Création d'une passerelle VPN

Vous pouvez créer un IBM Cloud VPN pour VPC afin de connecter en toute sécurité votre VPC à un autre réseau privé, tel qu'un réseau sur site ou un autre VPC.

Avant de commencer, passez en revue les considérations de planification pour les passerelles VPN et les limitations, problèmes et restrictions connus des passerelles VPN.

Créer une passerelle VPN dans la console

Pour créer une passerelle VPN dans la console, procédez comme suit :

  1. Depuis votre navigateur, ouvrez la console IBM Cloud et connectez-vous à votre compte.

  2. Sélectionnez l' icône du menu de navigation, puis cliquez sur l'icône Infrastructure VPC > Réseau > VPN.

  3. Veillez à sélectionner les onglets Passerelles de site à site > Passerelles VPN.

  4. Sur la page VPN for VPC, cliquez sur Créer, puis sélectionnez la vignette de passerelle Site à site :

  5. Spécifiez les informations suivantes :

    • Région- Sélectionnez la région dans laquelle la passerelle VPN sera installée.

    • Nom de la passerelle VPN - Entrez un nom pour la passerelle VPN, par exemple, my-vpn-gateway.

    • Groupe de ressources - Sélectionnez un groupe de ressources pour la passerelle VPN.

    • Etiquettes - En option, ajoutez des étiquettes pour identifier cette passerelle VPN.

    • Balises de gestion des accès-Si vous le souhaitez, ajoutez des balises de gestion des accès aux ressources pour faciliter l'organisation des relations de contrôle d'accès. key:value est le seul format pris en charge pour les étiquettes de gestion des accès. Pour plus d'informations, voir Contrôle de l'accès aux ressources à l'aide d'étiquettes.

    • Cloud privé virtuel - Sélectionnez le VPC pour la passerelle VPN.

    • Sous-réseau- Sélectionnez le sous-réseau dans lequel vous souhaitez créer la passerelle VPN. Pour obtenir des informations importantes sur le sous-réseau, voir Remarques relatives à la planification.

    • Mode-Sélectionnez un VPN basé sur une stratégie ou sur une route. Pour plus d'informations sur les types de VPN, voir Fonctions VPN.

    • ASN- Identifiant numérique de la passerelle VPN. Cette valeur identifie votre réseau local pour le peering BGP et est utilisée lors de l'établissement de la session BGP avec votre appareil sur site.

    • CIDR annoncés (facultatif )- Valeurs de la plage CIDR qui annoncent les plages de réseau IPv4 aux homologues VPN distants.

      La valeur ASN est nécessaire pour le routage dynamique. Si vous ne spécifiez pas d'ASN, la passerelle VPN est créée avec l'ASN par défaut de 64520. Vous ne pouvez pas modifier la valeur ASN locale après avoir connecté la passerelle VPN à la passerelle de transit.

  6. Dans la section Connexion VPN pour VPC, activez le commutateur pour établir la connectivité entre cette passerelle et le réseau en dehors de votre VPN. Vous pouvez également ajouter une connexion VPN après avoir approvisionné la passerelle. Dans la section Détails de la connexion, spécifiez les informations suivantes :

    • Nom de connexion VPN - Entrez un nom pour la connexion, par exemple, my-connection.

    • Type de connexion- Sélectionnez le type de connexion statique ou dynamique.

    • Adresse de passerelle homologue-Spécifiez l'unité homologue via une adresse IP publique ou un nom de domaine complet de la passerelle VPN pour le réseau en dehors de votre VPC.

    • Peer ASN (Dynamic route-based only)- Si vous sélectionnez Dynamic comme type de connexion, vous devez spécifier l'ASN de l'homologue. Cette valeur identifie le réseau homologue distant avec lequel le VPN échange des routes.

      Certaines valeurs ASN sont restreintes et ne peuvent pas être utilisées comme ASN homologues, notamment 0, 13884, 36351, 64512, 64513, 65100, 65200–‍65234, 65402‍–‍65433, 65500, ou 4201065000‍–‍4201065999. Ces valeurs sont soit réservées, soit font partie de plages ASN privées, et peuvent entraîner des conflits de routage.

    • Mode Etablissement-Sélectionnez Bidirectionnel ou Homologue uniquement.

      • Le mode bidirectionnel lance les négociations du protocole IKE (ou les processus de recomposition de clés) de part et d'autre de la passerelle VPN.
      • Le mode homologue uniquement permet à l'homologue d'initier des négociations de protocole IKE pour cette connexion de passerelle VPN. L'homologue est également chargé de lancer le processus de recodage après l'établissement de la connexion.

