IBM Cloud Docs
Connexion à un homologue AWS

Connexion à un homologue AWS

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle VPN AWS pour la connexion à VPN for VPC.

Puisque AWS requiert que PFS soit activé en phase 2, vous devez créer une stratégie IPsec personnalisée afin de remplacer la stratégie par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec.

Lorsque le VPN AWS reçoit une demande de connexion de VPN for VPC, le VPN AWS utilise des paramètres IPsec de phase 1 pour établir une connexion sécurisée et authentifier la passerelle VPN for VPC. Ensuite, si la stratégie de sécurité autorise la connexion, le VPN AWS établit le tunnel en utilisant les paramètres IPsec de phase 2 et applique la stratégie de sécurité IPsec. Les services de gestion de clés, d'authentification et de sécurité sont négociés de manière dynamique via le protocole IKE.

Passez en revue les limitations de la passerelle VPN avant de vous connecter à votre homologue sur site.

Pour prendre en charge ces fonctions, vous devez effectuer les étapes de configuration générales suivantes sur le réseau privé virtuel AWS:

  • La définition des paramètres de phase 1 requis par le VPN AWS nécessite d'authentifier l'homologue distant et d'établir une connexion sécurisée.
  • La définition des paramètres de phase 2 requis par le VPN AWS nécessite de créer un tunnel VPN avec VPN for VPC.

Connexion d'un VPN IBM basé sur des stratégies à un homologue AWS

Vous pouvez utiliser un VPN basé sur des règles VPN for VPC pour vous connecter à un VPN basé sur des routes AWS. Toutefois, les VPN basés sur des règles requièrent des associations de sécurité distinctes pour chaque sous-réseau, tandis que les VPN basés sur des routes utilisent un seul SA pour tout le trafic chiffré. Par conséquent, une connexion entre un VPN basé sur des règles et un VPN basé sur des routes est limitée à un SA associé à une plage CIDR unique.

Si vous disposez de plusieurs sous-réseaux avec une plage d'adresses contiguë, vous pouvez créer une connexion avec un CIDR qui est un sur-ensemble de vos sous-réseaux. Par exemple, 192.168.0.0/24 et 192.168.1.0/24 sont couverts par CIDR 192.168.0.0/23.

Connexion d'un VPN IBM basé sur des règles à un homologue AWS
Figure 1: Connexion d'un VPN IBM basé sur des règles à un homologue AWS

Configuration d'AWS

Pour configurer un homologue AWS, procédez comme suit :

  1. Créez une passerelle client AWS à l'aide d'une adresse IP VPN IBM basée sur des stratégies.

  2. Créez une passerelle privée virtuelle AWS et connectez-la au VPC AWS qui doit envoyer le trafic au VPC IBM.

  3. Créez une connexion de site à site AWS unique :

    • Définissez la passerelle privée virtuelle sur la passerelle que vous avez créée à l'étape 2.

    • Définissez la passerelle client sur la passerelle client que vous avez créée à l'étape 1.

    • Spécifiez Statique comme option de routage.

    • Ajoutez le CIDR côté IBM aux préfixes d'adresse IP statique.

      Pour atteindre plusieurs sous-réseaux contigus dans IBM VPC, utilisez une plage CIDR plus large qui couvre tous les sous-réseaux requis.

    • Entrez une clé pré-partagée pour tunnel1 et tunnel2.

    • Pour ces deux tunnels AWS, choisissez Editer les options de tunnel X et sélectionnez les paramètres de sécurité recherchés. Vous pouvez choisir plusieurs valeurs pour chaque paramètre si elles sont également prises en charge par le IBM VPN.

      Options de tunnelAWS
      Figure 2: AWS

  4. Une fois que le statut de la connexion de site à site AWS est Disponible, accédez à l'onglet Routes statiques pour vérifier que la route correcte a été ajoutée automatiquement. Effectuez des ajustements manuels si nécessaire.

    L'image suivante montre que les réseaux 10.240.128.0/27 et 10.240.128.32/27 côté IBM VPC sont routés avec la nouvelle destination 10.240.128.0/26.

    AWS
    Figure 3: AWS

  5. Accédez à AWS Tables de routage dans la section Virtual private cloud et recherchez la table de routage associée au VPC auquel le VPN a été connecté. Cliquez sur Modifier les routes et ajoutez la même route à la table de routage.

    Table de routageAWS
    Figure 4: AWS

  6. Vérifiez le statut de la connexion sur la page Connexion de site à site.

  7. Vérifiez que la liste de contrôle d'accès et les règles de groupe de sécurité AWS sont ajustées pour autoriser le trafic dont vous avez besoin.

