Interconnexion IPsec entre deux sites

Mise en place d'un VPN IPsec entre deux clusters Nutanix distants

Dernière mise à jour le 29/06/2022

Objectif

Ce guide vous présente comment interconnecter deux clusters Nutanix Fournis par OVHcloud au travers d'un VPN IPsec. Pour cela, nous allons remplacer les machines virtuelles OVHgateway qui fournissent l'accès à Internet par une passerelle sous le systême d'exploitation pfSense.

OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.

Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un prestataire spécialisé si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.

Prérequis

  • Avoir pris connaissance des cas d'usages d'un VPN IPsec à l'aide du guide « Plan de reprise d'activité sur Nutanix ».
  • Disposer de deux clusters Nutanix fournis par OVHcloud, sur des sites différents.
  • Être connecté à votre espace client OVHcloud.
  • Être connecté sur vos clusters via Prism Central.
  • Utiliser un plan d'adressage IP privé différent par cluster.

En pratique

Dans ce guide, nous devons réaliser une partie de l'installation sur le cluster se trouvant au Canada et une autre en France. Vous trouverez-ci dessous la liste des tâches à effectuer par étapes sur chacun des clusters :

Etape 1 Présentation de la solution
Etape 2 Remplacement de la passerelle au Canada
  Etape 2.1 Téléchargement des sources pour l'installation de pfSense
  Etape 2.2 Création de la machine virtuelle GW-PFSENSE
  Etape 2.3 Arrêt de la machine virtuelle OVH-GATEWAY
  Etape 2.4 Récupération de l'adresse publique sur l'espace client OVHcloud
  Etape 2.5 Démarrage de la machine virtuelle GW-PFSENSE
  Etape 2.6 Installation de pfSense
  Etape 2.7 Ejection du CDROM pfSense de la machine virtuelle GW-PFSENSE
  Etape 2.8 Configuration des adresses IP de pfSense au travers de la console
  Etape 2.9 Configuration de certaines options au travers de l'interface Web
  Etape 2.9.1 Changement du mot de passe par défaut de pfSense
  Etape 2.9.2 Ajout d'une règle pour autoriser l'administration à distance à partir d'une adresse publique
Etape 3 Configuration de la passerelle en France
  Etape 3.1 Téléchargement des sources pour l'installation de pfsense
  Etape 3.2 Création de la machine virtuelle GW-PFSENSE
  Etape 3.3 Arrêt de la machine virtuelle OVH-GATEWAY
  Etape 3.4 Récupération de l'adresse publique sur l'espace client OVHcloud
  Etape 3.5 Démarrage de la machine virtuelle GW-PFSENSE
  Etape 3.6 Installation de pfSense
  Etape 3.7 Ejection du CDROM pfSense de la machine virtuelle GW-PFSENSE
  Etape 3.8 Configuration des adresses IP de pfSense au travers de la console
  Etape 3.9 Configuration de certaines options au travers de l'interface Web
  Etape 3.9.1 Changement du mot de passe par défaut de pfSense
  Etape 3.9.2 Ajout d'une règle pour autoriser l'administration à distance à partir d'une adresse publique
Etape 4 Mise en place du VPN IPsec
  Etape 4.1 Configuration du site au Canada
  Etape 4.1.1 Mise en place du VPN IPsec vers la France
  Etape 4.1.2 Ajout d'une règle de pare-feu pour autoriser le flux réseau au travers du VPN IPsec entre le Canada et la France
  Etape 4.2 Configuration du site en France
  Etape 4.2.1 Mise en place du VPN IPsec vers le Canada
  Etape 4.2.2 Ajout d'une règle de pare-feu pour autoriser le flux réseau au travers du VPN IPsec entre le Canada et la France

Etape 1 Présentation de la solution

Nous allons interconnecter deux clusters Nutanix, l'un se trouvant au Canada et l'autre en France, tous les deux dans des datacenters OVHcloud.
Ils utilisent chacun un plan IP différent que voici :

  • Le cluster au Canada : 192.168.10.0/24
  • Le cluster en France : 192.168.0.0/24

Pour permettre cette configuration, nous allons remplacer sur chacun des sites la machine virtuelle OVHgateway par une machine virtuelle avec le système d'exploitation pfSense qui continuera à fournir l'accès à Internet en sortie et gérera le tunnel VPN à l'aide du protocole IPsec.

