IBM Cloud Docs
Criando uma VPN entre o gateway de borda do data center virtual e o gateway de VPN no local.

Criando uma VPN entre o gateway de borda do data center virtual e o gateway de VPN no local.

Este tutorial pode incorrer em custos. Use o Estimador de custos para gerar uma estimativa do custo baseada em seu uso projetado.

Objetivos

O objetivo deste tutorial é demonstrar as etapas básicas de conexão de uma IBM Cloud® for VMware Cloud Foundation as a Service instância de locatário único ou de diversos locatários com o Juniper ® vSRX. A conexão acontece através de uma rede privada virtual (VPN). O vSRX pode ser implementado na Infraestrutura clássica do IBM Cloud ou em um data center do cliente. As etapas a seguir criam um ambiente de trabalho básico, fornecendo uma VPN, uma implementação de firewall básica, e conectividade de rede de ponta a ponta

Neste tutorial, você aprenderá:

  • Como criar VPNs entre um gateway de borda do data center virtual (VDC) e o vSRX.
  • Como criar e configurar propostas e perfis de túnel IKE e IPsec correspondentes.
  • Como configurar regras de firewall em seu gateway de borda VDC e vSRX para permitir o tráfego de VPN.

O diagrama a seguir apresenta uma visão geral da solução a ser implementada..

Diagrama de arquitetura*Diagrama de
do

Antes de Iniciar

Este tutorial requer:

Reunir informações e requisitos

Para estabelecer um túnel baseado em política, é necessário coletar várias informações de sua implementação e design, como terminais de gateway e redes locais e remotas.. Além disso, é necessário definir as políticas de segurança do túnel para IKE e IPsec.

Colete cuidadosamente e documente as informações listadas e mencionadas aqui. Os valores devem corresponder exatamente às configurações de túnel em ambos os lados.

Use o portal IBM Cloud e a configuração de firewall vSRX para coletar as informações a seguir e, em seguida, definir os parâmetros de política IPsec e IKE para o túnel com base em seus requisitos de segurança:

  1. Colete informações de rede local e remota para o túnel baseado em política

    A interface privada do vSRX geralmente é configurada como a seguir:

    set interfaces reth2 unit <vlan-id> description "Your private network routed through Gateway Appliance"
    set interfaces reth2 unit <vlan-id> vlan-id <vlan-id>
    set interfaces reth2 unit <vlan-id> family inet address <private-IP address-of-the-vsrx>/26
    

    Você pode ter vários endereços IP secundários na interface vSRX, portanto, colete todas as informações de rede necessárias para o túnel.

    Coletar todas as informações de rede VDC necessárias para o túnel. Use o console VMware Cloud Director™ ou colete as informações da sua documentação de projeto de rede (quais redes estão implantadas no VDC).

    Valores de exemplo são fornecidos da seguinte forma:

    Lista de prefixos ou sub-redes de sites a serem revisados antes de configurar a VPN.
    Prefixo Valor
    Sub-redes atrás do vSRX 10.95.1.0/26
    Sub-redes no VDC 192.168.100.0/24

    Como sua solução pode ser diferente, use as sub-redes de seu design e implementação de rede.

  2. Colete informações de endereço IP do gateway local e remoto para o túnel do IPsec

    O endereço IP da interface pública do vSRX é geralmente configurado conforme a seguir em IBM Cloud:

    set interfaces reth1 unit 0 description "SL PUBLIC VLAN INTERFACE"
    set interfaces reth1 unit 0 family inet address <public-IP address-of-the-vsrx>/29
    

    Colete o endereço IP público do VDC Edge Gateway de seu VDC. Os endereços IP públicos estão disponíveis no portal IBM Cloud, sob sua instância do VDC.

    A tabela a seguir mostra os valores usados neste exemplo:

    Lista de endereços IP de gateway a serem revisados antes de configurar a VPN.
    Endereço IP do gateway Valor
    Endereço IP público do gateway de borda <public-IP address-of-the-vdc-edge-gateway>
    Endereço IP público do vSRX <public-IP address-of-the-vsrx>

    Como a sua solução pode ser diferente, use os endereços IP do terminal correspondentes à sua implementação

  3. Crie uma chave pré-compartilhada.. Gerar uma chave pré-compartilhada your-psk para o túnel IPsec. A chave é usada na configuração de firewall e VDC IPsec.

