IBM Cloud Docs
Configuration des groupes de sécurité et des NACL à utiliser avec un serveur VPN

Configuration des groupes de sécurité et des NACL à utiliser avec un serveur VPN

Les groupes de sécurité et les listes de contrôle d'accès au réseau (NACL) peuvent être configurés sur le sous-réseau du serveur VPN où le serveur VPN est déployé, ainsi que sur d'autres sous-réseaux VPC qui communiquent via le tunnel VPN.

Si vous configurez des groupes de sécurité et des NACL sur le sous-réseau du serveur VPN, assurez-vous que les règles suivantes sont en place pour autoriser le trafic du tunnel VPN. Pour plus d'informations, voir A propos des groupes de sécurité et Configuration des listes de contrôle d'accès réseau.

Si vous ne spécifiez pas de groupe de sécurité lorsque vous mettez à disposition le serveur VPN, le groupe de sécurité par défaut du VPC est attaché au serveur VPN. Vous pouvez associer d'autres groupes de sécurité au serveur VPN après la mise à disposition de votre serveur.

Règles pour le trafic du protocole VPN

Les serveurs VPN peuvent fonctionner avec le protocole TCP ou UDP. Vous pouvez spécifier le protocole et le port lorsque vous mettez à disposition le serveur VPN. Vous devez ouvrir le protocole et le port correspondants avec les règles du groupe de sécurité et NACL.

Règles de groupe de sécurité pour un serveur VPN
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant VPN server protocol Bloc de routage CIDR 0.0.0.0/0 VPN server port
sortant VPN server protocol Bloc de routage CIDR 0.0.0.0/0 VPN server port
Règles NACL pour un serveur VPN
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant VPN server protocol Tout Tout VPN server subnet VPN server port
sortant VPN server protocol VPN server subnet VPN server port Tout Tout

Par exemple, par défaut, le serveur VPN fonctionne sur le port UDP 443, vous devez donc configurer le groupe de sécurité et les règles NACL comme suit :

Informations de configuration pour les règles du groupe de sécurité d'un serveur VPN avec protocole et port par défaut
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant UDP Bloc de routage CIDR 0.0.0.0/0 443
sortant UDP Bloc de routage CIDR 0.0.0.0/0 443
Informations de configuration pour une NACL d'un serveur VPN avec protocole et port par défaut
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant UDP Tout Tout VPN server subnet 443
sortant UDP VPN server subnet 443 Tout Tout

Règles pour le trafic VPN avec deliver route action

Lorsque le client est connecté au serveur VPN, ce dernier supprime par défaut tout le trafic provenant du client. Vous devez donc configurer la route VPN sur le serveur VPN pour autoriser ce trafic. L'action de l'itinéraire peut être deliver ou translate.

  • Lorsque l'action est deliver, après le déchiffrement du paquet à partir du tunnel, le paquet est transmis directement. L'adresse IP source du paquet est l'adresse IP du client VPN, qui provient du pool d'adresses IP du client.
  • Lorsque l'action est translate, après le déchiffrement du paquet à partir du tunnel, l'adresse IP source du paquet est convertie en adresse IP privée du serveur VPN, puis le paquet est envoyé.

Notez quel CIDR doit être spécifié lorsque vous créez le groupe de sécurité et les règles NACL.

Règles du groupe de sécurité pour une route de livraison VPN sur le serveur VPN
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant TOUT Bloc de routage CIDR VPN route destination CIDR Tout
sortant TOUT Bloc de routage CIDR VPN route destination CIDR Tout
Règles NACL pour une route de livraison VPN sur le sous-réseau du serveur VPN
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT VPN route destination CIDR Tout VPN server client IP pool Tout
sortant TOUT VPN server client IP pool Tout VPN route destination CIDR Tout

En même temps, vous devez configurer le groupe de sécurité et NACL sur le serveur virtuel VPC pour débloquer le trafic du client VPN :

Règles de groupe de sécurité pour une route de livraison VPN sur l'interface du serveur virtuel VPC
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant TOUT Bloc de routage CIDR VPN server client IP pool Tout
sortant TOUT Bloc de routage CIDR VPN server client IP pool Tout
Règles NACL pour une route de livraison VPN sur le sous-réseau du serveur virtuel VPC
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT VPN server client IP pool Tout VPN route destination CIDR Tout
sortant TOUT VPN route destination CIDR Tout VPN server client IP pool Tout

