Comment configurer un réseau privé virtuel de site à site utilisant une passerelle de périphérie

Synopsis

Le présent guide vous présente une des façons de configurer un réseau privé virtuel de site à site reposant sur le protocole IPsec dans une passerelle de périphérie.

Aperçu

 Les passerelles de périphérie sont flexibles et vous permettent d’utiliser différents paramètres. Dans notre exemple, nous utilisons un dispositif pare-feu pfSense qui représente le pare-feu local (bureau du client). Par ailleurs, les mêmes étapes de configuration s’appliquent aux autres types de dispositifs pare-feu.


Vous devez valider que le réseau Performance Cloud propulsé par VMware ne chevauche pas le réseau local, dans quel cas vous ne pourriez pas configurer le tunnel de réseau privé virtuel de site à site IPsec.


Dans notre exemple, le réseau local est représenté par le sous-réseau 192.168.100.0/24 et le réseau Performance Cloud propulsé par VMware est représenté par le sous-réseau 10.0.0.0/24. Cela varie selon le sous-réseau étant associé au réseau local et celui l'étant à la solution Performance Cloud propulsée par VMware.

 

PCv2 site to site vpn_1

Comment faire

Configuration d’un réseau privé virtuel de site à site IPsec dans la solution Performance Cloud propulsée par VMware

1. Connectez-vous au portail Performance Cloud.

 

2. Cliquez sur votre centre de données virtuel.

 

PCv2 site to site vpn_2

 

3. Rendez-vous dans Networking, puis dans Edges.

 

PCv2 site to site vpn_3

 

4. Sélectionnez votre passerelle de périphérie et cliquez sur SERVICES.

 

PCv2 site to site vpn_4

 

5. Rendez-vous dans l’onglet VPN.

 

PCv2 site to site vpn_5

 

6. Cliquez sur IPsec VPN Sites.

 

PCv2 site to site vpn_6

 

7. Cliquez sur "+" afin de créer un nouveau réseau privé virtuel. Comme mentionné plus haut, nous utilisons ici un exemple de paramètres de réseau privé virtuel (algorithme de chiffrement, etc.), mais vous pouvez choisir des paramètres différents.

Note importante : si vous devez absolument utiliser un nom de domaine totalement qualifié plutôt qu’une adresse IP externe pour le site local, veuillez communiquer avec notre équipe de soutien cloud, car des étapes supplémentaires sont nécessaires afin de configurer la passerelle de périphérie.

 

  • Enabled : option activée
  • Enable perfect forward secrecy (PFS) : option activée (si le groupe de confidentialité de transmission parfaite est activé, ce paramètre est le même que celui choisi pour l’option Diffie-Hellman Group)
  • Name : nom de votre réseau privé virtuel
  • Local Id : adresse IP externe de la passerelle de périphérie (la même qu’à l’option Local Endpoint)
  • Local Endpoint : adresse IP de la passerelle de périphérie (cliquez sur SELECT pour la choisir)
  • Local Subnets : 10.0.0.0/24 (sous-réseau utilisé dans cet exemple, mais il doit s'agir du sous réseau que vous avez configuré dans la solution Performance Cloud propulsée par VMware)
  • Peer Id : adresse IP externe du pare-feu local (pfSense dans cet exemple.
  • Peer Endpoint : adresse IP du pare-feu local (pfSense dans cet exemple)

 

PCv2 site to site vpn_7

 

  • Peer Subnets : 192.168.100.0/24 (sous-réseau utilisé dans cet exemple, mais il doit s’agir du sous réseau configuré localement)
  • Extension : champ pouvant être laissé vide
  • Encryption Algorithm : AES256 (vous pouvez choisir une option différente)
  • Authentication : PSK (vous pouvez choisir une option différente)
  • Pre-Shared Key : n’importe quel mot de passe robuste (celui-ci sert à configurer le tunnel local)

 

PCv2 site to site vpn_8

 

  • Diffie-Hellman Group : DH2 (vous pouvez choisir une option différente; ce groupe s’applique à la confidentialité de transmission parfaite)
  • Digest Algorithm : SHA1 (vous pouvez choisir une option différente)
  • IKE Option : IKEv2 (vous pouvez choisir une option différente)
  • IKE Responder Only : option pouvant être laissée désactivée à moins que le pare-feu local n’agisse qu’à titre d’initiateur
  • Session Type : Policy Based Session (vous pouvez choisir une option différente)
      

 

PCv2 site to site vpn_9

 

8. Cliquez sur Save changes

 

PCv2 site to site vpn_10

 

9. Rendez-vous dans Activation Status et activez l’option IPsec VPN Service Status. Cliquez ensuite sur Save.

 

PCv2 site to site vpn_11

 

10. Maintenant, notez la configuration que vous avez sélectionnée afin de paramétrer le site distant. Certains paramètres sont codés en dur et ne peuvent donc pas être modifiés à partir de l’interface graphique.

 

Phase 1
 Durée de vie de l’association de sécurité : 28 800 secondes

 

Phase 2
Protocole : ESP
Durée de vie de l’association de sécurité : 3 600 secondes
 Si le groupe de confidentialité de transmission parfaite est activé, le paramètre correspondant est identique à celui du groupe Diffie-Hellman configuré dans le portail du groupe Diffie-Hellman.