Etape 2 Remplacement de la passerelle au Canada

Etape 2.1 Téléchargement des sources pour l'installation de pfSense

Téléchargez l'image ISO de l'installation de pfSense à partir de ce lien : Téléchargement de pfSense.

A l'aide de cette documentation, ajoutez l'image ISO pfSense dans votre cluster Nutanix.

Etape 2.2 Création de la machine virtuelle GW-PFSENSE

Créez une machine virtuelle avec ces paramètres :

  • Nom : GW-PFSENSE
  • Stockage1 : 60 Go HDD
  • Stockage2 : Un lecteur DVD connecté à l'image ISO de pfSense
  • RAM : 4 Go
  • CPU : 2 vCPU
  • Réseau : deux cartes réseau sur le réseau de AHV: **Base**

Vous pouvez vous aider de notre guide sur la gestion des machines virtuelles pour créer cette machine virtuelle.

Create VM 01

Etape 2.3 Arrêt de la machine virtuelle OVH-GATEWAY

Pour éviter des doublons d'adresses IP sur le réseau, il faut arrêter la machine virtuelle OVHgateway avant de démarrer la nouvelle machine virtuelle sous pfSense.

Via Prism Central, cliquez en haut à gauche sur le menu principal.

Arrêt OVHGateway 01

Cliquez sur VMs.

Arrêt OVHGateway 02

Cliquez sur la machine virtuelle OVHgateway.

Arrêt OVHGateway 03

Depuis le menu More en haut, cliquez sur Soft Shutdown.

Arrêt OVHGateway 04

Etape 2.4 Récupération de l'adresse publique sur l'espace client OVHcloud

Récupérez les informations concernant les paramètres réseau de la passerelle OVHcloud.

Connectez-vous à l'espace client OVHcloud, sélectionnez votre cluster Nutanix et relevez l'information se trouvant dans le champ IPFO.

Get IP Fail OVER

Ce que l'on nomme IPFO est une plage de 4 adresses. La première et la dernière sont réservées, la troisième se trouve sur un équipement OVHcloud et sert de passerelle Internet. La seule adresse IP utilisable est la seconde adresse de la plage.

Lors de l'installation, nous allons réutiliser ces informations pour les affecter à la nouvelle machine virtuelle GW-PFSENSE

XX.XX.XX.N      Adresse de réseau réservée qui apparait sur le site client OVHcloud
XX.XX.XX.N+1    Adresse IP qui doit être affectée à l'interface WAN de la machine virtuelle GW-PFSENSE
XX.XX.XX.N+2    Adresse à utiliser en tant que passerelle sur l'interface WAN de la machine virtuelle GW-PFSENSE
XX.XX.XX.N+3    Adresse IP de broadcast réservée

Par exemple, si l'adresse IPFO affichée sur le site client est 123.123.123.4/30, il faut utiliser :

  • 123.123.123.5 pour l'adresse de l'interface WAN ;
  • 123.123.123.6 pour la passerelle sur l'interface WAN.

Etape 2.5 Démarrage de la machine virtuelle GW-PFSENSE

Revenez dans la gestion des machines virtuelles sur Prism Central et cliquez sur GW-PFSENSE.

Start GATEWAY pfsense

Via le menu More, cliquez sur Power On.

Start GATEWAY pfsense

Cliquez sur Launch console.

