Citrix ADC

Interopérabilité du connecteur CloudBridge — StrongSwan

StrongSwan est une implémentation IPsec opensource pour les plates-formes Linux. Vous pouvez configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance StrongSwan pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud. L’appliance Citrix ADC et l’appliance StrongSwan forment les points d’extrémité du tunnel CloudBridge Connector et sont appelés homologues.

Exemple de configuration de tunnel CloudBridge Connector

À titre d’illustration du flux de trafic dans un tunnel CloudBridge Connector, considérez un exemple dans lequel un tunnel CloudBridge Connector est configuré entre les périphériques suivants :

  • Appliance Citrix ADC NS_Appliance-1 dans un centre de données désigné comme Datacenter-1
  • Appliance StrongSwan StrongSwan-Appliance-1 dans un centre de données désigné comme Datacenter-2

NS_Appliance-1 et Strongswan-Appliance-1 permettent la communication entre les réseaux privés dans Datacenter-1 et Datacenter-2 via le tunnel CloudBridge Connector. Dans l’exemple, NS_Appliance-1 et Strongswan-Appliance-1 permettent la communication entre le client CL1 dans Datacenter-1 et le serveur S1 dans Datacenter-2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Sur NS_Appliance-1, la configuration du tunnel du Connecteur CloudBridge inclut l’entité de profil IPSec NS_StrongSwan_IPSEC_Profile, l’entité de tunnel du Connecteur CloudBridge NS_StrongSwan_Tunnel et l’entité de routage basé sur des stratégies (PBR) NS_StrongSwan_PBR.

image localisée

Le tableau suivant répertorie les paramètres utilisés dans cet exemple.

Paramètres principaux de la configuration du tunnel CloudBridge Connector

Entité Détails
Adresse IP du point d’extrémité du tunnel CloudBridge Connector (NS_Appliance-1) dans Datacenter-1 198.51.100.100
Adresse IP du point d’extrémité du tunnel CloudBridge Connector (Strongswan-Appliance-1) dans Datacenter-2 203.0.113.200
Centre de données : sous-réseau de 1 dont le trafic doit être protégé sur le tunnel CloudBridge Connector 10.102.147.0/24
Datacenter : sous-réseau de 2 dont le trafic doit être protégé sur le tunnel CloudBridge Connector 10.20.20.0/24

Paramètres sur l’appliance Citrix ADC NS_Appliance-1 dans Datacenter-1

|SNIP1 (à titre de référence uniquement)|198.51.100.100| |–|–|–| |Profil IPSec |NS_STRONGSwan_IPSEC_PROFILE|Version IKE : v1, Algorithme de chiffrement : AES, Algorithme de hachage : HMAC_SHA1 psk = examplepresharedkey (Remarque : Ceci est un exemple de clé pré-partage, à titre d’illustration. Citrix ne recommande pas d’utiliser cette chaîne dans votre configuration CloudBridge Connector)| |Tunnel du Connecteur CloudBridge|NS_StrongSwan_Tunnel|IP distante = 203.0.113.200, IP locale = 198.51.100.100, protocole tunnel = IPSEC, profil IPSec = NS_Strongswan_IPsec_Profile| |Routes basées sur des politiques _strongswan_PBR|Plage IP source = Sous-réseau dans le Datacenter-1=10.102.147.0-10.102.147.255, Plage IP de destination =Sous-réseau dans Datacenter-2=10.20.20.0-10.20.20.255, Tunnel IP = Ns_strongswan_Tunnel|

Points à considérer pour une configuration de tunnel CloudBridge Connector

Avant de commencer à configurer le tunnel de connecteur CloudBridge, assurez-vous que :

  • Vous avez une connaissance de base sur les configurations Linux.
  • Vous avez une connaissance de base sur la suite de protocoles IPSec.
  • L’appliance StrongSwan est opérationnelle et est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • L’appliance Citrix ADC est mise en service et en cours d’exécution, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance StrongSwan.
    • Mode IPsec : mode tunnel
    • Version IKE : Version 1
    • Méthode d’authentification IKE : Clé pré-partagée
    • Algorithme de chiffrement IKE : AES
    • Algorithme de hachage IKE : HMAC SHA1
    • Algorithme de chiffrement ESP : AES
    • Algorithme de hachage ESP : HMAC SHA1
  • Vous devez spécifier les mêmes paramètres IPSec sur l’appliance Citrix ADC et StrongSwan aux deux extrémités du tunnel CloudBridge Connector.
  • Citrix ADC fournit un paramètre commun (dans les profils IPSec) pour spécifier un algorithme de hachage IKE et un algorithme de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithme de chiffrement IKE et un algorithme de chiffrement ESP. Par conséquent, dans l’appliance StrongSwan, vous devez spécifier le même algorithme de hachage et le même algorithme de chiffrement dans les paramètres IKE et ESP du fichier Ipsec.conf.
  • Vous devez configurer le pare-feu à l’extrémité Citrix ADC et StrongSwan pour autoriser ce qui suit.
    • Tous les paquets UDP pour le port 500
    • Tous les paquets UDP pour le port 4500
    • Tous les paquets ESP (numéro de protocole IP 50)

Configurer StrongSwan pour le tunnel CloudBridge Connector

Pour configurer un tunnel de connecteur CloudBridge entre une appliance Citrix ADC et une appliance StrongSwan, effectuez les tâches suivantes sur l’appliance StrongSwan :

  • Spécifiez les informations de connexion IPsec dans le fichier ipsec.conf. Le fichier ipsec.conf définit toutes les informations de contrôle et de configuration pour les connexions IPsec dans l’appliance StrongSwan.
  • Spécifiez une clé pré-partagée dans le fichier ipsec.secrets. Le fichier ipsec.secrets définit les secrets pour l’authentification IKE/IPSec pour les connexions IPsec dans l’appliance StrongsWan.

