Configurer des paramètres de VPN IPSec

Vous devez configurer au moins une adresse IP externe sur le dispositif NSX Edge pour fournir le service VPN IPSec.

Procédure

Connectez-vous à vSphere Web Client.
Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
Double-cliquez sur une instance de NSX Edge.
Cliquez sur Gérer > VPN > VPN IPSec.
Cliquez sur Ajouter (Add).
Entrez un nom pour le site VPN IPSec.
Configurez les paramètres de point de terminaison du site VPN IPSec.
1. Entrez l'ID local pour identifier l'instance locale de NSX Edge. Cet ID local est l'ID homologue sur le site distant.
  L'ID local peut être n'importe quelle chaîne. Utilisez de préférence l'adresse IP publique du VPN ou un nom de domaine qualifié (FQDN) pour le service VPN en tant qu'ID local.
2. Entrez une adresse IP ou un nom de domaine complet pour le point de terminaison local.
  Si vous ajoutez un tunnel IP-vers-IP à l'aide d'une clé prépartagée, l'ID local et l'adresse IP du point de terminaison local peuvent être identiques.
3. Entrez les sous-réseaux à partager entre les sites VPN IPSec au format CIDR. Utilisez une virgule de séparation si vous entrez plusieurs sous-réseaux.
4. Entrez l'ID homologue pour identifier le site homologue.
  - Pour les homologues utilisant l'authentification de certificat, cet ID doit correspondre au nom unique du certificat de l'homologue. Entrez le nom unique du certificat sous forme de chaîne de valeurs séparées par des virgules dans l'ordre suivant sans espaces : C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx.
  - Pour les homologues PSK, l'ID homologue peut être n'importe quelle chaîne. Utilisez de préférence l'adresse IP publique du VPN ou un nom de domaine qualifié complet (FQDN) pour le service VPN en tant qu'ID d'homologue.
  Note : Si le dispositif Edge dispose de plusieurs interfaces de liaison montante qui peuvent atteindre l'homologue IPSec distant, le routage doit être effectué de telle sorte que le trafic IPSec sorte de l'interface Edge, qui est configurée avec une adresse IP homologue locale.
5. Entrez une adresse IP ou un nom de domaine complet pour le point de terminaison homologue. La valeur par défaut est any. Si vous conservez la valeur par défaut, vous devez configurer la clé prépartagée globale.
6. Entrez l'adresse IP interne du sous-réseau homologue au format CIDR. Utilisez une virgule de séparation si vous tapez plusieurs sous-réseaux.

Configurez les paramètres du tunnel.

(Facultatif) Sélectionnez une suite de conformité de sécurité pour configurer le profil de sécurité du site VPN IPSec avec des valeurs prédéfinies défini par la suite.
La sélection par défaut est aucun, ce qui signifie que vous devez spécifier manuellement les valeurs de configuration pour la méthode d'authentification, le profil IKE et le profil de tunnel. Lorsque vous sélectionnez une suite de conformité, les valeurs qui sont prédéfinies dans cette suite de conformité standard sont automatiquement attribuées et vous ne pouvez pas les modifier. Pour plus d'informations sur les suites de conformité, reportez-vous à la section Suites de conformité prises en charge.
Note :
- La suite de conformité est prise en charge dans NSX Data Center 6.4.5 ou version ultérieure.
- Si le mode FIPS est activé sur le dispositif Edge, vous ne pouvez pas spécifier une suite de conformité.

Sélectionnez l'un des protocoles IKE (Internet Key Exchange) suivants pour configurer une association de sécurité (SA) dans la suite de protocoles IPSec.

Option	Description
IKEv1	Lorsque vous sélectionnez cette option, le VPN IPSec initie et répond au protocole IKEv1 uniquement.
IKEv2	Lorsque vous sélectionnez cette option, le VPN IPSec initie et répond au protocole IKEv2 uniquement.
IKE-Flex	Lorsque vous sélectionnez cette option, et si l'établissement de tunnel échoue avec le protocole IKEv2, le site source ne se rétablit pas et n'établit pas de connexion avec le protocole IKEv1. En revanche, si le site distant initie une connexion avec le protocole IKEv1, la connexion est acceptée.

Important : Si vous configurez plusieurs sites avec les mêmes points de terminaison locaux et distants, veillez à sélectionner la même version d'IKE et la même clé prépartagée sur tous ces sites VPN IPSec.

