Comment configurer un réseau privé virtuel (RPV) ou « VPN » site à site utilisant un dispositif Edge avec Performance Cloud VMware (NSX-T)
 

• Sommaire
• Définitions
• Aperçu
• Prérequis
• Notes Importantes
• Configuration d’un tunnel VPN site à site IPSec dans le dispositif Edge
• Configuration d’un tunnel VPN site à site IPsec sur un dispositif local
• Test du trafic VPN
• Dépannage

Sommaire

Le présent guide vous présente une des façons de configurer un réseau privé virtuel (RPV) ou « VPN » site à site reposant sur le protocole IPsec avec un dispositif Edge.

Définitions

Pour faciliter la lecture et pour faire correspondre les captures d’écran, l’acronyme anglais « VPN » pour « Virtual Private Network » est utilisé au lieu de la traduction française « Réseau Privé Virtuel ».

Aperçu

Les passerelles Edge sont flexibles et vous permettent d’utiliser différents paramètres. Dans notre exemple, nous utilisons un dispositif pare-feu pfSense qui représente le pare-feu local (réseau sur site). Par ailleurs, les mêmes étapes de configuration s’appliquent aux autres types de dispositifs pare-feu.

Vous devez valider que le réseau Performance Cloud VMware ne chevauche pas le réseau local, dans quel cas vous ne pourriez pas configurer le tunnel VPN.

Veuillez ajuster la configuration du tunnel VPN en fonction de vos paramètres et de vos besoins.

Dans notre exemple, le réseau local est représenté par le sous-réseau 192.168.100.0/24 et 173.46.148.12 pour l’adresse IP publique. Le réseau Performance Cloud VMware est représenté par le sous-réseau 10.0.0.0/24 et 173.46.155.69 pour l’adresse IP publique. 

Prérequis

Afin de configurer les règles de pare-feu, des ensembles d'adresses IP sont requis. Si vous n'avez pas encore créé vos ensembles d'adresses IP, veuillez suivre cet article pour les directives.

Notes Importantes

Les noms de domaine pleinement qualifié, ou "FQDN" pour « fully qualified domain name » en anglais ne sont pas supportés pour la configuration de tunnels VPN site à site IPSec. S'il est nécessaire de connecter un point de terminaison distant à l'aide d'un "FQDN", la solution de contournement consisterait à déployer un dispositif réseau virtuel ou « Network Virtual Appliance » (NVA).

Configuration d’un tunnel VPN site à site IPSec dans le dispositif Edge

1. Connectez-vous au portail Performance Cloud VMware à l'aide de vos informations d'identification.

2. Cliquez sur votre centre de données virtuel.

3. Dans la section Mise en réseau, cliquez sur Dispositifs Edge et cliquez sur votre Passerelle Edge.

4. Allez dans la section VPN IPSec et cliquez sur NOUVEAU

5. Entrez un nom et une description pour le tunnel VPN IPSec. Ensuite, cliquez sur SUIVANT.

6. Entrez une clé pré-partagée forte et cliquez sur SUIVANT.

 7. Entrez la configuration du réseau : adresses IP publiques, réseaux locaux et distants.

Entrez l'adresse IP publique distante pour l'ID distant. Ensuite, cliquez sur SUIVANT.

8. Vérifiez la configuration du tunnel VPN et cliquez sur TERMINER.

9. Sélectionnez le tunnel VPN et cliquez sur PERSONNALISATION DU PROFIL DE SÉCURITÉ.

10. Vérifiez le profil de sécurité actif et mettez-le à jour si nécessaire en fonction de votre configuration sur site. Ensuite, cliquez sur ENREGISTRER.

11. Accédez à la section Pare-feu et cliquez sur MODIFIER LES RÈGLES.

12. Dans la nouvelle fenêtre, cliquez sur NOUVEAU EN HAUT

13. Modifiez les champs de la nouvelle règle de pare-feu comme suit :

• Nom : nommez votre règle de pare-feu (Exemple : VPN-S_CLOUD-D_BUREAU)

• Source : cliquez sur le crayon pour sélectionner la source de cette règle de pare-feu. Ensuite, cliquez sur CONSERVER. Dans cet exemple, l'ensemble IP nommé RESEAU-CLOUD est choisi.

• Destination : cliquez sur le crayon pour sélectionner la destination de cette règle de pare-feu. Ensuite, cliquez sur CONSERVER. Dans cet exemple, l'ensemble IP nommé RESEAU-BUREAU est choisi.

• Action : Choisissez entre Autoriser ou Annuler

Ensuite, cliquez sur ENREGISTRER.

14. Répétez l'étape précédente pour créer des règles supplémentaires pour le trafic à autoriser et à bloquer.

 Pour cet exemple, nous avons autorisé tout le trafic dans le tunnel VPN, mais cela pourrait être plus restreint pour plus de sécurité ou selon vos besoins.

 15. Vous pouvez surveiller l'état du tunnel VPN à partir du portail.

Allez dans la section VPN IPSec, sélectionnez votre tunnel VPN et cliquez sur AFFICHER LES STATISTIQUES.

Si vous avez besoin de journaux ou de soutien pour configurer un tunnel VPN site à site utilisant un dispositif Edge, veuillez communiquer avec notre équipe de soutien cloud.

Configuration d’un tunnel VPN site à site IPsec sur un dispositif local

1. Connectez-vous à votre pare-feu local (pfSense, dans cet exemple).

2. Créez un tunnel et appliquez les mêmes paramètres que ceux utilisés pour le dispositif Edge.

3. Vous pouvez confirmer que le tunnel est activé pour le pare-feu local (pfSense, dans cet exemple).

4. Assurez-vous que le pare-feu local (pfSense, dans cet exemple) autorise le trafic via le tunnel. Dans cet exemple, nous avons autorisé tous les types de trafic dans le tunnel VPN, mais vous pouvez choisir d’être plus restrictif.

Test du trafic VPN

1. Vous pouvez maintenant tester le trafic du réseau Performance Cloud VMware vers le réseau local.

2. Vous pouvez maintenant tester le trafic du réseau local vers le réseau Performance Cloud VMware.

3. Veuillez noter que si le tunnel VPN est activé et que les règles du pare feu local et du pare-feu du dispositif Edge sont bien configurées, mais que le trafic ne circule pas (échec d’un test « ping » par exemple), vous devez également vérifier le pare feu directement dans la machine virtuelle (à l’aide du pare-feu Windows, par exemple).

Dépannage

Certains des problèmes courants de mauvaise configuration pouvant provoquer l'échec d'un tunnel IPSec sont les suivants :

• Certaines solutions VPN tierces proposent un mode de négociation agressif. NSX Data Center for vSphere prend en charge uniquement le mode de négociation standard (mode principal ou « main mode »).