Les procédures de configuration du VPN IPSec (tunnel CloudBridge Connector) sur une appliance StrongSwan peuvent changer au fil du temps, en fonction du cycle de publication de StrongSwan. Citrix vous recommande de suivre la documentation officielle de StrongSwan pourConfiguration des tunnels VPN IPSec.

L’exemple suivant d’extrait du fichier ipsec.conf spécifie les informations IPsec pour la configuration du tunnel VPN IPSec, décrites dans la rubrique Exemple de configuration du connecteur CloudBridge. Pour plus d’informations, voir le pdf Configuration du connecteur CloudBridge.

L’exemple suivant d’extrait du fichier ipsec.secrets spécifie la clé pré-partagée d’authentification IKE pour la configuration du tunnel VPN IPSec, décrite dans la rubrique Exemple de configuration du connecteur CloudBridge.

/etc/ipsec.secrets

PSK ‘examplepresharedkey’ #pre -clé partagée pour l’authentification IKE IPSec ‘

Configuration de l’appliance Citrix ADC pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance StrongSwan, effectuez les tâches suivantes sur l’appliance Citrix ADC. Vous pouvez utiliser la ligne de commande Citrix ADC ou l’interface utilisateur graphique (GUI) Citrix ADC :

  • Créez un profil IPSec. Une entité de profil IPsec spécifie les paramètres du protocole IPSec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et la méthode d’authentification à utiliser par le protocole IPSec dans le tunnel CloudBridge Connector.
  • Créez un tunnel IP qui utilise le protocole IPSec et associez le profil IPSec à celui-ci. Un tunnel IP spécifie l’adresse IP locale (adresse IP du point de terminaison du tunnel CloudBridge Connector (de type SNIP) configurée sur l’appliance Citrix ADC), l’adresse IP distante (adresse IP du point de terminaison du tunnel CloudBridge Connector configurée sur l’appliance StrongsWan), le protocole (IPsec) utilisé pour configurer CloudBridge Tunnel de connecteur et une entité de profil IPsec. L’entité de tunnel IP créée est également appelée entité de tunnel CloudBridge Connector.
  • Créez une règle PBR et associez-la au tunnel IP. Une entité PBR spécifie un ensemble de règles et une entité tunnel IP (tunnel CloudBridge Connector). La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Définissez la plage d’adresses IP source pour spécifier le sous-réseau côté Citrix ADC dont le trafic doit être protégé sur le tunnel, et définissez la plage d’adresses IP de destination pour spécifier le sous-réseau côté StrongSwan dont le trafic doit être protégé sur le tunnel.

Pour créer un profil IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1
  • show ipsec profile <name>

Pour créer un tunnel IPSEC et lier le profil IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Pour créer un profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > ConnecteurCloudBridge > ProfilIPsec .
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Ajouter un profil IPSec, définissez les paramètres suivants :
    • Name
    • Algorithme de chiffrement
    • Algorithme de hachage
    • Version du protocole IKE
  4. Configurez la méthode d’authentification IPSec à utiliser par les deux homologues de tunnel CloudBridge Connector pour s’authentifier mutuellement : sélectionnez la méthode d’authentification par clé pré-partagée et définissez le paramètre Pre-Shared Key Exists.
  5. Cliquez sur Créer, puis sur Fermer.

Pour créer un tunnel IP et lier le profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Tunnels IP.
  2. Sous l’onglet Tunnels IPv4, cliquez sur Ajouter.
  3. Dans la page Ajouter un tunnel IP, définissez les paramètres suivants :
    • Name
    • IP distante
    • Masque distant
    • Type IP local (dans la liste déroulante Type IP local, sélectionnez IP du sous-réseau).
    • IP locale (Toutes les adresses IP configurées du type IP sélectionné se trouvent dans la liste déroulante IP locale. Sélectionnez l’adresse IP souhaitée dans la liste.)
    • Protocole
    • Profil IPsec
  4. Cliquez sur Créer, puis sur Fermer.

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Réseau > PBR.
  2. Sous l’onglet PBR, cliquez sur Ajouter.
  3. Dans la page Créer PBR, définissez les paramètres suivants :
    • Name
    • Action
    • Type de saut suivant (Select IP Tunnel)
    • Nom du tunnel IP
    • IP source Faible
    • IP source élevée
    • IP de destination faible
    • IP de destination élevée
  4. Cliquez sur Créer, puis sur Fermer.

La nouvelle configuration de tunnel CloudBridge Connector correspondante sur l’appliance Citrix ADC apparaît dans l’interface graphique. L’état actuel du tunnel de connecteur CloudBridge est affiché dans le volet CloudBridge Connector configuré. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté. Les commandes suivantes créent les paramètres de l’appliance Citrix ADC NS_Appliance-1 dans « Exemple de configuration du connecteur CloudBridge :

    > add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1


    Done

    > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_StrongSwan_IPSec_Profile


    Done

    > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_StrongSwan_Tunnel


    Done

    > apply pbrs


    Done

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance Citrix ADC à l’aide des compteurs statistiques de tunnel CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques de tunnel CloudBridge Connector sur une appliance Citrix ADC, reportez-vous à la section Surveillance des tunnels CloudBridge Connector.