Si vous souhaitez connecter un VPN à une passerelle de niveau 1, vous devez créer un service IPsec sur la passerelle et des règles NAT appropriées pour activer le trafic VPN IPsec sur l'interface Internet de la passerelle.

Dans les versions 1.18 et ultérieures de SDDC, vous avez la possibilité de créer un VPN qui se termine sur une passerelle de niveau 1 personnalisée. Cette configuration est particulièrement utile lorsque vous devez fournir un accès VPN dédié à un locataire ou à un groupe de travail spécifique.

Pour plus d'informations, reportez-vous à l'article de la zone technique VMware Présentation du VPN pour les passerelles NSX de niveau 1 créées par les clients dans VMC on AWS.

Conditions préalables

Créez une passerelle de niveau 1 acheminée ou connectée au NAT. Reportez-vous à la section Ajouter une passerelle de niveau 1 personnalisée à un SDDC VMware Cloud on AWS.

Procédure

  1. Connectez-vous à VMware Cloud Services à l'adresse https://vmc.vmware.com.
  2. Cliquez sur Inventaire > SDDC, puis choisissez une carte SDDC et cliquez sur AFFICHER LES DÉTAILS.
  3. Cliquez sur OUVRIR NSX MANAGER et connectez-vous avec le Compte d'utilisateur Admin NSX Manager affiché sur la page Paramètres du SDDC.
  4. (Facultatif) Demandez une adresse IP publique pour le point de terminaison VPN.
    Dans le cas classique où vous souhaitez accéder à ce VPN depuis Internet, son point de terminaison local doit être une adresse IP publique. Voir Demander ou libérer une adresse IP publique. Pour cet exemple, nous allons utiliser 93.184.216.34 comme adresse. Si vous souhaitez accéder à ce VPN via DX ou VMware Transit Connect, vous pouvez utiliser n'importe quelle adresse IP disponible dans le réseau de calcul du SDDC.
    Note : Vous ne pouvez utiliser aucun sous-réseau du CIDR de gestion comme point de terminaison local.
  5. Ajoutez un service VPN à la passerelle de niveau 1.
    Cliquez sur Mise en réseau > VPN. Ouvrez l'onglet Niveau 1 et cliquez sur Services VPN > AJOUTER UN SERVICE > IPSec. Attribuez au service IPsec un Nom, puis sélectionnez une Passerelle de niveau 1 dans le menu déroulant. Cliquez sur ENREGISTRER pour créer le service.
  6. Créez le point de terminaison local.
    Ouvrez l'onglet Points de terminaison locaux et cliquez sur AJOUTER UN POINT DE TERMINAISON LOCAL. Attribuez au nouveau point de terminaison local un Nom et une Description facultative. Pour Service VPN, utilisez le nom du service IPsec que vous avez créé à l'étape 5. Pour l' Adresse IP, utilisez l'adresse IP publique que vous avez demandée dans Étape 4 ou toute adresse disponible dans le réseau de calcul du SDDC. Cliquez sur ENREGISTRER pour créer le point de terminaison.
  7. Configurez le VPN.
    Ouvrez l'onglet Sessions IPSec et sélectionnez Basé sur les routes ou Basée sur les stratégies dans le menu déroulant AJOUTER UNE SESSION IPSEC.
    1. Pour Service VPN, utilisez le nom du service IPsec que vous avez créé à l'étape 5. Pour point de terminaison local, utilisez celui que vous avez créé à l'étape 6.
    2. Pour Adresse IP distante, entrez l'adresse de votre point de terminaison VPN sur site.
    3. Entrez la chaîne de Clé pré-partagée.

      La longueur de clé maximale est de 128 caractères. Cette clé doit être identique pour les deux extrémités du tunnel VPN.

  8. Spécifiez l'ID distant.
    Laissez ce champ vide pour utiliser l' Adresse IP distante comme ID distant pour la négociation IKE. Si votre passerelle VPN sur site se trouve derrière un périphérique NAT et/ou utilise une adresse IP différente pour son ID local, vous devez entrer cette adresse IP ici.
  9. Configurez les Paramètres de tunnel avancés.
    Paramètre Valeur
    Profil IKE > Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
    Profil IKE > Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM

    .
    Profil IKE > Version d'IKE
    • Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
    • Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
    • Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
    Profil IKE > Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Profil IPSec > Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
    Profil IPSec Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
    Note :

    Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.

    Profil IPSec > PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
    Profil IPSec > Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
    Profil DPD > Mode de sonde DPD Choisir Périodique ou À la demande.

    Pour un mode de sonde DPD périodique, une sonde DPD est envoyée chaque fois que l'intervalle de sonde DPD est atteint.