Start GATEWAY pfsense

Etape 2.6 Installation de pfsense

Prenez connaissance des informations liées à la licence pfSense et appuyez sur la touche Entrée pour les accepter.

pfsense Installation 01

Choisissez Install, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 02

Sélectionnez Continue with default keymap, allez sur Select avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 03

Sélectionnez Auto (ZFS), allez sur OK avec la touche Tabulation et tapez sur la touche Entrée.

pfsense Installation 04

Positionnez-vous sur Select avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 05

Sélectionnez Stripe, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 06

Sélectionnez NUTANIX VDISK avec la barre Espace. Allez ensuite sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 07

Allez sur YES avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 08

Choisissez NO avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 09

Sélectionnez Reboot et appuyez sur la touche Entrée.

pfsense Installation 10

Etape 2.7 Ejection du CDROM pfSense de la machine virtuelle GW-PFSENSE

Depuis Prism central, revenez sur la gestion de la machine virtuelle GW-PFSENSE et effectuez les opérations suivantes pour éjecter le CDROM.

Cliquez sur Soft Shutdown via le menu More de la machine virtuelle GW-PFSENSE pour arrêter cette machine virtuelle.

Remove CDROM 01

Cliquez sur Update.

Remove CDROM 02

Cliquez sur Next.

Remove CDROM 03

Cliquez sur l'icone Eject au niveau du CDROM.

Remove CDROM 04

Cliquez sur Next.

Remove CDROM 05

CLiquez sur Next.

Remove CDROM 06

CLiquez sur Save.

Remove CDROM 07

Cliquez sur Power On dans le menu More.

Remove CDROM 08

Cliquez sur Launch Console pour continuer l'installation après le démarrage.

Remove CDROM 09

Etape 2.8 Configuration des adresses IP de pfSense au travers de la console

Nous allons configurer les adresses IP de passerelle pfSense comme ceci :

  • Interface WAN : Utilisez cette partie du guide « Récupération de l'adresse publique sur l'espace client OVHcloud » pour affecter l'adresse IP et la passerelle sur cette interface.
  • Interface LAN: 192.168.10.254/24 qui correspond à l'adresse de passerelle du réseau privé du cluster Nutanix suivi du masque de sous réseau.

Acceptez la licence en appuyant sur la touche Entrée.

Configure pfsense 01

Saisissez n et appuyez sur la touche Entrée lorsque l'on vous demande s'il faut des VLAN.

Configure pfsense 02

Saisissez vtnet0 comme nom d'interface pour le WAN et appuyez sur la touche Entrée.

Configure pfsense 03

Saisissez vtnet1 comme nom d'interface pour le LAN et appuyez sur la touche Entrée.

Configure pfsense 04

Validez les changements en saisissant y et appuyez sur la touche Entrée.

Configure pfsense 05

Saisissez 2 pour choisir Set interface(s) IP address et appuyez sur la touche Entrée.

Configure pfsense 06

Sélectionnez l'interface WAN en saisissant 1 et appuyez sur la touche Entrée.

Configure pfsense 07

Saisissez n et appuyez sur la touche Entrée à la demande de la configuration de l'adresse par DHCP.

Configure pfsense 08

Saisissez l'adresse IP publique avec le masque et appuyez sur la touche Entrée. Par exemple 123.123.123.5/30.

Saisissez ensuite l'adresse IP de la passerelle publique et appuyez sur la touche Entrée. Par exemple 123.123.123.6.

Configure pfsense 09

Répondez n et appuyez sur la touche Entrée lorsque l'assistant vous propose la configuration de l'IPv6 address WAN interface via DHCP6.

Configure pfsense 10

A la demande revert to HTTP as the webConfigurator protocol, saisissez n et appuyez sur la touche Entrée.

Configure pfsense 11

Appuyez sur Entrée pour valider l'enregistrement de l'adresse IP du WAN.

Configure pfsense 12

Saisissez 2 et appuyez sur la touche Entrée pour configurer les adresses IP.

Configure pfsense 13

Prenez l'option 2 et appuyez sur la touche Entrée pour modifier l'adresse IP du LAN.

