IBM Cloud Docs
Connexion à un homologue AWS

Connexion à un homologue AWS

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle VPN AWS pour la connexion à VPN for VPC.

Puisque AWS requiert que PFS soit activé en phase 2, vous devez créer une stratégie IPsec personnalisée afin de remplacer la stratégie par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec.

Lorsque le VPN AWS reçoit une demande de connexion de VPN for VPC, le VPN AWS utilise des paramètres IPsec de phase 1 pour établir une connexion sécurisée et authentifier la passerelle VPN for VPC. Ensuite, si la stratégie de sécurité autorise la connexion, le VPN AWS établit le tunnel en utilisant les paramètres IPsec de phase 2 et applique la stratégie de sécurité IPsec. Les services de gestion de clés, d'authentification et de sécurité sont négociés de manière dynamique via le protocole IKE.

Consultez les problèmes connus des passerelles VPN avant de vous connecter à votre homologue sur site.

Pour prendre en charge ces fonctions, vous devez effectuer les étapes de configuration générales suivantes sur le réseau privé virtuel AWS:

  • La définition des paramètres de phase 1 requis par le VPN AWS nécessite d'authentifier l'homologue distant et d'établir une connexion sécurisée.
  • La définition des paramètres de phase 2 requis par le VPN AWS nécessite de créer un tunnel VPN avec VPN for VPC.

Connexion d'un VPN IBM basé sur des stratégies à un homologue AWS

Vous pouvez utiliser un VPN basé sur des règles VPN for VPC pour vous connecter à un VPN basé sur des routes AWS. Toutefois, les VPN basés sur des règles nécessitent des associations de sécurité (SA) distinctes pour chaque sous-réseau, tandis que les VPN basés sur des routes utilisent une SA unique pour l'ensemble du trafic crypté. Par conséquent, une connexion entre un VPN basé sur des règles et un VPN basé sur des routes est limitée à un SA associé à une seule plage CIDR.

Si vous avez plusieurs sous-réseaux avec une plage d'adresses contiguës, vous pouvez créer une connexion avec un CIDR qui est un super-ensemble de vos sous-réseaux. Par exemple, 192.168.0.0/24 et 192.168.1.0/24 sont couverts par le CIDR 192.168.0.0/23.

Connexion d'un VPN IBM basé sur des règles à un homologue AWS
Figure 1: Connexion d'un VPN IBM basé sur des règles à un homologue AWS

Configuration d'AWS

Pour configurer un homologue AWS, procédez comme suit :

  1. Créez une passerelle client AWS à l'aide d'une adresse IP VPN basée sur la politique IBM.

  2. Créez une passerelle privée virtuelle AWS et connectez-la au VPC AWS qui doit envoyer le trafic au VPC IBM.

  3. Créez une connexion de site à site AWS unique :

    • Définissez la passerelle privée virtuelle sur la passerelle que vous avez créée à l'étape 2.

    • Définissez la passerelle client sur la passerelle client que vous avez créée à l'étape 1.

    • Spécifiez Statique comme option de routage.

    • Ajoutez le CIDR côté IBM aux préfixes d'adresse IP statique.

      Pour atteindre plusieurs sous-réseaux contigus dans IBM VPC, utilisez une plage CIDR plus large qui couvre tous les sous-réseaux requis.

    • Entrez une clé pré-partagée pour tunnel1 et tunnel2.

    • Pour ces deux tunnels AWS, choisissez Editer les options de tunnel X et sélectionnez les paramètres de sécurité recherchés. Vous pouvez choisir plusieurs valeurs pour chaque paramètre si elles sont également prises en charge par le site IBM VPN.

      Options de tunnelAWS
      Figure 2: AWS

  4. Une fois que l'état de la connexion site à site AWS est Disponible, allez dans l'onglet Routes statiques pour vérifier que la route correcte a été ajoutée automatiquement. Effectuez des ajustements manuels si nécessaire.

    L'image suivante montre que les réseaux 10.240.128.0/27 et 10.240.128.32/27 du côté du VPC IBM sont acheminés avec la nouvelle destination 10.240.128.0/26.

    AWS
    Figure 3: AWS

  5. Allez sur AWS Route tables dans la section Virtual private cloud et trouvez la table de route qui est associée au VPC où le VPN a été attaché. Cliquez sur Modifier les routes et ajoutez la même route à la table de routage.

    Table de routageAWS
    Figure 4: AWS

  6. Vérifiez l'état de la connexion sur la page Connexion site à site.

  7. Vérifiez que les règles des ACL et des groupes de sécurité de AWS sont ajustées pour autoriser le trafic dont vous avez besoin.

Configuration du VPN IBM basé sur des stratégies

Pour configurer un VPN basé sur une stratégie IBM pour un homologue AWS, procédez comme suit :

  1. Créez une nouvelle connexion pour l'une des adresses IP de tunnel AWS. Utilisez un seul CIDR pour Sous-réseaux locaux et Sous-réseaux homologues.