 

La configuration ressemble à ce qui suit (si vous le souhaitez, notre équipe de soutien cloud peut générer pour vous le fichier de configuration du tunnel de réseau privé virtuel) :
#
# Configuration de l’échange de clé Internet
# Phase 1
# Configurez l’association de sécurité du protocole IKE comme suit :
Version du protocole IKE : IKEv2
Mode d’initiation de connexion : initiateur
Méthode d’authentification : clé prépartagée
Clé prépartagée : ****************
Algorithme d’authentification : SHA-1
Algorithme de chiffrement : AES-256
Durée de vie de l’association de sécurité : 28 800 secondes
Mode de négociation de phase 1 : sans objet dans le cas du protocole IKEv2
 Groupe Diffie-Hellman : DH 2

# Configuration du protocole IPsec
# Phase 2
# Configurez l’association de sécurité du protocole IPsec comme suit :
Protocole : ESP
Algorithme d’authentification : SHA-1
Durée de vie de l’association de sécurité : 3 600 secondes
Algorithme de chiffrement : AES-256
Mode d’encapsulation : Mode tunnel
Confidentialité de transmission parfaite : activée
 Groupe Diffie-Hellman de la confidentialité de transmission parfaite : DH 2

 

# Configuration homologue
Adresse homologue : 74.115.204.13 # Adresse IP publique de la passerelle homologue
Identifiant homologue : 74.115.204.13
 Sous-réseaux homologues : [ 10.0.0.0/24 ]

 

# Paramètres IPsec de détection des homologues inactifs
Détection des homologues inactifs : activée
Intervalle de détection des homologues inactifs : 30 secondes
 Délai d’attente de détection des homologues inactifs : 150 secondes

 

# Configuration locale
Adresse locale : 173.46.148.12 # Adresse IP publique de la passerelle locale
Identifiant local : 173.46.148.12
Sous-réseaux locaux : [ 192.168.100.0/24 ]
  

 

11. Maintenant, il faut faire en sorte que le trafic provenant du réseau local peut passer par le réseau privé virtuel et atteindre le réseau Performance Cloud propulsé par VMware. Rendez-vous dans l’onglet Firewall et cliquez sur "+" pour créer une nouvelle règle.

 

PCv2 site to site vpn_12

 

  • Configurez une règle autorisant le trafic du réseau local vers le réseau Performance Cloud propulsé par VMware et cliquez sur Save changes.

 

PCv2 site to site vpn_13

 

  • Vous devez également vous assurer de permettre au trafic provenant de votre réseau Performance Cloud propulsé par VMware d’atteindre le réseau local. Si vous disposez déjà d’une règle de pare-feu autorisant votre réseau Performance Cloud propulsé par VMware à atteindre d’autres destinations, vous n’avez alors aucune action à entreprendre. Dans le cas contraire, vous devez créer une nouvelle règle. Voici deux exemples :

 

PCv2 site to site vpn_14

PCv2 site to site vpn_15

 

12. Veuillez noter que vous pouvez surveiller le statut du tunnel de réseau privé virtuel dans la passerelle de périphérie en allant dans la section IPsec VPN à partir de l’onglet Statistics. Une coche représente un tunnel activé, tandis que la lettre X représente un tunnel désactivé.

 

PCv2 site to site vpn_16

PCv2 site to site vpn_17

 

Si vous avez besoin de journaux ou de soutien pour configurer un réseau privé virtuel de site à site utilisant une passerelle de périphérie, veuillez communiquer avec notre équipe de soutien cloud.

Configuration d’un réseau privé virtuel de site à site IPsec sur un dispositif localet up the site-to-site IPSEC VPN on the on-premises device

1. Connectez-vous à votre pare-feu local (pfSense, dans cet exemple).

 

2. Créez un tunnel et appliquez les mêmes paramètres que ceux utilisés pour la passerelle de périphérie.

 


PCv2 site to site vpn_19

PCv2 site to site vpn_20

PCv2 site to site vpn_21

 

3. Vous pouvez confirmer que le tunnel est activé pour le pare-feu local (pfSense, dans cet exemple).

 

PCv2 site to site vpn_22

 

4. Assurez-vous que le pare-feu local (pfSense, dans cet exemple) autorise le trafic via le tunnel. Dans cet exemple, nous avons autorisé tous les types de trafic dans le tunnel de réseau privé virtuel, mais vous pouvez choisir d’être plus restrictif.

 

PCv2 site to site vpn_23

Test du trafic du réseau privé virtuel de site à site IPsec

1. Vous pouvez maintenant tester le trafic du réseau Performance Cloud propulsé par VMware vers le réseau local.

 

PCv2 site to site vpn_24

 

2. Vous pouvez maintenant tester le trafic du réseau local vers le réseau Performance Cloud propulsé par VMware.

 

PCv2 site to site vpn_25

 

3. Veuillez noter que si le tunnel de réseau privé virtuel est activé et que les règles du pare feu local et du pare-feu de la passerelle de périphérie sont bien configurées, mais que le trafic ne circule pas (échec d’un test ping, par exemple), vous devez également vérifier le pare feu directement dans la machine virtuelle (à l’aide du pare-feu Windows, par exemple).