      Si votre unité homologue se trouve derrière une unité NAT et n'a pas d'adresse IP publique, veillez à spécifier Homologue uniquement.

    • Clé pré-partagée - Spécifiez la clé d'authentification de la passerelle VPN pour le réseau qui se trouve en dehors de votre VPC. La clé pré-partagée est une chaîne de caractères hexadécimaux ou une phrase passe de caractères ASCII imprimables. Pour être compatible avec la plupart des types de passerelle homologues, cette chaîne doit respecter les règles suivantes :

      • Il peut s'agir d'une combinaison de chiffres, de caractères minuscules ou majuscules, ou des caractères spéciaux suivants : - + & ! @ # $ % ^ * ( ) . , :
      • La longueur de la chaîne doit être comprise entre 6 et 128 caractères.
      • La chaîne ne peut pas commencer par 0x ou 0s.

    • Distribuer le trafic (VPN basé sur les routes uniquement )- Activez cette option pour distribuer automatiquement le trafic entre les tunnels actifs de la passerelle VPN lorsque le saut suivant d'une route VPC est la connexion VPN. Cette option est utile pour maximiser le débit lorsque deux tunnels VPN se connectent à votre réseau homologue distant. Si cette option n'est pas activée, la passerelle VPN choisit le tunnel avec l'IP publique la plus petite comme chemin principal, et ne passe au tunnel secondaire que si le premier tombe en panne. Pour plus d'informations, voir le cas d'utilisation 4 : distribution du trafic pour un VPN basé sur les routes.

    • Sous-réseaux locaux (VPN basé sur des stratégies uniquement) - Spécifiez un ou plusieurs sous-réseaux du VPC auquel vous souhaitez vous connecter via le tunnel VPN.

    • Sous-réseaux de l'homologue (VPN basé sur une politique uniquement)- Spécifiez un ou plusieurs sous-réseaux du réseau homologue que vous souhaitez connecter via le tunnel VPN.

      Le chevauchement de plages de sous-réseaux entre les sous-réseaux locaux et homologues n'est pas autorisé.

  7. Dans la section Détails du tunnel (basé sur la route dynamique uniquement), spécifiez les IP du tunnel et de l'interface homologue requises pour le routage dynamique avec BGP.

    • IP de l'interface du tunnel - Spécifiez l'adresse IP attribuée à la passerelle VPN du tunnel VPN.

    • IP de l'interface homologue- Spécifiez l'adresse IP attribuée au côté réseau distant du tunnel VPN. Cette adresse correspond à votre appareil sur site ou à votre passerelle VPN homologue.

      Les IP du tunnel et de l'interface homologue doivent être continues et appartenir au même sous-réseau /30. Ce sous-réseau fournit quatre adresses IP, mais la première (adresse réseau) et la dernière (adresse de diffusion) sont réservées. Par exemple, dans le sous-réseau 192.168.0.0/30, les adresses IP utilisables sont 192.168.0.1 et 192.168.0.2. Si vous affectez 192.168.0.1 à l'interface du tunnel 1, vous devez affecter 192.168.0.2 à l'interface de l'homologue 1. De même, pour le tunnel 2, utilisez un sous-réseau /30 différent, tel que 192.168.0.4/30. Dans ce cas, assignez 192.168.0.5 à l'interface du tunnel 2 et 192.168.0.6 à l'interface du pair 2. En outre, les adresses IP du tunnel utilisées pour établir les connexions IPsec ne peuvent pas chevaucher la plage CIDR choisie pour la connexion Transit Gateway.

  8. Dans la section Dead peer detection, configurez la façon dont la passerelle VPN envoie des messages pour vérifier que la passerelle homologue est active. Spécifiez les informations suivantes :

    • Action - Action DPD (Dead Peer Detection) à exécuter si une passerelle homologue ne répond plus. Par exemple, sélectionnez Redémarrer si vous voulez que la passerelle renégocie immédiatement la connexion.
    • Intervalle (sec) - Fréquence à laquelle le système vérifie si la passerelle homologue est active. Par défaut, des messages sont envoyés toutes les 2 secondes.
    • Délai d'attente (sec) - Délai d'attente observé pour l'obtention d'une réponse de la passerelle homologue. Par défaut, une passerelle homologue n'est plus considérée comme active si aucune réponse n'est reçue dans les 10 secondes.

  9. Dans la section Stratégies, spécifiez les options IKE (Internet Key Exchange) et IPsec (Internet Protocol Security) à utiliser pour la négociation de la phase 1 et de la phase 2 de la connexion.

