Configurer les connexions de site VPN IPSec pour la passerelle Edge NSX Data Center for vSphere

Utilisez l'écran Sites VPN IPsec dans le portail de locataires de VMware Cloud Director pour configurer les paramètres nécessaires à la création d'une connexion VPN IPsec entre votre centre de données virtuel d'organisation et un autre site utilisant les capacités VPN IPsec de la passerelle Edge.

Lorsque vous configurez une connexion VPN IPSec entre des sites, vous configurez la connexion du point de vue de votre emplacement actuel. La configuration de la connexion nécessite que vous compreniez les concepts dans le contexte de l'environnement VMware Cloud Director afin de pouvoir configurer la connexion VPN correctement.

Les sous-réseaux locaux et homologues spécifient les réseaux auxquels le VPN se connecte. Lorsque vous spécifiez ces sous-réseaux dans les configurations des sites VPN IPSec, entrez une plage réseau et non une adresse IP spécifique. Utilisez le format CIDR, par exemple 192.168.99.0/24.
L'ID de l'homologue est un identifiant unique du périphérique distant qui termine la connexion VPN, généralement son adresse IP publique. Pour les homologues qui utilisent l'authentification de certificat, cet ID doit être le nom unique défini dans le certificat homologue. Pour les homologues PSK, cet ID peut être une chaîne quelconque. Une meilleure pratique NSX consiste à utiliser l'adresse IP publique du périphérique distant ou le nom de domaine complet (FQDN) comme ID de l'homologue. Si l'adresse IP de l'homologue provient d'un autre réseau de centre de données virtuel d'organisation, saisissez l'adresse IP native de l'homologue. Si NAT est configuré pour l'homologue, vous devez entrer l'adresse IP privée de l'homologue.
Le point de terminaison de l'homologue spécifie l'adresse IP publique du périphérique distant auquel vous vous connectez. Ce point de terminaison peut être une adresse différente de l'ID de l'homologue si la passerelle de l'homologue n'est pas directement accessible depuis Internet mais qu'elle se connecte par le biais d'un autre périphérique. Si NAT est configuré pour l'homologue, vous devez entrer l'adresse IP publique que les périphériques utilisent pour NAT.
L'ID local spécifie l'adresse IP publique de la passerelle Edge du centre de données virtuel d'organisation. Vous pouvez entrer une adresse IP ou un nom d'hôte conjointement avec le pare-feu de la passerelle Edge.
Le point de terminaison local spécifie le réseau de votre centre de données virtuel d'organisation sur lequel transmet la passerelle Edge. En général, le réseau externe de la passerelle Edge est le point de terminaison local.

Conditions préalables

Accéder à l'écran VPN IPsec.
Configurer la fonction VPN IPSec.
Si vous prévoyez d'utiliser un certificat global comme méthode d'authentification, vérifiez que l'authentification de certificat est activée sur l'écran Configuration globale. Reportez-vous à Spécifiez les paramètres VPN IPsec globaux.

Procédure

Sous l'onglet VPN IPsec, cliquez sur Sites VPN IPsec.
Cliquez sur le bouton Ajouter ().

Configurez les paramètres de connexion VPN IPsec.

