firewall 2 FW-to-VMWaaS
Firewall-Network
VMWaaS-VDC-Network
VCF as a Service Regras de firewall do VDC
Criar o túnel IPSec VPN do VDC
A próxima etapa é criar o túnel IPSec VPN entre nosso Terminal Local e Remoto.
-
Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.
-
Clique em New (Novo ) para iniciar o assistente.
-
Sob Configurações Gerais, preencha o campo Nome, por exemplo,
VMWaaS-to-FW-VPN
e clique em Avançar. -
Em Modo de Autenticação de Peer, preencha a chave pré-compartilhada Essa chave deve corresponder ao firewall.. Clique em Avançar.
-
Em Configuração de Terminal. configure os valores a seguir:
VCF as a Service Regras de firewall do VDC Configuração de terminal Endereço IP Rede ID remoto Terminal Local <public-IP address-of-the-vdc-edge-gateway>
192.168.100.0/24
n/a
Terminal remoto <public-IP address-of-the-vsrx>
10.95.1.1/26
<public-IP address-of-the-vsrx>
-
Clique em Finish para concluir.
VCF as a Service Configuração da VPN IPSEC do VDC
Valide seu túnel IPsec e conectividade
Se todas as etapas forem concluídas com sucesso, seu túnel VPN será estabelecido e o tráfego fluirá entre as duas redes.
É possível testar a conexão na interface com o usuário (UI) ou a maneira clássica por meio da CLI com ping.
Valide seu túnel IPsec e conectividade na IU
-
Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.
-
Na lista, selecione sua VPN configurada.
-
Pela Coluna Estado, localize o estado do túnel
-
Verifique em detalhes clicando em Visualizar Estatísticas.
-
Se o status não for verde, pode haver problemas com o túneis.
VCF as a Service Primeira validação da VPN IPSEC do VDC
Se o túnel não estiver funcionando, será possível verificá-lo por:
-
Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.
-
Na lista, selecione sua VPN configurada.
-
Verifique-o em detalhes clicando em Customização do perfil de segurança
-
Mude os detalhes específicos sobre Detalhes do perfil IKE, Configuração de túnel ou Configuração de DPD.
VCF as a Service VDC IPSEC VPN second validation
Se suas configurações estiverem corretas e você clicar em Salvar, seu túnel estará funcionando e será possível verificá-lo com as mesmas etapas de antes, com a única mudança que a coluna Status deve estar verde e Visualizar Estatísticas também deve estar verde..
-
Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.
-
Na lista, selecione sua VPN configurada.
-
Pela coluna Estado, se ela disser Ativado e estiver verde, ela estará funcionando.
-
Verifique em detalhes clicando em Visualizar Estatísticas.
VCF as a Service Terceira validação de VPN IPSEC do VDC
Valide o túnel IPsec e a conectividade na CLI
Você pode testar a conexão fazendo login em uma das suas VMs em execução no VDC usando o console da máquina virtual VMware e testar a conectividade com as máquinas virtuais da rede local.
Por exemplo, você pode usar o ping para o endereço IP do vSRX, se o seu vSRX permitir ICMP.
ping 10.95.1.1
Ou tente a porta TCP 443 para um endereço IP remoto 10.95.1.10
(supondo que o servidor hospede um servidor da web na porta TCP 443) com netcat
nc -vz 10.95.1.10 443
Connection to 10.95.1.10 port 443 [tcp/https] succeeded!