Configure pfsense 14

Saisissez l'adresse IP privée suivie du masque 192.168.10.254/24 et appuyez sur la touche Entrée.

Configure pfsense 15

Appuyez sur la touche Entrée pour ne pas mettre de passerelle sur l'interface LAN

Configure pfsense 16

Appuyez sur la touche Entrée afin de désactiver l'usage d'IPv6.

Configure pfsense 17

Saisissez n et appuyez sur la touche Entrée à la demande d'activation du serveur DHCP.

Configure pfsense 18

Répondez n et appuyez sur la touche Entrée à la demande revert to HTTP as the webConfigurator protocol.

Configure pfsense 19

Il est maintenant possible d'administrer la passerelle en HTTPS sur le réseau privé du cluster Nutanix.

Appuyez sur la touche Entrée pour terminer la configuration en ligne de commande.

Configure pfsense 20

Etape 2.9 Configuration de certaines options au travers de l'interface WEB

Connectez-vous sur la console Web de pfSense avec cette URL https://192.168.10.254 à partir d'une machine virtuelle du cluster se trouvant sur le réseau local AHV : Base.

Saisissez ces informations :

  • Compte utilisateur : admin
  • Default password : pfsense

Cliquez ensuite sur SIGN IN.

WEB Configure pfsense 01

Etape 2.9.1 Changement du mot de passe par défaut de pfSense

Dans le menu System, choisissez User Manager.

Change Password 01

Cliquez sur l'icône en forme de Stylo.

Change Password 02

Saisissez et confirmez le mot de passe à droite de Password.

Change Password 03

Validez les changements en cliquant sur Save en bas du menu.

Change Password 03.

Etape 2.9.2 Ajout d'une règle pour autoriser l'administration à distance à partir d'une adresse publique

Allez dans le menu Firewall et choisissez Rules.

Authorisation admin from public ADDRESS

Vérifiez que vous êtes sur l'onglet WAN puis cliquez sur le bouton Add (en bas avec la flèche pointant vers le haut) pour créer une règle de pare-feu.

Authorisation admin from public ADDRESS

Définissez ces options dans la partie Edit Firewall Rule :

  • Action : Pass
  • Interface : WAN
  • Address Family : IPv4
  • Protocol : TCP

Sélectionnez Single host or alias dans le mendu déroulant Source et saisissez l'adresse publique autorisée à se connecter au pare-feu pfSense.

Authorisation admin from public ADDRESS 03

Définissez ensuite ces options dans la partie Destination :

  • Destination : WAN address
  • Destination Port Range From : HTTPS
  • Destination Port Range To : HTTPS

Cliquez sur Save.

Authorisation admin from public ADDRESS 04

Cliquez sur Apply Changes pour activer la règle.

Authorisation admin from public ADDRESS 05

L'interface d'administration de pfSense est alors accessible depuis Internet, uniquement à partir du réseau autorisé en HTTPS, ici https://123.123.123.5 .

Etape 3 Configuration de la passerelle en France

Nous allons effectuer l'installation de la passerelle GW-PFSENSE en France sur le plan IP 192.168.0.0/24.

Etape 3.1 Téléchargement des sources pour l'installation de pfSense

Téléchargez l'image ISO de l'installation de pfSense à partir de ce lien : Téléchargement de pfSense.

A l'aide de cette documentation, ajoutez l'image ISO pfSense dans votre cluster Nutanix.

Etape 3.2 Création de la machine virtuelle GW-PFSENSE

Créez une machine virtuelle avec ces paramètres :

  • Nom : GW-PFSENSE
  • Stockage1 : 60 Go HDD
  • Stockage2 : Un lecteur DVD connecté à l'image ISO de pfSense
  • RAM : 4 Go
  • CPU : 2 vCPU
  • Réseau : deux cartes réseau sur le réseau de AHV: **Base**

Vous pouvez vous aider de notre guide sur la gestion des machines virtuelles pour créer cette machine virtuelle.

