IBM Cloud Docs
FAQ pour les serveurs VPN client à site

FAQ pour les serveurs VPN client à site

Il se peut que vous vous posiez les questions courantes ci-après lorsque vous utilisez IBM Cloud® VPN for VPC.

Que signifie le statut d'intégrité d'un VPN ?

Les descriptions des statuts sont les suivantes :

  • Healthy- Indique que votre serveur VPN fonctionne correctement.
  • Degraded - Indique que votre serveur VPN présente des problèmes de performance, de capacité ou de connectivité.
  • Faulted - Indique que votre serveur VPN est complètement inaccessible et inopérant.
  • Inapplicable - Indique que l'état de santé ne s'applique pas en raison de l'état en cours du cycle de vie. Une ressource dont l'état de cycle de vie est failed ou deleting aura un état de santé inapplicable. Une ressource Pending peut également avoir cet état.

Pourquoi ne puis-je pas enregistrer le mot de passe/code d'accès dans le client VPN ?

Le code d'accès généré par IBM IAM est un code d'accès unique basé sur le temps (TOTP), qui ne peut pas être réutilisé. Vous devez le régénérer chaque fois.

Si je mets à jour un serveur VPN avec des clients VPN connectés, que se passe-t-il pour les clients VPN ?

Les clients VPN sont déconnectés en même temps que le serveur VPN. Tous les clients VPN doivent se reconnecter au serveur VPN. Lorsque vous utilisez l'authentification par ID utilisateur et code d'accès, vous devez récupérer le code d'accès et initier la connexion à partir de votre client VPN.

Pourquoi le client VPN est-il déconnecté ?

L'administrateur du serveur VPN peut spécifier un temps d'inactivité du client VPN. Lorsqu'il n'y a pas de trafic en provenance du client VPN pendant la fenêtre de temps d'inactivité, le serveur VPN déconnecte le client automatiquement. Vous devez réinitialiser la session VPN à partir de votre client VPN s'il est déconnecté.

Si je supprime un serveur VPN avec des clients VPN connectés, que se passe-t-il avec les clients VPN ?

Les clients VPN sont déconnectés en même temps que le serveur VPN.

Qu'arrive-t-il à un serveur VPN si j'essaie de supprimer le sous-réseau sur lequel se trouve le serveur VPN ?

Vous ne pouvez pas supprimer le sous-réseau si des serveurs VPN sont présents.

Comment puis-je mettre à jour le groupe de sécurité auquel mon serveur VPN est associé ?

  1. Dans le panneau de navigation, cliquez sur VPN > Serveurs client à site et sélectionnez le serveur VPN à mettre à jour.
  2. Cliquez sur Groupes de sécurité associés > Associer et sélectionnez le groupe de sécurité à associer.

Puis-je créer des routes et utiliser les adresses IP privées du serveur VPN comme prochain tronçon?

Non, vous ne pouvez pas créer de routes et utiliser les adresses IP privées. Les adresses IP privées ne sont pas statiques et peuvent changer à tout moment. Le service VPN for VPC met à jour automatiquement les routes dans la table de routage VPC. Si vous créez une table de routage VPC et que vous souhaitez que le service VPN for VPC injecte des routes dans la nouvelle table de routage, vous devez ajouter le serveur VPN à l'indicateur accept routes from. Vous devez également retirer le serveur VPN de l'indicateur accept routes from si vous ne souhaitez pas que le serveur VPN injecte des routes dans la table de routage. Pour plus d'informations, voir Configuration de la propagation de routes pour les serveurs VPN.

Qu'arrive-t-il à un serveur VPN si j'essaie de supprimer le groupe de sécurité auquel le serveur VPN est associé ?

Vous ne pouvez pas supprimer un groupe de sécurité si des serveurs VPN sont présents.

Comment faire passer un VPN client-site du mode tunnel complet au mode tunnel fractionné?

Suivez ces étapes :

  1. Dans la console IBM Cloud, cliquez sur l'icône de menu Navigation > Infrastructure VPC **> Réseau **> VPNs.
  2. Cliquez sur Serveurs client à site et cliquez sur le nom du serveur VPN que vous souhaitez mettre à jour.
  3. Dans les détails du serveur VPN, cliquez sur Edit et sélectionnez Split Tunnel dans le menu Tunnel mode.
  4. Saisissez les adresses IP spécifiques ou les plages d'adresses des réseaux auxquels vous souhaitez accéder via le VPN.
  5. Cliquez sur Sauvegarder.

Pourquoi dois-je choisir les sous-réseaux pendant la mise à disposition du serveur VPN ?

Le serveur réside dans le sous-réseau VPN que vous avez choisi. Un serveur VPN a besoin de deux adresses IP privées disponibles dans chaque sous-réseau pour assurer une haute disponibilité et une maintenance automatique. Il est préférable d'utiliser le sous-réseau dédié au serveur VPN de taille 8, où la longueur du préfixe du sous-réseau est inférieure ou égale à 29. Avec des sous-réseaux dédiés, vous pouvez personnaliser le groupe de sécurité et l'ACL pour une plus grande flexibilité du serveur VPN.

Le serveur VPN prend-il en charge les configurations à haute disponibilité ?

Oui, il prend en charge la haute disponibilité dans une configuration active-active. Vous devez choisir deux sous-réseaux si vous souhaitez déployer un serveur VPN à haute disponibilité avec deux domaines d'erreur. Vous pouvez également mettre à niveau le serveur VPN autonome vers le mode haute disponibilité et rétromigrer le serveur VPN à haute disponibilité vers le mode autonome.

