VMware NSX : IPSec VPN Site-to-Site

VMware NSX : IPSec VPN Site-to-Site 


Nous partageons avec vous dans cet article la fonctionnalité VPN de VMware NSX et plus particulièrement l’installation et la configuration d’un tunnel VPN IPSEC Site-to-Site.

Voici le schéma de notre environnement :

SITE A (Cluster Compute B & MGMT-EDGE) :

  • Une Edge Services Gateway LAB-VPN-IPSEC-SERVER
  • une interface Uplink 192.168.100.10
  • une interface Internal 172.16.50.254
  • un Logical Switch LS-VPN-IPSEC-SERVER rattaché à l’interface Internal
  • Une VM 172.16.50.51


SITE B (Cluster Compute A) :

  • Une Edge Services Gateway LAB-IPSEC-VPN-CLIENT
  • une interface Uplink 192.168.130.10
  • une interface Internal 172.16.60.254
  • un Logical Switch LS-VPN-IPSEC-CLIENT rattaché à l’interface Internal
  • Une VM 172.16.60.61


Le but est de faire communiquer la VM du Site A 172.16.50.51 avec celle du Site B 172.16.60.61.

L’exemple illustré ici est basé sur un environnement totalement Nested, d’où les 2 cases bleues ROUTER/BOX et SWITCH PHYSIQUE. Ces 2 cases peuvent être représentées par le FAI ou tout simplement par Internet.
N’ayant qu’un vCenter à disposition, les 2 Sites sont simulés par des Clusters différents.

NSX_IPSEC

Mise en place des NSX Edge Services Gateway et des Logical Switchs

Pour commencer, nous avons sur chaque site créé une NSX Edge ainsi qu’un Logical Switch.

Site A : Une NSX Edge LAB-VPN-IPSEC-SERVER et un Logical Switch LS-VPN-IPSEC-SERVER
Site B : Une NSX Edge LAB-VPN-IPSEC-CLIENT et un Logical Switch LS-VPN-IPSEC-CLIENT

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_88.png

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_85.png

Configuration des Interfaces des Edges

Côté Serveur, la Edge a 2 interfaces :

  • Une interface Uplink 192.168.100.10 rattachée au portgroup MGMT-EDGE_HQ-Uplink. (Un uplink est généralement rattaché à un portgroup sur l’ESX. C’est une interface de sortie, pour communiquer avec le monde extérieur).
  • Une interface Internal 172.16.50.254 rattachée au Logical Switch LS-VPN-IPSEC-SERVER (l’interface Internal est la gateway de toutes les machines sur ce Logical Switch)

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_89.png


Une gateway par défaut (192.168.100.254) est configurée au niveau de l’interface to-outside.

Cette interface est reliée à notre switch physique qui simule le réseau internet.

screenshot_92

Côté Client la Edge a 2 interfaces :

  • Une interface Uplink 192.168.130.10 rattachée au portgroup Compute_HQ-Access
  • Une Interface Internal 172.16.60.254 rattachée attachée au Logial Switch LS-VPN-IPSEC-CLIENT

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_90.png

Comme pour le côté serveur, une gateway par défaut (192.168.130.254) est configurée au niveau de l’interface to-outside.
Cette interface est reliée à notre switch physique qui simule le réseau internet.

screenshot_91


SITE B = COMPUTE
A

Le cluster Compute A représente notre site B.
Nous pouvons voir sur le cluster la NSX Edge LAB-VPN-IPSEC-CLIENT ainsi que la VM LAB-CLIENT-IPSEC-61 qui à sa carte réseau reliée au Logical Switch LS-VPN-IPSEC-CLIENT

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_86.png

SITE A = Compute-B & MGMT-EDGE

Les clusters Compute B et le MGMT-EDGE représentent notre site A.
Nous pouvons voir sur le cluster la NSX Edge LAB-VPN-IPSEC-SERVER ainsi que la VM LAB-SERVER-IPSEC-51 qui à sa carte réseau reliée au Logical Switch LS-VPN-IPSEC-SERVER

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_87.png

Test de Ping des Gateway (interface Internal des Edge)

Sur chacune des VMs, nous pouvons voir que la gateway qui est l’interface internal de la NSX Edge répond au ping.

SITE A (à gauche) : 172.16.50.254
SITE B (à droite)    : 172.16.60.254

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_93.png

Test de Ping entre les 2 VMs

On voit bien que le ping entre les 2 VMs ne fonctionne pas pour le moment.

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_94.png

Configuration du Site-to-Site VPN IPSEC

Côté Server (SITE A) :

Sur la NSX Edge, se rendre au niveau de l’onglet VPN, puis sur la gauche IPSEC VPN.
Nous pouvons voir que la configuration a déjà été faite, mais détaillons là.

  • Name : le nom que vous voulez donner à votre configuration
  • Local Endpoint : c’est l’interface par lequel le VPN va se monter (ça doit être une interface connectée à Internet, généralement c’est l’interface WAN). Dans notre cas, c’est l’Uplink 192.168.100.10
  • Local Subnets : c’est le réseau privé de votre SITE que vous voulez exposer via votre tunnel VPN IPSEC. Dans notre cas, sur le SITE A : 172.16.50.0/24
  • Peer Endpoint : c’est l’interface du site distant. Dans notre cas, c’est l’Uplink du SITE B 192.168.130.10
  • Peer Subnets : c’est le réseau privé distant que vous voulez joindre à travers le tunnel VPN IPSEC. Dans notre cas, sur le SITE B : 172.16.60.0/24

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_96.png

Voici la configuration en détail, où nous retrouvons toutes ces notions de Local Endpoint/Subnets, Peer Endpoint/Subnets.
Nous trouvons un Local et un Peer ID.

IMPORTANT :pour l’authentification nous avons choisi une Pre-Shared Key, mais une authentification à l’aide de certificat est tout aussi jouable.

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_95.png


Côté Client
(SITE B) :

Nous retrouvons la même chose en ajustant changeant évidement les Endpoint et Subnets.

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_97.png

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_99.png

État du Tunnel IPSEC

Ne  pas oublier de cliquer sur ENABLE une fois les configurations faites sur les 2 Sites.

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_96.png

Au niveau de “Show IPsec Statistics”, nous pouvons voir un aperçu du Tunnel.
Dans notre cas, le tunnel semble être UP entre les Endpoint 192.168.100.10 – 192.168.130.10

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_100.png

Test de Ping entre les 2 VMs

Une fois le tunnel monté, les 2 VMs peuvent se ping.

C:\Users\igor\Desktop\vinception\Screenpresso\screen\NSX_VPNIPSEC\screenshot_101.png

Leave a Reply

Your email address will not be published. Required fields are marked *