Create VM 01

Etape 3.3 Arrêt de la machine virtuelle OVH-GATEWAY

Pour éviter des doublons d'adresses IP sur le réseau, il faut arrêter la machine virtuelle OVHgateway avant de démarrer la nouvelle machine virtuelle sous pfSense.

Via Prism Central, cliquez en haut à gauche sur le menu principal.

Arrêt OVHGateway 01

Cliquez sur VMs.

Arrêt OVHGateway 02

Cliquez sur la machine virtuelle OVHgateway.

Arrêt OVHGateway 03

Depuis le menu More en haut, cliquez sur Soft Shutdown.

Arrêt OVHGateway 04

Etape 3.4 Récupération de l'adresse publique sur l'espace client OVHcloud

Récupérez les informations concernant les paramètres réseau de la passerelle OVHcloud.

Connectez-vous à l'espace client OVHcloud, sélectionnez votre cluster Nutanix et relevez l'information se trouvant dans le champ IPFO.

Get IP Fail OVER

Ce que l'on nomme IPFO est une plage de 4 adresses. La première et la dernière sont réservées, la troisième se trouve sur un équipement OVHcloud et sert de passerelle Internet. La seule adresse IP utilisable est la seconde adresse de la plage.

Lors de l'installation, nous allons réutiliser ces informations pour les affecter à la nouvelle machine virtuelle GW-PFSENSE

XX.XX.XX.N      Adresse de réseau réservé qui apparait sur le site client OVHcloud
XX.XX.XX.N+1    Adresse IP qui doit être affectée à l'interface WAN de la machine virtuelle GW-PFSENSE.
XX.XX.XX.N+2    Adresse à utiliser en tant que passerelle sur l'interface WAN de la machine virtuelle GW-PFSENSE. 
XX.XX.XX.N+3    Adresse IP de broadcast réservée

Par exemple, si l'adresse IPFO affichée sur le site client est 123.123.123.4/30 il faut utiliser :

  • 123.123.123.5 pour l'adresse de l'interface WAN;
  • 123.123.123.6 pour la passerelle sur l'interface WAN.

Etape 3.5 Démarrage de la machine virtuelle GW-PFSENSE

Revenez dans la gestion des machines virtuelles sur Prism Central et cliquez sur GW-PFSENSE.

Start GATEWAY pfsense

Via le menu More, cliquez sur Power On.

Start GATEWAY pfsense

Cliquez sur Launch console.

Start GATEWAY pfsense

Etape 3.6 Installation de pfSense

Prenez connaissance des informations liées à la licence pfSense et appuyez sur la touche Entrée pour les accepter.

pfsense Installation 01

Choisissez Install, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 02

Sélectionnez Continue with default keymap, allez sur Select avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 03

Sélectionnez Auto (ZFS), allez sur OK avec la touche Tabulation et tapez sur la touche Entrée.

pfsense Installation 04

Positionnez-vous sur Select avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 05

Sélectionnez Stripe, positionnez-vous sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 06

Sélectionnez NUTANIX VDISK avec la barre Espace. Allez ensuite sur OK avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 07

Allez sur YES avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 08

Choisissez NO avec la touche Tabulation et appuyez sur la touche Entrée.

pfsense Installation 09

Sélectionnez Reboot et appuyez sur la touche Entrée.

pfsense Installation 10

Etape 3.7 Ejection du CDROM pfSense de la machine virtuelle GW-PFSENSE

Depuis Prism central, revenez sur la gestion de la machine virtuelle GW-PFSENSE et effectuez les opérations suivantes pour éjecter le CDROM.

Cliquez sur Soft Shutdown via le menu More de la machine virtuelle GW-PFSENSE pour arrêter cette machine virtuelle.

Remove CDROM 01

Cliquez sur Update.

Remove CDROM 02

Cliquez sur Next.

Remove CDROM 03

Cliquez sur l'icone Eject au niveau du CDROM.