Y a-t-il des limites de débit pour le serveur VPN ?

Jusqu'à 600 Mbps de débit d'agrégation sont pris en charge par un serveur VPN autonome. Un maximum de 1200 Mbps de débit d'agrégation est supporté avec un serveur VPN à haute disponibilité. Jusqu'à 150 Mbit / s de débit pour une connexion client unique (applicable aux serveurs VPN autonomes et à haute disponibilité).

Puis-je utiliser un serveur VPN pour l'infrastructure IBM Cloud classic ?

Oui, vous pouvez utiliser un serveur VPN pour l'infrastructure classique IBM Cloud. Cependant, vous devez également activer l'accès classique sur le VPC, ou configurer IBM Cloud Transit Gateway pour connecter le VPC où réside le serveur VPN.

Quel client VPN est pris en charge ?

Pour plus d'informations, voir Logiciels clients pris en charge.

Quel protocole et quel port puis-je utiliser pour le serveur VPN ?

Vous pouvez utiliser UDP ou TCP et n'importe quel numéro de port pour exécuter le serveur VPN. Le port UDP est recommandé car il offre de meilleures performances ; le port 443 est recommandé car les autres ports peuvent être bloqués par les fournisseurs de services Internet. Si vous ne pouvez pas vous connecter au serveur VPN à partir de votre client VPN, vous pouvez essayer le port TCP/443 car il est ouvert sur presque tous les fournisseurs de services Internet.

Quelle action de route dois-je utiliser ?

L'action de la route VPN dépend de la destination de la route :

  • Si la destination de la route se trouve dans le VPC, ou dans un sous-réseau privé sur site connecté à l'aide d'une passerelle VPN, l'action de la route peut être deliver, sinon, elle est translate.
  • Si vous souhaitez bloquer le trafic en provenance du client, utilisez l'action de route drop pour transférer le trafic réseau non sollicité ou indésirable vers une route nulle ou "trou noir".
  • Lorsque l'action de route est translate, l'adresse IP source est convertie en adresse IP privée du serveur VPN avant d'être envoyée par le serveur VPN. Cela signifie que l'adresse IP de votre client VPN est invisible pour les appareils de destination.

Quelles adresses IP de serveur DNS dois-je utiliser ?

Les adresses IP des serveurs DNS sont facultatives lorsque vous mettez à disposition un serveur VPN. Vous devez utiliser les adresses IP 161.26.0.10 et 161.26.0.11 si vous souhaitez accéder aux points d'extrémité de service et aux points d'extrémité IaaS depuis votre client. Pour plus de détails, voir Points d'extrémité de service et Points d'extrémité IaaS.

Utilisez 161.26.0.7 et 161.26.0.8 si vous devez résoudre des noms DNS privés depuis votre client. Pour plus d'informations, voir A propos de DNS Services.

Comment mettre à jour le certificat du serveur VPN ?

Le serveur VPN n'est pas au courant des mises à jour apportées à un certificat dans Secrets Manager. Vous devez réimporter le certificat avec un autre CRN, puis mettre à jour le serveur VPN avec le nouveau certificat CRN.

Puis-je utiliser un nom d'hôte personnalisé pour le serveur VPN?

Oui. Vous devez créer un enregistrement DNS CNAME et le pointer vers le nom d'hôte du serveur VPN dans votre fournisseur DNS. Ensuite, éditez le profil de client en remplaçant directement remote 445df6c234345.us-south.vpn-server.appdomain.cloud par remote your-customized-hostname.com.

445df6c234345.us-south.vpn-server.appdomain.cloud est un exemple de nom d'hôte de serveur VPN.

Si vous utilisez IBM Cloud Internet Services comme fournisseur DNS, reportez-vous à Enregistrement de type CNAME pour savoir comment ajouter un enregistrement DNS CNAME.

Quelles informations dois-je fournir dans un dossier de support IBM si j'ai besoin d'aide ?

Indiquez les informations suivantes dans votre cas de support IBM :

  1. Votre ID de serveur VPN.

  2. La version de votre client VPN et de votre système d'exploitation.

  3. Les journaux de votre client VPN.

  4. La période pendant laquelle vous avez rencontré le problème.

  5. Si l'authentification basée sur l'ID de l'utilisateur est utilisée, indiquez le nom d'utilisateur.

  6. Si l'authentification basée sur un certificat est utilisée, indiquez le nom commun de votre certificat client.

    Pour afficher le nom commun de votre certificat client, utilisez la commande OpenSSL openssl x509 -noout -text -in your_client_certificate_file dans la section subject.

Comment affecter le rôle VPN client à l'aide des balises de gestion des accès IAM dans l'API?

Lorsque vous gérez l'accès utilisateur à l'aide de balises de gestion des accès sur un VPN client-site et que vous activez le mode UserId and Passcode pour Client Authentication, vous devez associer le rôle VPN Client à une balise d'accès. Sinon, le client VPN ne peut pas se connecter au serveur VPN. Pour plus d'informations, voir Octroi aux utilisateurs de l'accès à l'étiquette des ressources activées pour IAM à l'aide de l'API et définition de role_id sur crn:v1:bluemix:public:is::::serviceRole:VPNClient pour accorder l'accès.