Créer un serveur VPN dans la console

Pour créer un serveur VPN client-site dans la console :

1. Remplissez l'ensemble des prérequis de la section "Avant de commencer".

2. Depuis votre navigateur, ouvrez la console IBM Cloud et connectez-vous à votre compte.

3. Sélectionnez l' Navigation, puis cliquez sur Infrastructure > Réseau > VPN.

4. Cliquez sur Créer dans l'angle supérieur droit de la page.

5. Dans la section Type de VPN, cliquez sur Serveurs client à site.

   

   La section Emplacements indique la région où le VPC est situé et où le serveur VPN sera approvisionné.

6. Dans la section Détails, indiquez les informations suivantes :

   • Nom du serveur VPN - Entrez un nom pour le serveur VPN, tel que my-vpn-server.

   • Groupe de ressources - Sélectionnez un groupe de ressources pour le serveur VPN.

   • Tags- En option, ajoutez des tags pour organiser, suivre les coûts d'utilisation ou gérer l'accès à vos ressources.

   • Balises de gestion des accès-Si vous le souhaitez, ajoutez des balises de gestion des accès aux ressources pour faciliter l'organisation des relations de contrôle d'accès. key:value est le seul format pris en charge pour les étiquettes de gestion des accès. Pour plus d'informations, voir Contrôle de l'accès aux ressources à l'aide d'étiquettes.

   • Cloud privé virtuel - Sélectionnez le VPC pour le serveur VPN.

   • Pool d'adresses IPv4 du client - Entrez une plage CIDR. Une adresse IP est attribuée au client pour sa session à partir de ce pool d'adresses.

     

7. Dans la section Sous-réseaux, indiquez les informations suivantes :

   • Sélectionnez un mode de serveur VPN :

     • Mode haute disponibilité - Déploie le serveur VPN sur deux sous-réseaux dans des zones différentes. Convient aux solutions et déploiements multizones où l'accès au VPN par les clients est critique.
     • Mode autonome - Déploie le serveur VPN dans un seul sous-réseau et une seule zone. Convient aux déploiements monozones où la résilience multizone n'est pas requise.

   • Indiquez le sous-réseau (mode autonome) ou les sous-réseaux (mode HA) pour votre VPC.

     

8. Dans la section Authentification, indiquez les informations suivantes :

   • Authentification du serveur VPN-Sélectionnez le certificat SSL du serveur dans Secrets Manager. Renseignez toutes les zones requises.

     

   • Modes d'authentification du client - Choisissez de configurer l'authentification de l'utilisateur à l'aide d'un certificat client, d'un ID utilisateur et d'un code d'accès, ou des deux.

     • Certificat client - Vous pouvez sélectionner un certificat client et configurer un ID utilisateur et un code d'accès pour une sécurité optimale. Un identifiant et un code d'accès constituent un niveau de sécurité supplémentaire qui nécessite des identifiants de connexion supplémentaires pour l'accès au compte.

       En option, vous pouvez télécharger une liste de révocation de certificats (CRL) au format PEM. Après le téléchargement d'une CRL, le fichier PEM apparaît comme le nom du serveur VPN.

     • ID utilisateur et code d'accès-Configurez l'authentification ajoutée pour les utilisateurs du client VPN. Cette méthode d'authentification offre une couche de sécurité supplémentaire qui s'intègre à IBM Cloud IAM pour compléter l'authentification du client. Lorsque l'authentification est terminée, le système transmet le code au client openVPN pour qu'il s'authentifie.

     

9. Dans la section Groupes de sécurité, sélectionnez au moins un groupe de sécurité.

   Pour configurer un ou plusieurs groupes de sécurité et leurs règles ou, en option, pour configurer des listes de contrôle d'accès (ACL) sur le sous-réseau où vous prévoyez de déployer le serveur VPN et d'autres sous-réseaux VPC qui communiquent via le tunnel VPN, voir Configuration des ACL à utiliser avec un serveur VPN.

   

   Vous pouvez joindre des groupes de sécurité après la mise à disposition à partir de la page des détails du serveur VPN (onglet Groupes de sécurité).

10. Dans la section Additional configuration, indiquez les informations suivantes :

    • DNS server IP address - En option, indiquez une ou deux adresses IP de serveur DNS pour la résolution de noms de domaine.

    • Idle timeout session (seconds) - Si le serveur VPN n'a pas de trafic avant l'expiration de cet intervalle, il est automatiquement déconnecté. Cette valeur peut être comprise entre 0 et 28800 secondes. La valeur par défaut est 600 secondes.

    • Protocole de transport - Sélectionnez l'un des protocoles suivants et entrez un port VPN valide (1 - 65535).

      • UDP est un protocole sans connexion qui vérifie les erreurs mais ignore les paquets erronés. Plus rapide que TCP.
      • TCP est un protocole orienté connexion doté des fonctions de vérification et de correction des erreurs. Plus fiable que le protocole UDP.

    • Tunnel mode - Indiquez l'une des options suivantes :

      • Tunnel complet - Tout le trafic passe par l'interface VPN vers le tunnel VPN.

      • Tunnel fractionné - Le trafic privé passe par l'interface VPN vers le tunnel VPN, et le trafic public passe par l'interface LAN existante.

        

Création d'un serveur VPN à partir du CLI

Avant de commencer, configurez votre environnement d'interface de ligne de commande.

Pour créer un serveur VPN à partir de l'interface de gestion, entrez la commande suivante :

ibmcloud is vpn-server-create --subnets SUBNETS --client-ip-pool CLIENT_IP_POOL --cert CERT (--client-auth-methods certificate | username | certificate,username | username,certificate) [--client-ca CLIENT_CA] [--client-crl CLIENT_CRL] [--client-dns CLIENT_DNS] [--client-idle-timeout CLIENT_IDLE_TIMEOUT] [--enable-split-tunnel false | true] [--port PORT] [--protocol udp | tcp] [--security-group SECURITY_GROUP1 --security-group SECURITY_GROUP2 ...] [--name NAME] [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME] [--output JSON] [-q, --quiet]

Créer un serveur VPN avec l'API

Pour créer un serveur VPN client-site avec l'API, procédez comme suit :

1. Configurez votre environnement d'API avec les variables appropriées.

2. Stockez d'autres variables destinées à être utilisées dans les commandes d'API, par exemple :

   • ResourceGroupId - Recherchez l'ID groupe de ressources à l'aide de la commande get resource groups, puis renseignez la variable :

     export ResourceGroupId=<your_resourcegroup_id>
     

   • SubnetId - Recherchez l'ID sous-réseau à l'aide de la commande get subnet, puis renseignez la variable :

     export SubnetId=<your_subnet_id>
     

3. Lorsque toutes les variables sont initialisées, créez le serveur VPN :

      curl -X POST "$vpc_api_endpoint/v1/vpn_servers?version=$api_version&generation=2" \
        -H "Authorization: $iam_token" \
        -d '{
           "certificate": {
               "crn": "crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc"
            },
           "client_ip_pool": "192.168.50.0/22",
           "name": "my-new-vpn-server",
           "subnets": [
               {
                     "id": "0716-046c3fd3-1cc5-40f6-b0ad-bbc305308f6d"
               },
               {
                     "id": "0717-30ff71ff-3e90-42a9-aa93-96a062081f18"
               }
            ],
           "client_authentication": [
               {
                     "method": "certificate",
                     "client_ca": {
                        "crn": "crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc"
                     }
               },
               {
                     "method": "username",
                     "identity_provider": {
                        "provider_type": "iam"
                     }
               }
            ]
           "resource_group": {
             "id": "'$ResourceGroupId'"
           }
         }'