Comment configurer un réseau privé virtuel ou "VPN" site à site utilisant un dispositif Edge dans la solution Performance Cloud propulsée par VMware

Sommaire

Le présent guide vous présente une des façons de configurer un réseau privé virtuel ou "VPN" site à site reposant sur le protocole IPsec avec un dispositif Edge.

Définitions

Pour faciliter la lecture et pour faire correspondre les captures d’écran, l’acronyme anglais « VPN » pour « Virtual Private Network » est utilisé au lieu de la traduction française « Réseau Privé Virtuel ».

Aperçu

Les passerelles Edge sont flexibles et vous permettent d’utiliser différents paramètres. Dans notre exemple, nous utilisons un dispositif pare-feu pfSense qui représente le pare-feu local (bureau du client). Par ailleurs, les mêmes étapes de configuration s’appliquent aux autres types de dispositifs pare-feu.


Vous devez valider que le réseau Performance Cloud propulsé par VMware ne chevauche pas le réseau local, dans quel cas vous ne pourriez pas configurer le tunnel VPN.


Dans notre exemple, le réseau local est représenté par le sous-réseau 192.168.100.0/24 et le réseau Performance Cloud propulsé par VMware est représenté par le sous-réseau 10.0.0.0/24. Cela varie selon le sous-réseau étant associé au réseau local et celui l'étant à la solution Performance Cloud propulsée par VMware.


Configuration d’un tunnel VPN site à site IPsec dans le dispositif Edge

1. Connectez-vous au portail Performance Cloud VMware à l'aide de vos informations d'identification.

 

2. Cliquez sur votre centre de données virtuel.

 

 

3. Rendez-vous dans Mise en réseau, puis dans Dispositifs Edge.

 

 

4. Sélectionnez votre dispositif Edge et cliquez sur SERVICES.


5. Rendez-vous dans l’onglet VPN.

 

 

6. Cliquez sur Sites VPN IPSec.

 
 

7. Cliquez sur "+" afin de créer un nouveau tunnel VPN.

Comme mentionné plus haut, nous utilisons ici un exemple de paramètres (algorithme de chiffrement, etc.), mais vous pouvez choisir des paramètres différents.

Note importante : Si vous devez absolument utiliser un nom de domaine pleinement qualifié, ou "FQDN" pour « fully qualified domain name » en anglais, plutôt qu’une adresse IP externe pour le site local, veuillez communiquer avec notre équipe de soutien cloud, car des étapes supplémentaires en arrière-plan sont nécessaires afin de configurer le dispositif Edge.

 

  • Activé  : option doit être activée
  • Activer PFS (Confidentialité de transmission parfaite) : option activée (si le groupe de confidentialité de transmission parfaite est activé, ce paramètre est le même que celui choisi pour l’option Groupe Diffie-Hellman)
  • Nom : nom de votre tunnel VPN
  • ID local : adresse IP externe du dispositif Edge (la même qu’à l’option Point de terminaison local )
  • Point de terminaison local : adresse IP du dispositif Edge (cliquez sur SELECTIONNER pour la choisir)
  • Sous-réseaux locaux  : 10.0.0.0/24 (sous-réseau utilisé dans cet exemple, mais il doit s'agir  que vous avez configuré dans la solution Performance Cloud propulsée par VMware)
  • ID de l'homologue : adresse IP externe du pare-feu local (pfSense dans cet exemple.
  • Point de terminaison homologue  : adresse IP externe du pare-feu local (pfSense dans cet exemple)
  • Sous-réseaux homologues : 192.168.100.0/24 (sous-réseau utilisé dans cet exemple, mais il doit s’agir du ou des sous-réseaux configurés localement)
  • Extension : champ pouvant être laissé vide
  • Algorithme de chiffrement  : AES256 dans cet exemple (vous pouvez choisir une option différente)
  • Authentification  : PSK dans cet exemple (vous pouvez choisir une option différente)
  • Clé pré-partagée  : n’importe quel mot de passe robuste (celui-ci sert à configurer le tunnel local) 
  • Groupe Diffie-Hellman : DH2 dans cet exemple (vous pouvez choisir une option différente; ce groupe s’applique à la confidentialité de transmission parfaite)
  • Algorithme de résumé : SHA1 dans cet exemple (vous pouvez choisir une option différente)
  • Option IKE : IKEv2 dans cet exemple  (vous pouvez choisir une option différente)
  • Répondeur IKE uniquement  : option pouvant être laissée désactivée à moins que le pare-feu local n’agisse qu’à titre d’initiateur
  • Type de session  : Session basée sur la stratégie ou "Policy Based" dans cet exemple (vous pouvez choisir une option différente)

    et cliquez sur CONSERVER.



     

 

8. Cliquez sur Enregistrer les modifications.

 


9. Rendez-vous dans État d'activation et activez l’option "État du service VPN IPSec" . Cliquez ensuite sur Enregistrer les modifications. 

 


10. Maintenant, notez la configuration que vous avez sélectionnée afin de paramétrer le site distant. Certains paramètres sont codés en dur et ne peuvent donc pas être modifiés à partir de l’interface graphique.

 

Phase 1
 Durée de vie de l’association de sécurité : 28 800 secondes

 

Phase 2
Protocole : ESP
Durée de vie de l’association de sécurité : 3 600 secondes
 Si le groupe de confidentialité de transmission parfaite est activé, le paramètre correspondant est identique à celui du groupe Diffie-Hellman configuré dans le portail du groupe Diffie-Hellman.