Remove CDROM 04

Cliquez sur Next.

Remove CDROM 05

CLiquez sur Next.

Remove CDROM 06

CLiquez sur Save.

Remove CDROM 07

Cliquez sur Power On dans le menu More.

Remove CDROM 08

Cliquez sur Launch Console pour continuer l'installation après le démarrage.

Remove CDROM 09

Etape 3.8 Configuration des adresses IP de pfSense au travers de la console

Nous allons configurer les adresses IP de passerelle pfSense comme ceci :

Acceptez la licence en appuyant sur la touche Entrée.

Configure pfsense 01

Saisissez n et appuyez sur la touche Entrée lorsque l'on demande s'il faut des VLAN.

Configure pfsense 02

Saisissez vtnet0 comme nom d'interface pour le WAN et appuyez sur la touche Entrée.

Configure pfsense 03

Saisissez vtnet1 comme nom d'interface pour le LAN et appuyez sur la touche Entrée.

Configure pfsense 04

Validez les changements en saisissant y et appuyez sur la touche Entrée.

Configure pfsense 05

Saisissez 2 pour choisir Set interface(s) IP address et appuyez sur la touche Entrée.

Configure pfsense 06

Sélectionnez l'interface WAN en saisissant 1 et appuyez sur la touche Entrée.

Configure pfsense 07

Saisissez n et appuyez sur la touche Entrée à la demande de la configuration de l'adresse par DHCP.

Configure pfsense 08

Saisissez l'adresse IP publique avec le masque et appuyez sur la touche Entrée. Par exemple 123.123.123.5/30.

Saisissez ensuite l'adresse IP de la passerelle publique et appuyez sur la touche Entrée. Par exemple 123.123.123.6.

Configure pfsense 09

Répondez n et appuyez sur la touche Entrée lorsque l'assistant vous propose la configuration de l'IPv6 address WAN interface via DHCP6.

Configure pfsense 10

A la demande revert to HTTP as the webConfigurator protocol, saisissez n et appuyez sur la touche Entrée.

Configure pfsense 11

Appuyez sur Entrée pour valider l'enregistrement de l'adresse IP du WAN.

Configure pfsense 12

Saisissez 2 et appuyez sur la touche Entrée pour configurer les adresses IP.

Configure pfsense 13

Prenez l'option 2 et appuyez sur la touche Entrée pour modifier l'adresse IP du LAN.

Configure pfsense 14

Saisissez l'adresse IP privée suivie du masque 192.168.0.254/24 et appuyez sur la touche Entrée.

Configure pfsense 15

Appuyez sur la touche Entrée pour ne pas mettre de passerelle sur l'interface LAN

Configure pfsense 16

Appuyez sur la touche Entrée pour desactiver IPv6 sur l'interface LAN.

Configure pfsense 17

Saisissez n et appuyez sur la touche Entrée à la demande d'activation du serveur DHCP.

Configure pfsense 18

Répondez n et appuyez sur la touche Entrée à la demande revert to HTTP as the webConfigurator protocol.

Configure pfsense 19

Il est maintenant possible d'administrer la passerelle en HTTPS sur le réseau privé.

Appuyez sur la touche Entrée pour terminer la configuration en ligne de commande.

Configure pfsense 20

Etape 3.9 Configuration de certaines options au travers de l'interface Web

Connectez-vous sur la console Web de pfSense avec cette URL https://192.168.0.254 à partir d'une machine virtuelle se trouvant sur le réseau local AHV : Base.

Saisissez ces informations :

  • Compte utilisateur : admin
  • Default password : pfsense

Cliquez ensuite sur SIGN IN.

WEB Configure pfsense 01

Etape 3.9.1 Changement du mot de passe par défaut de pfSense

Dans le menu System, choisissez User Manager.

Change Password 01

Cliquez sur l'icône en forme de Stylo.

Change Password 02

Saisissez et confirmez le mot de passe à droite de Password.