Par exemple, si vous utilisez 172.16.0.0/20 comme pool d'adresses IP client lorsque vous mettez à disposition le serveur VPN, et que vous souhaitez accéder aux ressources du sous-réseau 10.240.128.0/24 à partir du client VPN, vous devez créer une route VPN avec la destination : 10.240.128.0/24 et l'action : deliver. Vous devez également configurer les groupes de sécurité et les règles NACL comme suit :

Règles du groupe de sécurité pour une route de livraison VPN sur le serveur VPN
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant TOUT Bloc de routage CIDR 10.240.128.0/24 Tout
sortant TOUT Bloc de routage CIDR 10.240.128.0/24 Tout
Règles NACL pour une route de livraison VPN sur le sous-réseau du serveur VPN
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT 10.240.128.0/24 Tout 172.16.0.0/20 Tout
sortant TOUT 172.16.0.0/20 Tout 10.240.128.0/24 Tout
Règles de groupe de sécurité pour une route de livraison VPN sur le serveur virtuel VPC
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant TOUT Bloc de routage CIDR 172.16.0.0/20 Tout
sortant TOUT Bloc de routage CIDR 172.16.0.0/20 Tout
Règles NACL pour une route de livraison VPN sur le sous-réseau du serveur virtuel VPC
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT 172.16.0.0/20 Tout 10.240.128.0/24 Tout
sortant TOUT 10.240.128.0/24 Tout 172.16.0.0/20 Tout

Règles pour le trafic VPN avec translate route action

Les règles pour la route de conversion VPN sont presque identiques à la route de livraison. La seule différence est que l'adresse IP source du paquet est convertie en adresse IP privée du serveur VPN. Par conséquent, vous devez utiliser le sous-réseau du serveur VPN au lieu du pool d'adresses IP du client du serveur VPN.

Si vous sélectionnez plusieurs sous-réseaux lors de l'approvisionnement du serveur VPN, vous devez inclure tous les sous-réseaux dans le groupe de sécurité et les règles NACL.

Règles du groupe de sécurité pour une route de conversion VPN sur le serveur VPN.
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant TOUT Bloc de routage CIDR VPN route destination CIDR Tout
sortant TOUT Bloc de routage CIDR VPN route destination CIDR Tout
Règles NACL pour une route VPN translate sur le sous-réseau du serveur VPN
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT VPN route destination CIDR Tout VPN server subnet CIDR Tout
sortant TOUT VPN server subnet CIDR Tout VPN route destination CIDR Tout

Normalement, la destination de la route de conversion VPN est hors du VPC. Par exemple, supposons que vous souhaitiez utiliser un serveur VPN pour accéder à l'instance de serveur virtuel de l'infrastructure classique IBM. En même temps, vous devez configurer des règles de pare-feu sur la destination pour débloquer le trafic du client VPN.

Par exemple, si vous utilisez les sous-réseaux 10.240.64.0/24 et 10.240.129.0/24 lors de la mise à disposition du serveur VPN, il existe un sous-réseau 10.187.190.0/26 dans l'infrastructure classique IBM et vous souhaitez accéder à l'instance de serveur virtuel classique à partir du client VPN. Ensuite, vous devez créer une route VPN avec destination : 10.187.190.0/26, action : translate et configurer le groupe de sécurité et les règles NACL comme suit :

Règles du groupe de sécurité pour une route de conversion VPN sur le serveur VPN.
Règles entrantes/sortantes Protocole Type de source/destination Source Valeur
entrant TOUT Bloc de routage CIDR 10.187.190.0/26 Tout
sortant TOUT Bloc de routage CIDR 10.187.190.0/26 Tout
Règles NACL pour une route VPN translate sur le sous-réseau du serveur VPN
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT 10.187.190.0/26 Tout 10.240.64.0/24 Tout
entrant TOUT 10.187.190.0/26 Tout 10.240.129.0/24 Tout
sortant TOUT 10.240.64.0/24 Tout 10.187.190.0/26 Tout
sortant TOUT 10.240.129.0/24 Tout 10.187.190.0/26 Tout
Règles de pare-feu pour une route de conversion VPN sur le dispositif de pare-feu cible (facultatif)
Règles entrantes/sortantes Protocole IP source Port source Adresse IP de destination Port de destination
entrant TOUT 10.240.64.0/24 Tout 10.187.190.0/26 Tout
entrant TOUT 10.240.129.0/24 Tout 10.187.190.0/26 Tout
sortant TOUT 10.187.190.0/26 Tout 10.240.64.0/24 Tout
sortant TOUT 10.187.190.0/26 Tout 10.240.129.0/24 Tout