Les passerelles Edge NSX Data Center for vSphere d'un environnement VMware Cloud Director prennent en charge le protocole IPsec (Internet Protocol Security) site-à-site pour sécuriser les tunnels VPN entre des réseaux de centre de données virtuel d'organisation, ou entre un réseau de centre de données virtuel d'organisation et une adresse IP externe. Vous pouvez configurer le service VPN IPsec sur une passerelle Edge.

La configuration d'une connexion VPN IPsec depuis un réseau distant vers votre centre de données virtuel d'organisation est le scénario le plus courant. Le logiciel NSX fournit les capacités de VPN IPsec pour une passerelle Edge, notamment la prise en charge de l'authentification de certificat, le mode de clé prépartagée et le trafic IP monodiffusion entre lui-même et des routeurs VPN distants. Vous pouvez également configurer plusieurs sous-réseaux pour se connecter via des tunnels IPSec au réseau interne situé derrière une passerelle Edge. Lorsque vous configurez plusieurs sous-réseaux pour se connecter via des tunnels IPSec au réseau interne, les plages d'adresses de ces sous-réseaux et du réseau interne situé derrière la passerelle Edge ne doivent pas se chevaucher.

Note : Si les adresses IP des homologues locaux et distants sur un tunnel IPSec se chevauchent, l'acheminement du trafic dans le tunnel peut ne pas être cohérent selon qu'il existe ou non des routes locales connectées et des routes raccordées automatiquement.

Les algorithmes VPN IPSec suivants sont pris en charge :

  • AES (AES128-CBC)
  • AES256 (AES256-CBC)
  • Triple DES (3DES192-CBC)
  • AES-GCM (AES128-GCM)
  • DH-2 (groupe Diffie-Hellman 2)
  • DH-5 (groupe Diffie-Hellman 5)
  • DH-14 (groupe Diffie-Hellman 14)
Note : Les protocoles de routage dynamique ne sont pas pris en charge avec VPN IPSec. Si vous configurez un tunnel VPN IPsec entre une passerelle Edge du centre de données virtuel d'organisation et une passerelle VPN physique sur un site distant, vous ne pouvez pas configurer le routage dynamique pour cette connexion. L'adresse IP du site distant ne peut pas être apprise par routage dynamique sur la liaison montante de passerelle Edge.

Comme décrit dans la section Présentation de VPN IPSec du Guide d'administration de NSX, le nombre maximal de tunnels pris en charge sur une passerelle Edge est déterminé par sa taille configurée : Compacte, Grande, Très grande, Quadruple.

Pour afficher la taille de votre configuration de passerelle Edge, accédez à la passerelle Edge et cliquez sur son nom.

La configuration de VPN IPSec sur une passerelle Edge est un processus à plusieurs étapes.

Note : Si un pare-feu se trouve entre les points de terminaison du tunnel, après avoir configuré le service VPN IPSec, mettez à jour les règles du pare-feu pour autoriser les protocoles IP et les ports UDP suivants :
  • Protocole IP, ID 50 (ESP)
  • Protocole IP, ID 51 (AH)
  • Port 500 UDP (IKE)
  • Port 4500 UDP

Accéder à l'écran VPN IPsec sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Tenant Portal

Dans l'écran VPN IPsec, vous pouvez commencer à configurer le service VPN IPsec pour une passerelle Edge NSX Data Center for vSphere.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
    2. Sélectionnez la passerelle Edge que vous souhaitez modifier, puis cliquez sur Services.
  2. Accédez à VPN > VPN IPsec.

Que faire ensuite

Utilisez l'écran Sites de VPN IPsec pour configurer une connexion VPN IPsec. Une connexion au moins doit être configurée pour qu'il soit possible d'activer le service VPN IPsec sur la passerelle Edge. Reportez-vous à Configurer les connexions de site VPN IPSec pour la passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Tenant Portal.