Change Password 03

Validez les changements en cliquant sur Save en bas du menu.

Change Password 03.

Etape 3.9.2 Ajout d'une règle pour autoriser l'administration à distance à partir d'une adresse publique.

Allez dans le menu Firewall et choisissez Rules.

Authorisation admin from public ADDRESS

Vérifiez que vous êtes sur l'onglet WAN puis cliquez sur le bouton Add (en bas avec la flèche pointant vers le haut) pour créer une règle de pare-feu.

Authorisation admin from public ADDRESS

Choisissez ces options dans Edit Firewall Rule :

  • Action : Pass
  • Interface : WAN
  • Address Family : IPv4
  • Protocol : TCP

Sélectionnez Single host or alias dans le mendu déroulant Source et saisissez l'adresse publique autorisée à se connecter au pare-feu pfSense.

Authorisation admin from public ADDRESS 03

Ajoutez ces options dans Destination :

  • Destination : WAN address
  • Destination Port Range From : HTTPS
  • Destination Port Range To : HTTPS

Cliquez sur Save.

Authorisation admin from public ADDRESS 04

Cliquez sur Apply Changes pour activer la règle.

Authorisation admin from public ADDRESS 05

L'interface d'administration de pfSense est alors accessible depuis Internet, sur le réseau autorisé via cette URL https://adressewan, ici https://123.123.123.5 .

Etape 4 Mise en place du VPN IPsec

Maintenant que les deux passerelles ont été remplacées, nous allons configurer le VPN IPsec pour permettre la communication entre les deux clusters.

Etape 4.1 Configuration du site au Canada

Etape 4.1.1 Mise en place du VPN IPsec vers la France

Connectez-vous depuis un réseau autorisé sur l'adresse publique du Canada en HTTPS avec cette URL https://adressepublique-pfsense-canada.

Allez dans le menu VPN et choisissez IPsec.

Create VPN from Canada 01

Cliquez sur Add P1 pour créer la phase 1 du VPN IPsec.

Create VPN from Canada 02

Saisissez ces informations :

  • Description : VPN TO FRANCE
  • Key Exchange version : IKEv2
  • Internet Protocol : IPv4
  • Interface : WAN
  • Remote Gateway : Adresse publique de la machine virtuelle pfSense se trouvant en France

Create VPN from Canada 03

Cliquez sur Generate new Pre-Shared Key pour générer une clé pré-partagée dans le champ Pre-Share Key.

Notez ou copiez la clé, elle servira pour la configuration du VPN sur la passerelle en France.

Conservez les informations contenues dans Encryption Algorithm.

Create VPN from Canada 04

Cliquez sur Save en bas du menu.

Create VPN from Canada 05

Cliquez sur Apply Changes.

Create VPN from Canada 06

Cliquez sur Show Phase 2 Entries.

Create VPN from Canada 07

Cliquez sur Add P2 pour ajouter la phase 2 du VPN IPsec.

Create VPN from Canada 08

Effectuez la saisie de ces informations :

  • Description : TO LAN 192.168.0.0/24 France
  • Local Network : LAN subnet
  • Remote Network : Type Network, Address 192.168.0.0/24

Create VPN from Canada 09

Prenez note des paramètres de chiffrement.

Create VPN from Canada 10

Cliquez sur Save.

Create VPN from Canada 11

Cliquez sur Apply Changes pour finaliser la création du VPN IPsec sur la machine virtuelle pfSense du Canada.

Create VPN from Canada 12

Etape 4.1.2 Ajout d'une règle de pare-feu pour autoriser le flux réseau au travers du VPN IPsec entre le Canada et la France

Cliquez sur Rules dans le menu Firewall.

Create IPsec firewall rule Canada 01

Positionnez-vous sur l'onglet IPsec et cliquez sur Add (bouton en bas avec la flèche pointant vers le haut).

Create IPsec firewall rule Canada 02

Modifiez ces options :

  • Source : LAN net
  • Destination : Network et 192.168.0.0/24

Cliquez ensuite sur Save.