Configuration du VPN IBM basé sur des stratégies

Pour configurer un VPN IBM basé sur des règles pour un homologue AWS, procédez comme suit:

  1. Créez une nouvelle connexion pour l'une des adresses IP de tunnel AWS. Utilisez un seul CIDR pour Sous-réseaux locaux et Sous-réseaux homologues.

    Etant donné que AWS requiert que PFS soit activé lors de la phase 2, vous devez créer une stratégie IPsec personnalisée pour remplacer la stratégie par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec personnalisée dans VPN for VPC.

  2. Une fois que le statut de la connexion est Actif, vérifiez le trafic entre vos sous-réseaux.

Connexion d'un VPN IBM basé sur des routes à un homologue AWS

Vous devez disposer d'une passerelle IBM VPN et de deux connexions VPN AWS (un total de quatre tunnels) pour cette configuration.

Connexion d'un réseau privé virtuel basé sur des routes IBM à un homologue AWS
Figure 5: Connexion d'un réseau privé virtuel basé sur des routes IBM à un homologue AWS

Configuration d'AWS

Pour configurer un homologue AWS, procédez comme suit :

  1. Créez deux passerelles client AWS à l'aide de chacune des adresses IP des membres VPN basés sur des routes IBM.

  2. Créez une passerelle privée virtuelle AWS et connectez-la au VPC AWS qui doit envoyer le trafic au VPC IBM.

  3. Créez la première connexion de site à site AWS.

    • Définissez la passerelle privée virtuelle sur la passerelle que vous avez créée à l'étape 2.
    • Définissez la passerelle client sur la première passerelle client que vous avez créée à l'étape 1.
    • Spécifiez Statique comme option de routage.
    • Divisez le sous-réseau IBM VPC en deux sous-réseaux plus petits et ajoutez-les à Préfixes IP statiques. De cette manière, la première connexion est préférée à la deuxième connexion.
    • Entrez une clé pré-partagée pour tunnel1 et tunnel2
    • Pour les deux tunnels AWS, choisissez Edit Tunnel X Options et sélectionnez les paramètres de sécurité dont vous avez besoin. Vous pouvez choisir plusieurs valeurs pour chaque paramètre si elles sont également prises en charge par le IBM VPN.

  4. Créez la deuxième connexion de site à site AWS.

    • Définissez la passerelle privée virtuelle sur la passerelle que vous avez créée à l'étape 2.
    • Définissez la passerelle client sur la deuxième passerelle client que vous avez créée à l'étape 1.
    • Spécifiez Statique comme option de routage.
    • Ajoutez le sous-réseau IBM VPC à Static IP Prefixes.
    • Entrez une clé pré-partagée pour tunnel1 et tunnel2
    • Pour les deux tunnels AWS, choisissez Edit Tunnel X Options et sélectionnez les paramètres de sécurité dont vous avez besoin. Vous pouvez choisir plusieurs valeurs pour chaque paramètre si elles sont également prises en charge par le IBM VPN.

    AWS
    Figure 6: AWS

  5. Une fois que les connexions de site à site AWS sont à l'état Disponible, accédez à l'onglet Routes statiques de chaque connexion de site à site pour vérifier que les routes correctes ont été ajoutées automatiquement. Effectuez des ajustements manuels si nécessaire. Les images suivantes montrent que le réseau 10.248.0.0/24 est routé sur les deux connexions.

    AWS
    Figure 7: AWS

    AWS
    Figure 8: AWS

  6. Accédez à AWS Route Tables sous VIRTUAL PRIVATE CLOUD et recherchez la table de routage associée au VPC auquel le VPN est connecté. Cliquez sur Modifier les routes et ajoutez la même route à la table de routage.

    Table de routageAWS
    Figure 9: AWS

  7. Vérifiez le statut de la connexion sur la page Connexion de site à site.

  8. Vérifiez que la liste de contrôle d'accès et les règles de groupe de sécurité AWS sont ajustées pour autoriser le trafic dont vous avez besoin.

Configuration du VPN IBM basé sur des routes

Pour configurer un VPN IBM basé sur des routes pour un homologue AWS, procédez comme suit:

  1. Créez quatre nouvelles connexions, une pour chaque IP de tunnel AWS.

    Puisque AWS requiert que PFS soit activé en phase 2, vous devez créer une stratégie IPsec personnalisée afin de remplacer la stratégie par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec personnalisée dans VPN for VPC.

  2. Créez quatre routes pour chaque sous-réseau homologue avec l'option tronçon suivant pointant vers chaque connexion que vous avez créée à l'étape 1. Définissez ensuite chaque route sur une valeur Priorité différente.

    La route avec la valeur Priorité la plus faible est la route de priorité.

    IBM
    Figure 5: IBM

  3. Une fois que le statut des deux connexions indique Actif, vérifiez le trafic entre vos sous-réseaux.

    Vérifiez que la connexion préférée sur AWS est la même que sur IBM pour éviter le routage asymétrique.