Cómo configurar una VPN IPSEC en un Datacenter Virtual

El entorno Datacener Virtual (VDC) de BAEHOST -basado en VMware vCloud Director– incluye un Edge Gateway (router) potente que puede funcionar como un firewall completo y dispositivo de VPN site to site. Esto permite configurar un túnel VPN directamente en tu red privada con los servidores del VDC, proporcionando un acceso directo como si estuvieran en la misma red de tu empresa. En este tutorial te vamos a mostrar cómo configurar una VPN site to site con el Datacenter Virtual de BAEHOST.

Propósito: La configuración del túnel VPN IPsec dentro del Datacenter Virtual de BAEHOST es un requerimiento típico e importante para una conexión de túnel segura a tu infraestructura local. Este tutorial proporciona los pasos para configurar los parámetros de IPSEC.

Resolución: Los parámetros IKE fase 1 utilizados por el túnel IPSEC son:

  • Main mode
  • AES/ AES 256 Preferred/ TripleDES /
  • SHA-1
  • MODP (DH) group 2 (MODP1024 bits).
  • pre-shared secret [Configurable] es la clave de acceso.
  • SA lifetime of 28800 segundos (ocho horas) con no kbytes rekeying.
  • ISAKMP modo agresivo desactivado.

Por favor, tené en cuenta que los parámetros -especialmente tiempos SA lifetime, ISAKMP y MODP (DH)- sean los mismos de tu extremo de la VPN.

Los parámetros IKE fase 2 soportados por túnel IPSEC son:

  • AES/ AES 256 Preferred/ TripleDES / [Coincidirá con la configuración de Fase 1]
  • SHA-1
  • Modo de túnel ESP.
  • MODP (DH) group 2 (MODP1024 bits).
  • Perfect forward secrecy for rekeying.
  • SA lifetime of 3600 segundos (una hora) con no kbytes rekey

 

Por favor, tené en cuenta que los parámetros -especialmente tiempos SA lifetime, MODP (DH)- sean los mismos de tu extremo de la VPN.

Nota: El túnel VPN puede estar habilitado, pero puede aparecer abajo con una X roja. Este es un problema conocido donde la interfaz de vCloud Director no verifica regularmente el estado. Alternar una configuración en el edge puede resolver este problema.

Para acceder a la pantalla de configuración adecuada del router dentro de vCloud Director, pasaremos a describir:

1- Iniciá sesión en la interfaz de vCloud Director como un administrador de la organización.

2- Hacé click en Administración en el menú superior. (A)

3- Hacé click en Virtual Datacenters, en el panel de Administración a la izquierda.

4- Hacé click en el nombre del Virtual Datacenters, en el panel de la derecha. (B)

7- Hacé click en la pestaña Edge Gateways, en el panel derecho que tiene una fila de pestañas en la parte superior. (C)

8- En la lista de Edge Gateways, hacé click en una puerta de enlace para seleccionarla.

9- Hacé click con el botón derecho en Edge Gateway, y luego hacé click en Edge Gateway Services. (D)

10- Hacé click en la pestaña VPN.  Desde aquí podrás configurar túneles VPN.

Para habilitar y configurar VPN y IP públicas: (ver fig. 2)

1- En la ventana Configurar servicios, hacé click en Habilitar VPN.

2- Podés determinar la dirección IP pública del Edge Gateway haciendo click en el botón “Confiigure Public IPs”.

La interfaz externa de Edge Gateway aparece en la lista, junto con su dirección IP. Esta                dirección IP también puede ser usada como tu dirección IP pública.

 

IMPORTANTE: en caso de no realizar este paso, se utilizará automáticamente la primer dirección IP de la interface WAN.

3- Ingresá la dirección IP en el campo de IP pública.

Nota: Si hay varias direcciones IP, seleccione una dirección IP.

4- Hacé click en Aceptar.

 

Para configurar un túnel VPN de sitio a sitio:

1- Dentro de la ventana Configurar servicios, hacé click en Agregar.