  4. Defina sua política de IKE para o túnel A tabela a seguir mostra os valores usados neste exemplo:

    Lista de parâmetros de política IKE a serem revisados antes de configurar a VPN.
    Política IKE Valor
    Versão IKE v2
    Criptografia AES 256
    Compilação SHA 2-256
    Grupo Diffie-Hellman Grupo 14
    Tempo de Vida da Associação (segundos) 28800

    Como seus requisitos podem ser diferentes, use os valores de sua implementação..

  5. Defina sua política IPsec (ou túnel) para o túnel. A tabela a seguir mostra os valores usados neste exemplo:

    Lista de parâmetros de política de IPsec (ou túnel) a serem revisados antes de configurar a VPN.
    Política IPsec (ou túnel) Valor
    Perfect Forward Secrecy Ativado
    Política de Desfragmentação Copiar
    Criptografia AES 256
    Compilação SHA 2-256
    Grupo Diffie-Hellman Grupo 14
    Tempo de Vida da Associação (segundos) 3600

    Como seus requisitos podem ser diferentes, use os valores de sua implementação..

  6. Defina sua política de detecção de peer inativo (DPD) para o túneis. A tabela a seguir mostra os valores usados neste exemplo:

    Lista de parâmetros de política de detecção de pares mortos (DPD) a serem revisados antes de configurar a VPN.
    DPD Valor
    Intervalo de Análise (segundos) 60

    Como seus requisitos podem ser diferentes, use os valores de sua implementação..

Configurar vSRX

As configurações a seguir usam os valores de política de exemplo que foram apresentados anteriormente: Seu ambiente e as políticas podem ser diferentes, portanto, ajuste os comandos de configuração

  1. Configure a proposta IKE, a política IKE e a chave pré-compartilhada:

    set security ike proposal ike-phase1-vmwaas authentication-method pre-shared-keys
    set security ike proposal ike-phase1-vmwaas dh-group group14
    set security ike proposal ike-phase1-vmwaas authentication-algorithm sha-256
    set security ike proposal ike-phase1-vmwaas encryption-algorithm aes-256-cbc
    set security ike proposal ike-phase1-vmwaas lifetime-seconds 28800
    
    set security ike policy ike-phase1-policy mode main
    set security ike policy ike-phase1-policy proposals ike-phase1-vmwaas
    set security ike policy ike-phase1-policy pre-shared-key ascii-text <your-psk>
    
  2. Configure o gateway IKE:

    set security ike gateway vmwaas ike-policy ike-phase1-policy
    set security ike gateway vmwaas address <public-IP address-of-the-vdc-edge-gateway>
    
    set security ike gateway vmwaas external-interface reth1.0
    set security ike gateway vmwaas version v2-only
    
  3. Configure a política e a proposta IPsec:

    set security ipsec proposal ipsec-phase2-vmwaas protocol esp
    set security ipsec proposal ipsec-phase2-vmwaas authentication-algorithm hmac-sha-256-128
    set security ipsec proposal ipsec-phase2-vmwaas encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec-phase2-vmwaas lifetime-seconds 3600
    
    set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group14
    set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-vmwaas
    
  4. Configure a VPN IPsec:

    set interfaces st0 unit 0 family inet
    set security ipsec vpn vmwaas-vpn-1 bind-interface st0.0
    set security ipsec vpn vmwaas-vpn-1 ike gateway vmwaas
    set security ipsec vpn vmwaas-vpn-1 ike ipsec-policy ipsec-phase2-policy
    set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 local-ip 10.95.1.0/26
    set security ipsec vpn vmwaas-vpn-1 traffic-selector pair1 remote-ip 192.168.100.0/24
    set security ipsec vpn vmwaas-vpn-1 establish-tunnels immediately
    set security ipsec vpn vmwaas-vpn-1 df-bit copy
    