    Parce que AWS exige que PFS soit activé dans la phase 2, vous devez créer une politique IPsec personnalisée pour remplacer la politique par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec personnalisée dans VPN for VPC.

  2. Une fois que le statut de la connexion est Actif, vérifiez le trafic entre vos sous-réseaux.

Connexion d'un VPN IBM basé sur des routes à un homologue AWS

Vous devez disposer d'une passerelle IBM VPN et de deux connexions VPN AWS (un total de quatre tunnels) pour cette configuration.

Connexion d'un réseau privé virtuel basé sur des routes IBM à un homologue AWS
Figure 5: Connexion d'un réseau privé virtuel basé sur des routes IBM à un homologue AWS

Configuration d'AWS

Pour configurer un homologue AWS, procédez comme suit :

  1. Créez deux passerelles client AWS à l'aide de chacune des adresses IP des membres VPN basés sur des routes IBM.

  2. Créez une passerelle privée virtuelle AWS et connectez-la au VPC AWS qui doit envoyer le trafic au VPC IBM.

  3. Créez la première connexion de site à site AWS.

    • Définissez la passerelle privée virtuelle sur la passerelle que vous avez créée à l'étape 2.
    • Définissez la passerelle client sur la première passerelle client que vous avez créée à l'étape 1.
    • Spécifiez Statique comme option de routage.
    • Divisez le sous-réseau IBM VPC en deux sous-réseaux plus petits et ajoutez-les à Préfixes IP statiques. De cette manière, la première connexion est préférée à la deuxième connexion.
    • Saisissez une clé prépartagée pour les deux tunnel1 et tunnel2
    • Pour les deux tunnels AWS, choisissez Edit Tunnel X Options et sélectionnez les paramètres de sécurité dont vous avez besoin. Vous pouvez choisir plusieurs valeurs pour chaque paramètre si elles sont également prises en charge par le site IBM VPN.
  4. Créez la deuxième connexion de site à site AWS.

    • Définissez la passerelle privée virtuelle sur la passerelle que vous avez créée à l'étape 2.
    • Définissez la passerelle client sur la deuxième passerelle client que vous avez créée à l'étape 1.
    • Spécifiez Statique comme option de routage.
    • Ajoutez le sous-réseau IBM VPC à Static IP Prefixes.
    • Saisissez une clé prépartagée pour les deux tunnel1 et tunnel2
    • Pour les deux tunnels AWS, choisissez Edit Tunnel X Options et sélectionnez les paramètres de sécurité dont vous avez besoin. Vous pouvez choisir plusieurs valeurs pour chaque paramètre si elles sont également prises en charge par le site IBM VPN.

    AWS
    Figure 6: AWS

  5. Une fois que les connexions de site à site AWS sont à l'état Disponible, accédez à l'onglet Routes statiques de chaque connexion de site à site pour vérifier que les routes correctes ont été ajoutées automatiquement. Effectuez des ajustements manuels si nécessaire. Les images suivantes montrent que le réseau 10.248.0.0/24 est routé sur les deux connexions.

    AWS
    Figure 7: AWS

    AWS
    Figure 8: AWS

  6. Allez sur AWS Route Tables sous VIRTUAL PRIVATE CLOUD et trouvez la table de routage associée au VPC auquel le VPN est rattaché. Cliquez sur Modifier les routes et ajoutez la même route à la table de routage.

    Table de routageAWS
    Figure 9: AWS

  7. Vérifiez l'état de la connexion sur la page Connexion site à site.

  8. Vérifiez que les règles des ACL et des groupes de sécurité de AWS sont ajustées pour autoriser le trafic dont vous avez besoin.

Configuration du VPN basé sur les routes IBM

Pour configurer un VPN IBM basé sur des routes pour un homologue AWS, procédez comme suit:

  1. Créez quatre nouvelles connexions, une pour chaque IP du tunnel AWS.

    Puisque AWS requiert que PFS soit activé en phase 2, vous devez créer une stratégie IPsec personnalisée afin de remplacer la stratégie par défaut pour le VPN dans votre VPC. Pour plus d'informations, voir Création d'une stratégie IPsec personnalisée dans VPN for VPC.

  2. Créez quatre routes pour chaque sous-réseau homologue avec l'option tronçon suivant pointant vers chaque connexion que vous avez créée à l'étape 1. Définissez ensuite chaque route sur une valeur Priorité différente.

    La route avec la valeur Priorité la plus faible est la route de priorité.

    IBM
    Figure 5: IBM

  3. Une fois que l'état des deux connexions est actif, vérifiez le trafic entre vos sous-réseaux.

    Vérifiez que la connexion préférée sur AWS est la même que sur IBM pour éviter le routage asymétrique.