Create IPsec firewall rule Canada 03

Cliquez à nouveau sur le même bouton Add (en bas avec la flêche pointant vers le haut) pour rajouter une deuxième règle.

Create IPsec firewall rule Canada 04

Modifiez ces options :

  • Source : Network et 192.168.0.0/24
  • Destination : LAN net

Cliquez sur Save.

Create IPsec firewall rule Canada 05

Cliquez sur Apply Changes.

Create IPsec firewall rule Canada 06

Le paramétrage sur la passerelle au Canada est alors terminé.

Etape 4.2 Configuration du site en France

Etape 4.2.1 Mise en place du VPN IPsec vers le Canada

Connectez-vous sur l'adresse publique de la passerelle de la France en HTTPS via : https://adressepublique-pfsense-france.

Allez dans le menu VPN et choisissez IPsec.

Create VPN from France 01

Cliquez sur Add P1 pour créer la phase 1 du VPN IPsec.

Create VPN from France 02

Choisissez ces informations :

  • Description : VPN TO CANADA
  • Key Exchange version : IKEv2
  • Internet Protocol : IPv4
  • Interface : WAN
  • Remote Gateway : Adresse publique de la machine virtuelle pfSense se trouvant au Canada

Create VPN from France 03

Collez dans Pre-shared Key la clé pré-partagée qui a été générée sur la passerelle se trouvant au Canada.

Comparez et faites correspondre les paramètres dans Encryption Algorithm avec la passerelle du Canada.

Create VPN from France 04

Cliquez sur Save.

Create VPN from France 05

Cliquez sur Apply Changes.

Create VPN from France 06

Cliquez sur Show Phase 2 Entries.

Create VPN from France 07

Cliquez sur Add P2 pour ajouter la phase 2 du VPN IPsec.

Create VPN from France 08

Saisissez les informations suivantes :

  • Description : TO LAN 192.168.10.0/24 CANADA
  • Local Network : LAN subnet
  • Remote Network : Type Network, Address 192.168.10.0/24

Create VPN from France 09

Vérifiez les paramètres de chiffrement et faites en sorte qu'ils soient identiques avec ceux définis sur la passerelle du Canada.

Create VPN from France 10

Cliquez sur Save.

Create VPN from France 11

Cliquez sur Apply Changes pour finaliser la création du VPN IPsec.

Create VPN from France 12

Etape 4.2.2 Ajout d'une règle de pare-feu pour autoriser le flux réseau au travers du VPN IPsec entre le Canada et la France

Cliquez sur Rules dans le menu Firewall.

Create IPsec firewall rule France01

Positionnez-vous sur l'onglet IPsec et cliquez sur Add (bouton en bas avec la flèche pointant vers le haut).

Create IPsec firewall rule France02

Modifiez ces options :

  • Source : LAN net
  • Destination : Network et 192.168.10.0/24

Cliquez ensuite sur Save.

Create IPsec firewall rule France03

Cliquez à nouveau sur Add (bouton en bas avec la flèche pointant vers le haut) pour ajouter une deuxième règle.

Create IPsec firewall rule France04

Modifiez ces options :

  • Source : Network avec ce réseau 192.168.10.0/24 qui correspond au réseau privé du Canada
  • Destination : LAN net

Cliquez sur Save.

Create IPsec firewall rule France05

Cliquez sur Apply Changes.

Create IPsec firewall rule France06

Le paramétrage du VPN est terminé sur les deux clusters. Il est maintenant possible de mettre en place des réplications au travers du tunnel VPN sécurisé.

Aller plus loin

Plan de reprise d'activité sur Nutanix

Réplication asynchrone ou NearSync au travers de Prism Element

Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.


Cette documentation vous a-t-elle été utile ?

N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.

Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !

Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .

Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..


Ces guides pourraient également vous intéresser...

OVHcloud Community

Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.

Echanger sur OVHcloud Community