    Pour un mode de sonde DPD à la demande, une sonde DPD est envoyée si aucun paquet IPSec n'est reçu du site homologue après une période d'inactivité. La valeur dans Intervalle de sonde DPD détermine la période d'inactivité utilisée.
    Profil DPD > Nombre de tentatives Nombre total de tentatives autorisées. Les valeurs de la plage 1 à 100 sont valides. Le nombre de tentatives par défaut est de 10.
    Profil DPD > Intervalle de sonde DPD Nombre de secondes pendant lesquelles le démon IKE NSX doit attendre entre l'envoi des sondes DPD.

    Pour un mode de sonde DPD périodique, les valeurs valides sont comprises entre 3 et 360 secondes. La valeur par défaut est 60 secondes.

    Pour un mode de sonde à la demande, les valeurs valides sont entre 1 et 10 secondes. La valeur par défaut est 3 secondes.

    Lorsque le mode de sonde DPD périodique est choisi, le démon IKE envoie une sonde DPD périodiquement. Si le site homologue répond en moins d'une demi-seconde, la sonde DPD suivante est envoyée après l'intervalle de sonde DPD configuré. Si le site homologue ne répond pas, la sonde DPD est renvoyée après une attente d'une demi-seconde. Si le site homologue distant ne répond toujours pas, le démon IKE renvoie la sonde DPD jusqu'à ce qu'une réponse soit reçue ou que le nombre de tentatives ait été atteint. Avant que le site homologue ne soit déclaré mort, le démon IKE renvoie la sonde DPD jusqu'à un maximum de tentatives spécifié dans la propriété Nombre de tentatives. Une fois que le site homologue est déclaré mort, NSX rompt l'association de sécurité (SA) sur le lien de l'homologue mort.

    Lorsque le mode DPD à la demande est actif, la sonde DPD est envoyée uniquement si aucun trafic IPSec n'est reçu du site homologue après que l'intervalle de sonde DPD configuré a été atteint.
    Profil DPD > État de l'administrateur Pour activer ou désactiver le profil DPD, cliquez sur le bouton bascule État de l'administrateur. Par défaut, la valeur est définie sur Activé. Lorsque le profil DPD est activé, le profil DPD est utilisé pour toutes les sessions IPSec dans le service VPN IPSec qui utilise le profil DPD.
    Verrouillage MSS TCP Pour utiliser la méthode de Verrouillage MSS TCP afin de réduire la charge utile de la taille de segment maximale (MSS) de la session TCP lors de la connexion IPsec, basculez cette option sur Activé, puis sélectionnez la Direction MSS TCP et éventuellement la Valeur MSS TCP. Consultez Présentation du verrouillage MSS TCP dans le Guide d'administration de Data Center de NSX.
  10. (Facultatif) Marquez le VPN.

    Consultez Ajouter des balises à un objet dans le Guide d'administration du Data Center de NSX pour plus d'informations sur le balisage d'objets NSX.

  11. Cliquez sur ENREGISTRER pour créer le VPN.
  12. Ajoutez une règle de pare-feu de passerelle de calcul qui autorise le trafic VPN IPsec via l'interface Internet de la CGW.
    Ouvrez l'onglet Pare-feu de passerelle et cliquez sur Passerelle de calcul. Une règle comme celle-ci fonctionnera mais est probablement plus permissive que vous ne le voudriez pour une utilisation en production. Envisagez de limiter les Sources à un bloc CIDR que vous approuvez ou contrôlez. Dans cet exemple, nous utilisons l'adresse IP publique que nous avons obtenue dans Étape 4 (93.184.216.34) comme adresse Destinations.
    Nom Sources Destinations Services Appliqué à Action
    Accès VPN Tous 93.184.216.34 Doit inclure IKE (transversale NAT), IKE (échange de clés) , IPSec VPN ESP Interface Internet Autoriser
  13. Créez une règle NAT pour rendre l'adresse IP publique du VPN accessible en externe.
    Accédez à Mise en réseau > NAT > Internet. Cliquez sur Ajouter une règle NAT et créez une règle NAT semblable à celle-ci.
    Nom Adresse IP publique Service Port public Adresse IP interne Pare-feu
    Accès VPN 93.184.216.34 Tout le trafic Tous 93.184.216.34 Correspond à une adresse externe
    La règle doit utiliser la même adresse (dans cet exemple, il s'agit de l'adresse IP publique demandée dans Étape 4) pour l' Adresse IP publique et l' Adresse IP interne. Le pare-feu doit correspondre à l'adresse externe lors de l'examen des paquets entrants.