    • Sélectionnez Auto si vous souhaitez que la passerelle essaye automatiquement d'établir la connexion.
    • Sélectionnez ou créez des politiques personnalisées si :
      • Vous devez appliquer des exigences particulières en matière de sécurité.
      • La passerelle VPN sur l'autre réseau ne prend pas en charge les propositions de sécurité qui sont automatiquement négociées lors de l'installation.

    Les options de sécurité IKE et IPsec que vous spécifiez pour la connexion doivent correspondre exactement à celles qui sont définies sur la passerelle homologue pour le réseau en dehors de votre VPC.

  10. Dans la section Options avancées, vous pouvez personnaliser les identités IKE locales et homologues au lieu d'utiliser l'identité IKE par défaut. Une identité IKE homologue peut être spécifiée au maximum.

    Pour les passerelles VPN basées sur des règles, vous pouvez configurer une identité IKE locale au maximum. Pour les passerelles VPN basées sur des routes, si vous souhaitez configurer une identité IKE locale, vous devez en indiquer deux. Vous pouvez fournir des valeurs pour les membres ou laisser les champs de saisie vides.

    • Identités IKE locales-Sélectionnez un type pour l'identité IKE locale, puis entrez sa valeur. Par exemple, vous pouvez entrer une adresse IPv4 unique de 4 octets (9.168.3.4), un FQDN (my-vpn.example.com), un nom d'hôte (my-host) ou un identifiant de clé base64-encoded (MTIzNA==).

      • Le mode route statique est constitué de deux membres en mode active-active, où la première identité s'applique au premier membre et la deuxième identité s'applique au deuxième membre. Si vous ne spécifiez pas d'identités IKE locales, le type est une adresse IPv4 et la valeur est l'adresse IP publique du tunnel de connexion VPN du membre.

      • Le mode règle se compose de deux membres en mode active-veille. L'identité IKE locale s'applique au membre actif. Si vous ne spécifiez pas de valeur, l'identité IKE locale est l'adresse IP publique de la passerelle VPN.

    • Identité IKE de l'homologue-Sélectionnez un type pour l'identité IKE de l'homologue, puis entrez sa valeur. Par exemple, vous pouvez saisir une adresse IPv4 (9.168.3.4), un FQDN (my-vpn.example.com), un nom d'hôte (my-host) ou un ID de clé base64-encoded (MTIzNA==).

      L'identité IKE de l'homologue s'applique au membre actif. Si vous n'indiquez pas de valeur, utilisez l'adresse IPv4 ou le nom de domaine complet de la passerelle homologue.

Création d'une passerelle VPN à partir de l'interface de programmation

Avant de commencer, configurez votre environnement d'interface de ligne de commande.

Pour créer une passerelle VPN à partir de l'interface de gestion, entrez la commande suivante :

ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
    [--mode policy | route]
    [--advertised-cidrs IPv4_NETWORK_RANGE]
    [--local-asn ASN_NUMBER]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

Où :

VPN_GATEWAY_NAME
Le nom de la passerelle VPN.
SUBNET
ID du sous-réseau.
--mode
Mode de la passerelle VPN. L'un d'entre eux : policy, route.
--advertised-cidrs
IPv4 pour annoncer l'adresse à l'homologue VPN distant.
--local-asn
Identifie votre réseau local pour le peering BGP.
--resource-group-id
ID du groupe de ressources. Cette option est mutuellement exclusive avec --resource-group-name.
--resource-group-name
Nom du groupe de ressources. Cette option est mutuellement exclusive avec --resource-group-id.
--output
Sortie au format JSON.
-q, --quiet
Option qui supprime la sortie prolixe.

Exemples de commande

  • Créer une passerelle VPN basée sur des stratégies avec un ID sous-réseau spécifique :

    ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route

  • Créez une passerelle VPN basée sur des règles en utilisant le groupe de ressources Default :

    ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode policy --resource-group-name Default

  • Créer une passerelle VPN basée sur les routes, en utilisant un identifiant de groupe de ressources spécifique, avec un résultat au format JSON :

    ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

  • Créer une passerelle VPN basée sur les routes pour une connexion dynamique avec les CIDR annoncés et l'ASN local :

    ibmcloud is vpn-gateway-create my-vpc-gateway fee82deba12e4c0fb69c3b09d1f12345 --mode route --advertised-cidrs 192.168.3.0/24 --local-asn 64520