  5. Configure o firewall do plano de controle:

    set firewall filter PROTECT-IN term PING from destination-address 10.95.1.1/32
    set firewall filter PROTECT-IN term PING from protocol icmp
    
    set firewall filter PROTECT-IN term IPSec-IKE from destination-address `<public-IP address-of-the-vsrx>/32`
    # Alternative way to use source-address
    # set firewall filter PROTECT-IN term IPSec-IKE from source-address `<public-IP address-of-the-vdc-edge-gateway>/32`
    set firewall filter PROTECT-IN term IPSec-IKE from protocol udp
    set firewall filter PROTECT-IN term IPSec-IKE from port 500
    set firewall filter PROTECT-IN term IPSec-IKE then accept
    
    set firewall filter PROTECT-IN term IPSec-ESP from destination-address `<public-IP address-of-the-vsrx>/32`
    # Alternative way to use source-address
    # set firewall filter PROTECT-IN term IPSec-ESP from source-address `<public-IP address-of-the-vdc-edge-gateway>/32`
    set firewall filter PROTECT-IN term IPSec-ESP from protocol esp
    set firewall filter PROTECT-IN term IPSec-ESP then accept
    
    set firewall filter PROTECT-IN term IPSec-4500 from destination-address `<public-IP address-of-the-vsrx>/32`
    # Alternative way to use source-address
    # set firewall filter PROTECT-IN term IPSec-4500 from source-address `<public-IP address-of-the-vdc-edge-gateway>/32`
    set firewall filter PROTECT-IN term IPSec-4500 from protocol udp
    set firewall filter PROTECT-IN term IPSec-4500 from port 4500
    set firewall filter PROTECT-IN term IPSec-4500 then accept
    
  6. Configure as zonas de segurança e políticas de zona:

    set security zones security-zone vpn-vmwaas-tunnel interfaces st0.0
    set security zones security-zone vsrx-vlan interfaces reth2.2498
    
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match source-address any
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match destination-address any
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas match application any
    set security policies from-zone vsrx-vlan to-zone vpn-vmwaas-tunnel policy vlan_to_vmwaas then permit
    
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match source-address any
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match destination-address any
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan match application any
    set security policies from-zone vpn-vmwaas-tunnel to-zone vsrx-vlan policy vmwaas_to_vlan then permit
    
  7. Configure o tamanho máximo do segmento TCP (MSS):

    set security flow tcp-mss ipsec-vpn mss 1360
    

Configurar o gateway de borda da instância VCF as a Service

Efetue login em sua instância do VCF as a Service, configure sub-redes de rede, regras de firewall e túnel IPsec.

Faça login no console VCF as a Service

  1. Faça login na instância VCF as a Service com um usuário que tenha a função Organization Administrator.

  2. Clique em Rede no painel de navegação esquerdo.

  3. Em Gateways de borda, selecione o name de seu Gateway de borda.

    Login
    VCF as a Service VDC Edge Gateway Selection

  4. No menu lateral, clique em IP Sets (Conjuntos de IP) e clique em New (Novo ) para criar um novo conjunto de IP.

  5. Crie dois conjuntos de IPs

    Detalhes dos conjuntos de IP
    Conjunto de IP Nome Endereço IP
    IPSET 1 Firewall-Rede 10.95.1.0/26
    IPSET 2 VMWaaS-VDC-Network 192.168.100.0/24

    Regras de IPsec do VDC
    VCF as a Service Conjuntos de IPs do VDC

  6. Clique em Salvar.

Criar a regra de firewall do gateway do VDC

A instância do locatário VCF as a Service é provisionada com uma regra de firewall padrão que elimina todo o tráfego para assegurar a segurança.

Deve-se incluir duas regras extras para permitir o tráfego para e da conexão VPN.