2- Completá los campos requeridos. Esta tabla proporciona una guía para cada campo:

 

Field Action
Name Ingrese el nombre del tunel VPN.
Description Ingrese la descripción del tunel VPN.
Enable this VPN configuration Asegurese de que esta casilla este seleccionada. Puede desactivar los túneles si solo quiere que estén desconectados temporalmente.
Establish VPN to Puede crear túneles entre entornos de vCloud Director, pero en la mayoría de los casos debe seleccionar “a remote network” para crear una VPN IPSEC site to site.
Local Networks Haga clic en la red que desea designar como la red interna para la VPN.

Esta es la red interna a la que se conectan sus máquinas virtuales.

Peer Networks Peer Networks es la red remota para la VPN, es la red en el otro extremo del túnel. En formato CIDR, ingrese la dirección de subred remota (por ejemplo, 192.168.2.0/24).
Local Endpoint Seleccione la interfaz externa de Edge Gateway. Normalmente la interfaz con nombre WAN.
Local ID Ingrese la dirección IP pública de la interface WAN del extremo local, esta es la dirección IP externa de Edge Gateway.
Peer ID Ingrese la dirección IP del dispositivo remoto que termina el túnel VPN (es la dirección IP del firewall remoto o concentrador VPN). Por lo general, es una dirección IP pública. Si el peer es NAT’d, este debera ser la dirección IP del peer privado (interno).
Peer IP Ingrese la dirección IP pública (externa) del dispositivo remoto con el que está estableciendo la VPN (Es la dirección IP del Firewall o concentrador VPN remoto con el que este túnel se estará comunicando). Por lo general es igual a la ingresada en el campo anterior (Peer ID).
Encryption Protocol Seleccione AES256, AES, 3DES. El protocolo de cifrado refleja lo que está configurado en el dispositivo VPN del sitio remoto.

AES256 es más seguro.

Shared Key Ingrese la shared secret key configurada en cada endpoint VPN. La shared secret key debe ser una cadena alfanumérica de entre 32 y 128 caracteres. Debe incluir al menos una letra mayúscula, una letra minúscula y un número.

Debe tener al menos 32 caracteres de longitud, lo que puede causar problemas con algunos firewalls con capacidad VPN más antiguos.

MTU Configure el MTU apropiado. Por ejemplo: 1436 bytes

3- Hacé click en Aceptar.

Una vez que se han aplicado todos los ajustes necesarios, solo resta confirmar y realizar con configuración en el extremo remoto. Así se establecerá el túnel VPN.

El túnel VPN puede tardar unos pocos minutos para establecer correctamente una conexión segura. Aparecerá una marca de verificación verde en la barra de estado, en la pestaña “Configure Services VPN”.

IMPORTANTE: luego de la creación del túnel IPSEC, deberás crear las reglas en el firewall que permitan el acceso desde la red remota hacia la red LAN del VDC y viceversa, si es requerido.

Ejemplo de VPN IPC en Datacenter Virtual:

 En este ejemplo, tenemos una red local en el VDC (LAN) 192.168.99.0/24 y una red remota 172.16.0.0/16. Se desea que tenga visibilidad entre ambas.

192.168.99.0/24  se seleccionará como red local, y la red 172.16.0.0/16 se utilizará para configurar en el campo Peer Networks.

La interface WAN del datacenter virtual posee la dirección IP pública 69.194.136.1 que se utilizará para completar los campos public IP y local ID.

El extremo remoto posee la dirección IP pública 69.194.14x.x que se utilizará para peer IP y peer ID.

 

 

Información relacionada:

 Si hay un firewall entre los puntos finales del túnel, deberás configurarlo para permitir estos protocolos IP y puertos UDP:

  • IP Protocol ID 50 (ESP)
  • IP Protocol ID 51 (AH)
  • Puerto UDP 500 (IKE)
  • Puerto UDP 4500

 

Con esto finalizamos todo el proceso.

Si tenés dudas o consultas, podés escribirnos a soporte@baehost.com

Hasta la próxima!

 

 

Facebooktwittergoogle_pluslinkedinFacebooktwittergoogle_pluslinkedin

Deja un comentario