  • Liste de toutes les passerelles VPN :

    ibmcloud is vpn-gateways
ic vpn-gateways

  • Obtenir les détails d'une passerelle VPN spécifique :

    ic vpn-gateway my-vpc-gateway

  • Mettre à jour la passerelle VPN avec l'ASN local :

    ic vpn-gateway-update my-vpc-gateway --name my-vpc-gateway --local-asn 64521

  • Liste des CIDR annoncés pour une passerelle VPN :

    ibmcloud is vpn-gateway-advertised-cidrs my-vpc-gateway

  • Vérifier si le CIDR annoncé spécifié existe sur la passerelle VPN :

    ibmcloud is vpn-gateway-advertised-cidr  my-vpc-gateway --cidr 10.45.0.0/26

  • Ajouter un CIDR annoncé à la passerelle VPN :

    ibmcloud is vpn-gateway-advertised-cidr-add my-vpc-gateway --cidr 10.45.0.0/26

  • Supprimer un CIDR annoncé de la passerelle VPN :

    ibmcloud is vpn-gateway-advertised-cidr-delete my-vpc-gateway 10.45.0.0/26

  • Liste de toutes les connexions de service pour une passerelle VPN :

    ibmcloud is vpn-gateway-service-connections my-vpc-gateway

  • Obtenir les détails de la connexion de service d'une passerelle VPN spécifique :

    ibmcloud is vpn-gateway-service-connection my-vpc-gateway --service-connection-id 72fd9e00-3117-4b2e-984d-9361a9a97801

Créer une passerelle VPN avec l'API

Pour créer une passerelle VPN avec l'API, procédez comme suit :

  1. Configurez votre environnement d'API avec les variables appropriées.

  2. Stockez toutes les variables supplémentaires à utiliser dans les commandes de l'API. Par exemple :

    • ResourceGroupId - Recherchez l'ID groupe de ressources à l'aide de la commande get resource groups, puis renseignez la variable :
    export ResourceGroupId=<your_resourcegroup_id>
    • SubnetId - Recherchez l'ID sous-réseau à l'aide de la commande get subnet, puis renseignez la variable :
    export SubnetId=<your_subnet_id>

  3. Une fois toutes les variables initiées, créez la passerelle VPN :

    • Pour créer une passerelle VPN basée sur des règles, utilisez la commande suivante :
       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-vpn-gateway",
        "mode": "policy",
        "subnet": {
         "id": "'$SubnetId'"
         },
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'
    • Pour créer une passerelle VPN pour une connexion VPN basée sur une route statique, utilisez la commande suivante :
       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-vpn-gateway",
        "mode": "route",
        "subnet": {
         "id": "'$SubnetId'"
         },
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'
    • Pour créer une passerelle VPN pour une connexion VPN dynamique basée sur les routes, utilisez la commande suivante :
       curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
     -H "Authorization: Bearer $iam_token" \
     -H "Content-Type: application/json" \
     -H "Accept: application/json" \
     -H "X-Correlation-ID: 9852c2ff-c20a-4082-98da-cd689bcd5a11" \
     -d '{
         "name": "my-new-vpn-gateway",
         "subnet": {
         "id": "'"$SubnetId"'"
         },
         "mode": "route",
         "local_asn": 64520,
         "advertised_cidrs": [
         "192.168.0.0/24"
         ],
         "resource_group": {
         "id": "'"$ResourceGroupId"'"
         }
     }'
    • Pour répertorier tous les CIDR annoncés pour une passerelle VPN, utilisez la commande suivante :
       curl -X GET "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2/$vpn_gateway_id/advertised_cidrs/$cidr?__QUERY__" \
     -H "Authorization: Bearer $iam_token"
    • Pour supprimer un CIDR annoncé par une passerelle VPN, utilisez la commande suivante :
       curl -X DELETE "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2/$vpn_gateway_id/advertised_cidrs/$cidr?__QUERY__" \
     -H "Authorization: Bearer $iam_token" \
    • Pour définir un CIDR annoncé sur une passerelle VPN, utilisez la commande suivante :
       curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2/$vpn_gateway_id/advertised_cidrs/$cidr?__QUERY__" \
     -H "Authorization: Bearer $iam_token"

Pour consulter l'ensemble des API pour les passerelles VPN site à site, voir la référence API VPC.

Création d'une passerelle VPN avec Terraform

L'exemple suivant crée une passerelle VPN à l'aide de Terraform :

   resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
   name = "my-vpn-gateway"
   subnet = ibm_is_subnet.is_subnet.id
   mode = "route"
   }

Pour plus d'informations, voir le registre Terraform.

Etapes suivantes

Après avoir créé une passerelle VPN, vous pouvez effectuer les actions suivantes :