  1. Com o Edge Gateway selecionado, clique em Firewall no painel de navegação esquerdo.

  2. Clique em Editar Regras e clique em Novo na Parte Superior

  3. Repita para cada regra, em seguida, clique em Salvar.

    VCF as a Service Regras de firewall do VDC
    Regra de firewall Nome Endereço de origem Endereço de destino
    Regra de firewall 1 VMWaaS-to-FW VMWaaS-VDC-Network Firewall-Network
    Regra de Firewall 2 FW-to-VMWaaS Firewall-Network VMWaaS-VDC-Network

    Regras de firewall do VDC
    VCF as a Service Regras de firewall do VDC

Criar o túnel IPSec VPN do VDC

A próxima etapa é criar o túnel IPSec VPN entre nosso Terminal Local e Remoto.

  1. Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.

  2. Clique em New (Novo ) para iniciar o assistente.

  3. Sob Configurações Gerais, preencha o campo Nome, por exemplo, VMWaaS-to-FW-VPN e clique em Avançar.

  4. Em Modo de Autenticação de Peer, preencha a chave pré-compartilhada Essa chave deve corresponder ao firewall.. Clique em Avançar.

  5. Em Configuração de Terminal. configure os valores a seguir:

    VCF as a Service Regras de firewall do VDC
    Configuração de terminal Endereço IP Rede ID remoto
    Terminal Local <public-IP address-of-the-vdc-edge-gateway> 192.168.100.0/24 n/a
    Terminal remoto <public-IP address-of-the-vsrx> 10.95.1.1/26 <public-IP address-of-the-vsrx>
  6. Clique em Finish para concluir.

    VPN IPSEC do VDC
    VCF as a Service Configuração da VPN IPSEC do VDC

Valide seu túnel IPsec e conectividade

Se todas as etapas forem concluídas com sucesso, seu túnel VPN será estabelecido e o tráfego fluirá entre as duas redes.

É possível testar a conexão na interface com o usuário (UI) ou a maneira clássica por meio da CLI com ping.

Valide seu túnel IPsec e conectividade na IU

  1. Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.

  2. Na lista, selecione sua VPN configurada.

  3. Pela Coluna Estado, localize o estado do túnel

  4. Verifique em detalhes clicando em Visualizar Estatísticas.

  5. Se o status não for verde, pode haver problemas com o túneis.

    Validação do VDC IPsec
    VCF as a Service Primeira validação da VPN IPSEC do VDC

Se o túnel não estiver funcionando, será possível verificá-lo por:

  1. Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.

  2. Na lista, selecione sua VPN configurada.

  3. Verifique-o em detalhes clicando em Customização do perfil de segurança

  4. Mude os detalhes específicos sobre Detalhes do perfil IKE, Configuração de túnel ou Configuração de DPD.

    VDC IPsec Validation
    VCF as a Service VDC IPSEC VPN second validation

Se suas configurações estiverem corretas e você clicar em Salvar, seu túnel estará funcionando e será possível verificá-lo com as mesmas etapas de antes, com a única mudança que a coluna Status deve estar verde e Visualizar Estatísticas também deve estar verde..

  1. Com o Edge Gateway selecionado, clique em IPSec VPN no painel de navegação esquerdo.

  2. Na lista, selecione sua VPN configurada.

  3. Pela coluna Estado, se ela disser Ativado e estiver verde, ela estará funcionando.

  4. Verifique em detalhes clicando em Visualizar Estatísticas.

    Validação de IPsec do VDC
    VCF as a Service Terceira validação de VPN IPSEC do VDC

Valide o túnel IPsec e a conectividade na CLI

Você pode testar a conexão fazendo login em uma das suas VMs em execução no VDC usando o console da máquina virtual VMware e testar a conectividade com as máquinas virtuais da rede local.

Por exemplo, você pode usar o ping para o endereço IP do vSRX, se o seu vSRX permitir ICMP.

ping 10.95.1.1

Ou tente a porta TCP 443 para um endereço IP remoto 10.95.1.10 (supondo que o servidor hospede um servidor da web na porta TCP 443) com netcat

nc -vz 10.95.1.10 443
Connection to 10.95.1.10 port 443 [tcp/https] succeeded!