Configurer les connexions de site VPN IPSec pour la passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Tenant Portal

Utilisez l'écran Sites VPN IPsec dans le portail de locataires de VMware Cloud Director pour configurer les paramètres nécessaires à la création d'une connexion VPN IPsec entre votre centre de données virtuel d'organisation et un autre site utilisant les capacités VPN IPsec de la passerelle Edge.

Lorsque vous configurez une connexion VPN IPSec entre des sites, vous configurez la connexion du point de vue de votre emplacement actuel. La configuration de la connexion nécessite que vous compreniez les concepts dans le contexte de l'environnement VMware Cloud Director afin de pouvoir configurer la connexion VPN correctement.

  • Les sous-réseaux locaux et homologues spécifient les réseaux auxquels le VPN se connecte. Lorsque vous spécifiez ces sous-réseaux dans les configurations des sites VPN IPSec, entrez une plage réseau et non une adresse IP spécifique. Utilisez le format CIDR, par exemple 192.168.99.0/24.
  • L'ID de l'homologue est un identifiant unique du périphérique distant qui termine la connexion VPN, généralement son adresse IP publique. Pour les homologues qui utilisent l'authentification de certificat, cet ID doit être le nom unique défini dans le certificat homologue. Pour les homologues PSK, cet ID peut être une chaîne quelconque. Une meilleure pratique NSX consiste à utiliser l'adresse IP publique du périphérique distant ou le nom de domaine complet (FQDN) comme ID de l'homologue. Si l'adresse IP de l'homologue provient d'un autre réseau de centre de données virtuel d'organisation, saisissez l'adresse IP native de l'homologue. Si NAT est configuré pour l'homologue, vous devez entrer l'adresse IP privée de l'homologue.
  • Le point de terminaison de l'homologue spécifie l'adresse IP publique du périphérique distant auquel vous vous connectez. Ce point de terminaison peut être une adresse différente de l'ID de l'homologue si la passerelle de l'homologue n'est pas directement accessible depuis Internet mais qu'elle se connecte par le biais d'un autre périphérique. Si NAT est configuré pour l'homologue, vous devez entrer l'adresse IP publique que les périphériques utilisent pour NAT.
  • L'ID local spécifie l'adresse IP publique de la passerelle Edge du centre de données virtuel d'organisation. Vous pouvez entrer une adresse IP ou un nom d'hôte conjointement avec le pare-feu de la passerelle Edge.
  • Le point de terminaison local spécifie le réseau de votre centre de données virtuel d'organisation sur lequel transmet la passerelle Edge. En général, le réseau externe de la passerelle Edge est le point de terminaison local.

Conditions préalables

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
    2. Sélectionnez la passerelle Edge que vous souhaitez modifier, puis cliquez sur Services.
  2. Sous l'onglet VPN IPsec, cliquez sur Sites VPN IPsec.
  3. Cliquez sur le bouton Ajouter (bouton Créer).
  4. Configurez les paramètres de connexion VPN IPsec.
    Option Action
    Activé Activez cette connexion entre les deux points de terminaison VPN.
    Activer PFS (Confidentialité de transmission parfaite) Sélectionnez cette option pour que le système génère des clés publiques uniques pour toutes les sessions VPN IPSec initiées par vos utilisateurs.

    L'activation de PFS garantit que le système ne crée pas un lien entre la clé privée de la passerelle Edge et la clé de chaque session.

    La compromission d'une clé de session n'affecte pas les données autres que celles échangées lors de la session spécifique protégée par cette clé particulière. La compromission de la clé privée du serveur ne peut pas être utilisée pour déchiffrer les sessions archivées ou les futures sessions.

    Lorsque PFS est activé, les connexions VPN IPSec établies avec cette passerelle Edge rencontrent un léger surdébit de processeur.

