Criação de um servidor VPN no console

Para criar um servidor VPN cliente-para-site no console:

1. Preencha todos os pré-requisitos na seção "Antes de começar".

2. No seu navegador, abra o console IBM Cloud e faça login na sua conta.

3. Selecione o Menu de navegação Menu e clique em Infraestrutura > Rede > VPNs.

4. Clique em Criar na parte superior direita da página.

5. Na seção Tipo de VPN, clique em Servidores cliente-para-site.

   

   A seção Locais mostra a região em que a VPC está localizada e onde o servidor VPN será provisionado.

6. Na seção Detalhes, especifique as informações a seguir:

   • Nome do servidor VPN - Insira um nome para o servidor VPN, como my-vpn-server.

   • Grupo de recursos - Selecione um grupo de recursos para o servidor VPN.

   • Tags- Opcionalmente, adicione tags para organizar, rastrear custos de uso ou gerenciar o acesso aos seus recursos.

   • Tags de gerenciamento de acesso-Opcionalmente, adiciona tags de gerenciamento de acesso a recursos para ajudar a organizar as relações de controle de acesso. O único formato suportado para as tags de gerenciamento de acesso é key:value. Para obter mais informações, consulte Controlando o acesso aos recursos usando tags.

   • Nuvem privada virtual - Selecione a VPC para o servidor VPN.

   • Conjunto de endereços IPv4 do cliente - Insira uma faixa CIDR. Um endereço IP é designado ao cliente para sua sessão deste conjunto de endereços.

     

7. Na seção Sub-redes, especifique as informações a seguir:

   • Selecione um modo de servidor VPN:

     • Modo de alta disponibilidade - Implementa o servidor VPN por meio de duas sub-redes em diferentes zonas. É melhor para implementações em várias zonas e soluções nas quais o acesso à VPN do cliente é essencial.
     • Modo independente - Implementa o servidor VPN em uma única sub-rede e zona. É melhor para implementações de zona única nas quais a resiliência multizona não é necessária.

   • Especifique a sub-rede (modo independente) ou sub-redes (modo HA) para sua VPC.

     

8. Na seção Autenticação, especifique as informações a seguir:

   • Autenticação de servidor VPN-Selecione o certificado SSL do servidor do Secrets Manager. Preencha todos os campos obrigatórios.

     

   • Modos de autenticação do cliente - Selecione para configurar a autenticação do usuário por meio do uso de um certificado de cliente, ID e senha do usuário, ou ambos.

     • Certificado de cliente - É possível selecionar um certificado de cliente e configurar um ID e senha de usuário para segurança ideal. Um ID de usuário e uma senha fornecem uma camada adicional de segurança que exige credenciais de login adicionais para acesso à conta.

       Opcionalmente, é possível fazer o upload de uma Lista de Revocação de Certificados (CRL) no formato PEM. Depois de fazer upload de uma CRL, o arquivo PEM é exibido como o nome do servidor VPN.

     • ID do usuário e senha-Configurar autenticação adicionada para usuários clientes VPN. Esse método de autenticação oferece uma camada adicional de segurança que se integra ao IBM Cloud IAM para concluir a autenticação do cliente. Quando a autenticação é concluída, o sistema passa o código para o cliente openVPN para autenticação.

     

9. Na seção Grupos de segurança, selecione pelo menos um grupo de segurança.

   Para configurar um ou mais grupos de segurança e suas regras ou, opcionalmente, para configurar listas de controle de acesso (ACLs) na sub-rede em que você planeja implantar o servidor VPN e outras sub-redes VPC que se comunicam pelo túnel VPN, consulte Configuração de ACLs para uso com um servidor VPN.

   

   É possível anexar grupos de segurança após o fornecimento a partir da página de detalhes do servidor VPN (guia Grupos de Segurança).

10. Na seção Configuração adicional, especifique as informações a seguir:

    • Endereço IP do servidor DNS - Opcionalmente, especifique um ou dois endereços IP do servidor DNS para resolução de nome de domínio.

    • Sessão de tempo limite inativo (segundos) - Se o servidor VPN não tiver tráfego antes deste intervalo expirar, ele será automaticamente desconectado. Este valor pode variar entre 0 a 28800 segundos. O valor padrão é 600 segundos.

    • Protocolo de transporte - Selecione um dos protocolos a seguir e insira uma porta VPN válida (1 - 65535).

      • UDP é um protocolo sem conexão que executa a verificação de erros, mas descarta pacotes errados. Mais rápido que o TCP.
      • TCP é um protocolo orientado a conexão com verificação de erros e recuperação de erros. Mais confiável do que UDP.

    • Modo túnel - Especifique um dos seguintes:

      • Full tunnel - Todos os fluxos de tráfego por meio da interface VPN para o túnel VPN.

      • Split tunnel - O tráfego privado flui por meio da interface VPN para o túnel VPN e o tráfego público flui por meio da interface LAN existente.

        

Criação de um servidor VPN a partir da CLI

Antes de iniciar, configure o seu ambiente da CLI.

Para criar um servidor VPN na CLI, digite o seguinte comando:

ibmcloud is vpn-server-create --subnets SUBNETS --client-ip-pool CLIENT_IP_POOL --cert CERT (--client-auth-methods certificate | username | certificate,username | username,certificate) [--client-ca CLIENT_CA] [--client-crl CLIENT_CRL] [--client-dns CLIENT_DNS] [--client-idle-timeout CLIENT_IDLE_TIMEOUT] [--enable-split-tunnel false | true] [--port PORT] [--protocol udp | tcp] [--security-group SECURITY_GROUP1 --security-group SECURITY_GROUP2 ...] [--name NAME] [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME] [--output JSON] [-q, --quiet]

Criação de um servidor VPN com a API

Para criar um servidor VPN cliente-para-site com a API, siga estas etapas:

1. Configure o seu Ambiente de API com as variáveis direitas.

2. Armazene quaisquer variáveis adicionais a serem usadas nos comandos da API, por exemplo:

   • ResourceGroupId - Localize o ID do grupo de recursos usando o comando get resource groups e, em seguida, preencha a variável:

     export ResourceGroupId=<your_resourcegroup_id>
     

   • SubnetId - Encontre o ID de sub-rede usando o comando get subnet e, em seguida, preencha a variável:

     export SubnetId=<your_subnet_id>
     

3. Quando todas as variáveis forem iniciadas, crie o servidor VPN:

      curl -X POST "$vpc_api_endpoint/v1/vpn_servers?version=$api_version&generation=2" \
        -H "Authorization: $iam_token" \
        -d '{
           "certificate": {
               "crn": "crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc"
            },
           "client_ip_pool": "192.168.50.0/22",
           "name": "my-new-vpn-server",
           "subnets": [
               {
                     "id": "0716-046c3fd3-1cc5-40f6-b0ad-bbc305308f6d"
               },
               {
                     "id": "0717-30ff71ff-3e90-42a9-aa93-96a062081f18"
               }
            ],
           "client_authentication": [
               {
                     "method": "certificate",
                     "client_ca": {
                        "crn": "crn:v1:bluemix:public:cloudcerts:us-south:a/aa5a471f75bc456fac416bf02c4ba6de:1862b0b4-c1f8-4eef-a6b5-e9c00c9f593d:certificate:6c801ef768c139d986b4c6f91175e8cc"
                     }
               },
               {
                     "method": "username",
                     "identity_provider": {
                        "provider_type": "iam"
                     }
               }
            ]
           "resource_group": {
             "id": "'$ResourceGroupId'"
           }
         }'