Option	Action
Activé	Activez cette connexion entre les deux points de terminaison VPN.
Activer PFS (Confidentialité de transmission parfaite)	Sélectionnez cette option pour que le système génère des clés publiques uniques pour toutes les sessions VPN IPSec initiées par vos utilisateurs. L'activation de PFS garantit que le système ne crée pas un lien entre la clé privée de la passerelle Edge et la clé de chaque session. La compromission d'une clé de session n'affecte pas les données autres que celles échangées lors de la session spécifique protégée par cette clé particulière. La compromission de la clé privée du serveur ne peut pas être utilisée pour déchiffrer les sessions archivées ou les futures sessions. Lorsque PFS est activé, les connexions VPN IPSec établies avec cette passerelle Edge rencontrent un léger surdébit de processeur. Important : Les clés de session uniques ne doivent pas être utilisées pour dériver des clés supplémentaires. En outre, les deux côtés du tunnel VPN IPSec doivent prendre en charge PFS pour qu'il puisse fonctionner.
Nom	(Facultatif) Entrez un nom pour la connexion.
ID local	Entrez l'adresse IP externe de l'instance de passerelle Edge, qui correspond à l'adresse IP publique de la passerelle Edge. Cette adresse IP sera celle utilisée pour l'ID de l'homologue dans la configuration de VPN IPSec sur le site distant.
Point de terminaison local	Entrez le réseau qui est le point de terminaison local de la connexion. Le point de terminaison local spécifie le réseau de votre centre de données virtuel d'organisation sur lequel transmet la passerelle Edge. En général, le réseau externe est le point de terminaison local. Si vous ajoutez un tunnel IP vers IP à l'aide d'une clé prépartagée, l'ID local et l'adresse IP du point de terminaison local peuvent être identiques.
Sous-réseaux locaux	Entrez les réseaux à partager entre les sites et utilisez une virgule comme séparateur pour entrer plusieurs sous-réseaux. Entrez une plage réseau (pas une adresse IP spécifique) en saisissant l'adresse IP au format CIDR. Par exemple, `192.168.99.0/24`.
ID de l'homologue	Entrez un ID d'homologue pour identifier de manière unique le site homologue. L'ID de l'homologue est un identifiant unique du périphérique distant qui termine la connexion VPN, généralement son adresse IP publique. Pour les homologues qui utilisent l'authentification de certificat, l'ID doit correspondre au nom unique du certificat de l'homologue. Pour les homologues PSK, cet ID peut être une chaîne quelconque. Une meilleure pratique NSX consiste à utiliser l'adresse IP publique du périphérique distant ou le nom de domaine complet (FQDN) comme ID de l'homologue. Si l'adresse IP de l'homologue provient d'un autre réseau de centre de données virtuel d'organisation, saisissez l'adresse IP native de l'homologue. Si NAT est configuré pour l'homologue, vous devez entrer l'adresse IP privée de l'homologue.
Point final homologue	Entrez l'adresse IP ou le nom de domaine complet (FQDN) du site homologue, qui correspond à l'adresse publique du périphérique distant auquel vous vous connectez. Note : Lorsque NAT est configuré pour l'homologue, entrez l'adresse IP publique que le périphérique utilise pour NAT.
Sous-réseaux homologues	Entrez le réseau distant auquel le VPN se connecte et utilisez une virgule comme séparateur pour entrer plusieurs sous-réseaux. Entrez une plage réseau (pas une adresse IP spécifique) en saisissant l'adresse IP au format CIDR. Par exemple, `192.168.99.0/24`.
Algorithme de chiffrement	Sélectionnez le type d'algorithme de chiffrement dans le menu déroulant. Note : Le type de chiffrement que vous sélectionnez doit correspondre au type de chiffrement qui est configuré sur le périphérique VPN du site distant.
Authentification	Sélectionnez une authentification. Les options sont : PSK L'option PSK (clé prépartagée) indique que la clé secrète partagée entre la passerelle Edge et le site homologue doit être utilisée pour l'authentification. Certificat L'option Certificat indique que le certificat défini au niveau global doit être utilisé pour l'authentification. Cette option n'est pas disponible, sauf si vous avez configuré le certificat global sur l'écran Configuration globale de l'onglet VPN IPSec.
Modifier la clé partagée	(Facultatif) Lorsque vous mettez à jour les paramètres d'une connexion existante, vous pouvez activer cette option pour rendre le champ Clé prépartagée disponible et pouvoir ainsi mettre à jour la clé partagée.
Clé prépartagée	Si vous avez sélectionné le type d'authentification PSK, entrez une chaîne alphanumérique secrète qui peut être une chaîne d'une longueur maximale de 128 octets. Note : La clé partagée doit correspondre à la clé qui est configurée sur le périphérique VPN du site distant. Une meilleure pratique consiste à configurer une clé partagée lorsque des sites anonymes se connectent au service VPN.
Afficher la clé partagée	(Facultatif) Sélectionnez cette option pour rendre la clé partagée visible à l'écran.
Groupe Diffie-Hellman	Sélectionnez le schéma cryptographique qui permettra au site homologue et à la passerelle Edge d'établir un secret partagé sur un canal de communication non sécurisé. Note : Le Groupe Diffie-Hellman doit correspondre à ce qui est configuré sur le périphérique VPN du site distant.
Extension	(Facultatif) Tapez l'une des options suivantes : `securelocaltrafficbyip=IPAddress` pour rediriger le trafic local de la passerelle Edge vers le tunnel VPN IPsec. Il s'agit de la valeur par défaut. `passthroughSubnets=PeerSubnetIPAddress` pour prendre en charge les sous-réseaux se chevauchant.

Cliquez sur Conserver.
Cliquez sur Enregistrer les modifications.

Que faire ensuite

Configurez la connexion du site distant. Vous devez configurer la connexion VPN IPsec sur les deux côtés de la connexion : votre centre de données virtuel d'organisation et le site homologue.

Activez le service VPN IPSec sur cette passerelle Edge. Lorsqu'au moins une connexion VPN IPSec est configurée, vous pouvez activer le service. Reportez-vous à Activer le service VPN IPsec sur une passerelle Edge NSX Data Center for vSphere.