    Important : Les clés de session uniques ne doivent pas être utilisées pour dériver des clés supplémentaires. En outre, les deux côtés du tunnel VPN IPSec doivent prendre en charge PFS pour qu'il puisse fonctionner.
    Nom (Facultatif) Entrez un nom pour la connexion.
    ID local Entrez l'adresse IP externe de l'instance de passerelle Edge, qui correspond à l'adresse IP publique de la passerelle Edge.

    Cette adresse IP sera celle utilisée pour l'ID de l'homologue dans la configuration de VPN IPSec sur le site distant.

    Point de terminaison local Entrez le réseau qui est le point de terminaison local de la connexion.

    Le point de terminaison local spécifie le réseau de votre centre de données virtuel d'organisation sur lequel transmet la passerelle Edge. En général, le réseau externe est le point de terminaison local.

    Si vous ajoutez un tunnel IP vers IP à l'aide d'une clé prépartagée, l'ID local et l'adresse IP du point de terminaison local peuvent être identiques.

    Sous-réseaux locaux Entrez les réseaux à partager entre les sites et utilisez une virgule comme séparateur pour entrer plusieurs sous-réseaux.

    Entrez une plage réseau (pas une adresse IP spécifique) en entrant l'adresse IP au format CIDR. Par exemple, 192.168.99.0/24.

    ID de l'homologue Entrez un ID d'homologue pour identifier de manière unique le site homologue.

    L'ID de l'homologue est un identifiant unique du périphérique distant qui termine la connexion VPN, généralement son adresse IP publique.

    Pour les homologues qui utilisent l'authentification de certificat, l'ID doit correspondre au nom unique du certificat de l'homologue. Pour les homologues PSK, cet ID peut être une chaîne quelconque. Une meilleure pratique NSX consiste à utiliser l'adresse IP publique du périphérique distant ou le nom de domaine complet (FQDN) comme ID de l'homologue.

    Si l'adresse IP de l'homologue provient d'un autre réseau de centre de données virtuel d'organisation, saisissez l'adresse IP native de l'homologue. Si NAT est configuré pour l'homologue, vous devez entrer l'adresse IP privée de l'homologue.

    Point final homologue Entrez l'adresse IP ou le nom de domaine complet (FQDN) du site homologue, qui correspond à l'adresse publique du périphérique distant auquel vous vous connectez.
    Note : Lorsque NAT est configuré pour l'homologue, entrez l'adresse IP publique que le périphérique utilise pour NAT.
    Sous-réseaux homologues Entrez le réseau distant auquel le VPN se connecte et utilisez une virgule comme séparateur pour entrer plusieurs sous-réseaux.

    Entrez une plage réseau (pas une adresse IP spécifique) en entrant l'adresse IP au format CIDR. Par exemple, 192.168.99.0/24.

    Algorithme de chiffrement Sélectionnez le type d'algorithme de chiffrement dans le menu déroulant.
    Note : Le type de chiffrement que vous sélectionnez doit correspondre au type de chiffrement qui est configuré sur le périphérique VPN du site distant.
    Authentification Sélectionnez une authentification. Les options sont :
    • PSK

      L'option PSK (clé prépartagée) indique que la clé secrète partagée entre la passerelle Edge et le site homologue doit être utilisée pour l'authentification.

    • Certificat

      L'option Certificat indique que le certificat défini au niveau global doit être utilisé pour l'authentification. Cette option n'est pas disponible, sauf si vous avez configuré le certificat global sur l'écran Configuration globale de l'onglet VPN IPSec.