 

La configuration ressemble à ce qui suit (si vous le souhaitez, notre équipe de soutien cloud peut générer pour vous le fichier de configuration du tunnel VPNl) :
#
# Configuration de l’échange de clé Internet
# Phase 1
# Configurez l’association de sécurité du protocole IKE comme suit :
Version du protocole IKE : IKEv2
Mode d’initiation de connexion : initiateur
Méthode d’authentification : clé prépartagée
Clé prépartagée : ****************
Algorithme d’authentification : SHA-1
Algorithme de chiffrement : AES-256
Durée de vie de l’association de sécurité : 28 800 secondes
Mode de négociation de phase 1 : sans objet dans le cas du protocole IKEv2
 Groupe Diffie-Hellman : DH 2

# Configuration du protocole IPsec
# Phase 2
# Configurez l’association de sécurité du protocole IPsec comme suit :
Protocole : ESP
Algorithme d’authentification : SHA-1
Durée de vie de l’association de sécurité : 3 600 secondes
Algorithme de chiffrement : AES-256
Mode d’encapsulation : Mode tunnel
Confidentialité de transmission parfaite : activée
 Groupe Diffie-Hellman de la confidentialité de transmission parfaite : DH 2

 

# Configuration homologue
Adresse homologue : 74.115.204.13 # Adresse IP publique de la passerelle homologue
Identifiant homologue : 74.115.204.13
 Sous-réseaux homologues : [ 10.0.0.0/24 ]

 

# Paramètres IPsec de détection des homologues inactifs
Détection des homologues inactifs : activée
Intervalle de détection des homologues inactifs : 30 secondes
 Délai d’attente de détection des homologues inactifs : 150 secondes

 

# Configuration locale
Adresse locale : 173.46.148.12 # Adresse IP publique de la passerelle locale
Identifiant local : 173.46.148.12
Sous-réseaux locaux : [ 192.168.100.0/24 ]
  

 

11. Maintenant, il faut faire en sorte que le trafic provenant du réseau local peut passer par le tunnel VPN et atteindre le réseau Performance Cloud propulsé par VMware. Rendez-vous dans l’onglet Firewall et cliquez sur "+" pour créer une nouvelle règle.

 

 

  • Configurez une règle autorisant le trafic du réseau local vers le réseau Performance Cloud propulsé par VMware et cliquez sur Enregistrer les modifications. 


  • Vous devez également vous assurer de permettre au trafic provenant de votre réseau Performance Cloud propulsé par VMware d’atteindre le réseau local. Si vous disposez déjà d’une règle de pare-feu autorisant votre réseau Performance Cloud propulsé par VMware à atteindre d’autres destinations, vous n’avez alors aucune action à entreprendre. Dans le cas contraire, vous devez créer une nouvelle règle. Voici deux exemples :



    Dans cet exemple, nous avons autorisé tous les types de trafic dans le tunnel VPN, mais vous pouvez choisir d’être plus restrictif.

 

12. Veuillez noter que vous pouvez surveiller le statut du tunnel VPN dans le dispositif Edge en allant dans la section IPsec VPN à partir de l’onglet Statistics. Une coche représente un tunnel activé, tandis que la lettre X représente un tunnel désactivé.

 
Tunnel désactivé:


Tunnel activé:

 

Si vous avez besoin de journaux ou de soutien pour configurer un tunnel VPN site à site utilisant un dispositif Edge, veuillez communiquer avec notre équipe de soutien cloud.

Configuration d’un tunnel VPN site à site IPsec sur un dispositif local

1. Connectez-vous à votre pare-feu local (pfSense, dans cet exemple).

 

2. Créez un tunnel et appliquez les mêmes paramètres que ceux utilisés pour le dispositif Edge.


PCv2 site to site vpn_19

PCv2 site to site vpn_20

PCv2 site to site vpn_21

 

3. Vous pouvez confirmer que le tunnel est activé pour le pare-feu local (pfSense, dans cet exemple).

 

PCv2 site to site vpn_22

 

4. Assurez-vous que le pare-feu local (pfSense, dans cet exemple) autorise le trafic via le tunnel. Dans cet exemple, nous avons autorisé tous les types de trafic dans le tunnel VPN, mais vous pouvez choisir d’être plus restrictif.

 

PCv2 site to site vpn_23

Test du trafic VPN

1. Vous pouvez maintenant tester le trafic du réseau Performance Cloud propulsé par VMware vers le réseau local.

 

PCv2 site to site vpn_24

 

2. Vous pouvez maintenant tester le trafic du réseau local vers le réseau Performance Cloud propulsé par VMware.

 

PCv2 site to site vpn_25

 

3. Veuillez noter que si le tunnel VPN est activé et que les règles du pare feu local et du pare-feu du dispositif Edge sont bien configurées, mais que le trafic ne circule pas (échec d’un test ping, par exemple), vous devez également vérifier le pare feu directement dans la machine virtuelle (à l’aide du pare-feu Windows, par exemple).

Dépannage

Certains des problèmes courants de mauvaise configuration pouvant provoquer l'échec d'un tunnel IPSec sont les suivants :


  • Certaines solutions VPN tierces proposent un mode de négociation agressif. NSX Data Center for vSphere prend en charge uniquement le mode de négociation standard (mode principal ou « main mode »).