Dans le menu déroulant Algorithme Digest (Digest Algorithm), sélectionnez l'un des algorithmes de hachage sécurisés suivants :
- SHA1
- SHA_256

Dans le menu déroulant Algorithme de chiffrement (Encryption Algorithm), sélectionnez l'un des algorithmes de chiffrement pris en charge suivants :

AES (AES128-CBC)
AES256 (AES256-CBC)
Triple DES (3DES192-CBC).
AES-GCM (AES128-GCM)

Note :

L'algorithme de chiffrement AES-GCM n'est pas compatible avec FIPS.
À partir de NSX 6.4.5, l'algorithme de chiffrement Triple DES est obsolète dans le service VPN IPSec.

Le tableau suivant décrit les paramètres de chiffrement utilisés sur la passerelle VPN homologue pour les paramètres de chiffrement sélectionnés sur le dispositif NSX Edge local.

Tableau 1. Paramètres de chiffrement
Paramètres de chiffrement sur NSX Edge	Paramètres IKE sur la passerelle VPN homologue	Paramètres IPSec sur la passerelle VPN homologue
AES-256	AES-256	AES-256
AES-128	AES-128	AES-128
3DES	3DES	3DES
AES-GCM, IKEv1	AES-128	AES-GCM
AES-GCM, IKEv2	AES-128 ou AES-GCM	AES-GCM

Dans Méthode d'authentification, sélectionnez l'une des options suivantes :

Option	Description
PSK (Pre Shared Key)	Indique que la clé secrète partagée entre NSX Edge et le site homologue doit être utilisée pour l'authentification. La clé secrète peut être une chaîne d'une longueur maximale de 128 octets. L'authentification PSK est désactivée en mode FIPS.
Certificat	Indique que le certificat défini au niveau global doit être utilisé pour l'authentification.

(Facultatif) Entrez la clé prépartagée du site VPN IPSec homologue.
Pour afficher la clé sur le site homologue, cliquez sur l'icône Afficher la clé pré-partagée () ou cochez la case Afficher la clé partagée (Display Shared Key).
Dans le menu déroulant Groupe Diffie-Hellman (DH) (Diffie-Hellman (DH) Group), sélectionnez l'un des schémas cryptographiques suivants permettant au site homologue et au dispositif NSX Edge d'établir un secret partagé sur un canal de communication non sécurisé.
- DH-2
- DH-5
- DH-14
- DH-15
- DH-16
DH14 est sélectionné par défaut pour les modes FIPS et non FIPS. DH2 et DH5 ne sont pas disponibles lorsque le mode FIPS est activé.

Configurez les paramètres avancés.
1. Si le site VPN IPSec distant ne prend pas en charge PFS, désactivez l'option Confidentialité persistante (PFS) (Perfect forward secrecy (PFS)). Par défaut, PFS est activé.
2. (Facultatif) Pour utiliser le VPN IPSec en mode de répondeur uniquement, cochez la case Répondeur uniquement (Responder only).
  Dans ce mode, le VPN IPSec ne lance jamais de connexion.
3. (Facultatif) Dans la zone de texte Extension, tapez l'une des opérations suivantes :
  - securelocaltrafficbyip=IPAddress pour rediriger le trafic local du dispositif Edge vers le tunnel VPN IPSec. L'adresse IP est la valeur par défaut. Pour plus d'informations, reportez-vous à l'article http://kb.vmware.com/kb/20080007.
  - passthroughSubnets=PeerSubnetIPAddress pour prendre en charge les sous-réseaux se chevauchant.
Cliquez sur Ajouter ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).
La configuration VPN IPSec est enregistrée sur le dispositif NSX Edge.

Que faire ensuite

Activez le service VPN IPSec.

Info-bulle : Dans vSphere Web Client, vous pouvez suivre ces étapes sur la page VPN IPSec afin de générer le script de configuration pour la passerelle VPN homologue.

Dans NSX 6.4.6 et versions ultérieures, sélectionnez le site VPN IPSec, puis cliquez sur Actions > Générer la configuration homologue.
Dans NSX 6.4.5 et versions antérieures, sélectionnez le site VPN IPSec, puis cliquez sur l'icône Générer la configuration homologue. Dans la boîte de dialogue qui s'ouvre, cliquez sur Générer la configuration homologue.
Le script de configuration est généré. Vous pouvez utiliser ce script comme référence pour configurer les paramètres VPN IPSec sur la passerelle VPN homologue.