    Modifier la clé partagée (Facultatif) Lorsque vous mettez à jour les paramètres d'une connexion existante, vous pouvez activer cette option pour rendre le champ Clé prépartagée disponible et pouvoir ainsi mettre à jour la clé partagée.
    Clé prépartagée Si vous avez sélectionné le type d'authentification PSK, entrez une chaîne alphanumérique secrète qui peut être une chaîne d'une longueur maximale de 128 octets.
    Note : La clé partagée doit correspondre à la clé qui est configurée sur le périphérique VPN du site distant. Une meilleure pratique consiste à configurer une clé partagée lorsque des sites anonymes se connectent au service VPN.
    Afficher la clé partagée (Facultatif) Sélectionnez cette option pour rendre la clé partagée visible à l'écran.
    Groupe Diffie-Hellman Sélectionnez le schéma cryptographique qui permettra au site homologue et à la passerelle Edge d'établir un secret partagé sur un canal de communication non sécurisé.
    Note : Le Groupe Diffie-Hellman doit correspondre à ce qui est configuré sur le périphérique VPN du site distant.
    Extension (Facultatif) Tapez l'une des options suivantes :
    • securelocaltrafficbyip=IPAddress pour rediriger le trafic local de la passerelle Edge vers le tunnel VPN IPsec.

      Il s'agit de la valeur par défaut.

    • passthroughSubnets=PeerSubnetIPAddress pour prendre en charge les sous-réseaux se chevauchant.
  5. Cliquez sur Conserver.
  6. Cliquez sur Enregistrer les modifications.

Que faire ensuite

Configurez la connexion du site distant. Vous devez configurer la connexion VPN IPsec sur les deux côtés de la connexion : votre centre de données virtuel d'organisation et le site homologue.

Activez le service VPN IPSec sur cette passerelle Edge. Lorsqu'au moins une connexion VPN IPSec est configurée, vous pouvez activer le service. Reportez-vous à Activer le service VPN IPsec sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Tenant Portal.

Activer le service VPN IPsec sur une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Tenant Portal

Lorsqu'au moins une connexion VPN IPsec est configurée, vous pouvez activer le service VPN IPsec sur la passerelle Edge.

Conditions préalables

Procédure

  1. Dans l'onglet VPN IPsec, cliquez sur État d'activation.
  2. Cliquez sur État du service VPN IPsec pour activer le service VPN IPsec.
  3. Cliquez sur Enregistrer les modifications.

Résultats

Le service VPN IPsec de la passerelle Edge est activé.

Spécifier les paramètres globaux du VPN IPsec sur une passerelle Edge NSX dans le VMware Cloud Director Tenant Portal

Utilisez l'écran Configuration globale pour configurer les paramètres d'authentification VPN IPsec au niveau d'une passerelle Edge. Sur cet écran, vous pouvez définir une clé prépartagée globale et activer l'authentification par certificat.

Une clé prépartagée globale est utilisée pour les sites dont le point de terminaison homologue est défini sur Tous.

Conditions préalables

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans le panneau de navigation de gauche principal, sélectionnez Mise en réseau et, dans la barre de navigation supérieure de la page, sélectionnez Passerelles Edge.
    2. Sélectionnez la passerelle Edge que vous souhaitez modifier, puis cliquez sur Services.
  2. Dans l'onglet VPN IPsec, cliquez sur Configuration globale.
  3. (Facultatif) Définir une clé prépartagée globale :
    1. Activez l'option Modifier la clé partagée.
    2. Entrez une clé prépartagée.
      La clé pré-partagée (PSK) globale est partagée par tous les sites dont le point de terminaison homologue est défini sur any. Si une clé pré-partagée globale est déjà définie, la modification de celle-ci pour lui donner une valeur vide avant de l'enregistrer n'a aucun effet sur la configuration existante.
    3. (Facultatif) Activez éventuellement Afficher la clé partagée pour rendre visible la clé pré-partagée.
    4. Cliquez sur Enregistrer les modifications.
  4. Configurez l'authentification par certificat :
    1. Activez l'option Activer l'authentification de certificat.
    2. Sélectionnez les certificats de service, les certificats d'autorité de certification et les listes de révocation de certificats appropriés.
    3. Cliquez sur Enregistrer les modifications.

Que faire ensuite

Vous pouvez éventuellement activer la journalisation pour le service VPN IPsec de la passerelle Edge. Reportez-vous à Statistiques et journaux pour une passerelle Edge NSX Data Center for vSphere dans le VMware Cloud Director Tenant Portal.