ADC

Interopérabilité du CloudBridge Connector — StrongSwan

StrongSwan est une implémentation IPsec open source pour les plateformes Linux. Vous pouvez configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance StrongSwan pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud. L’appliance NetScaler et l’appliance StrongSwan constituent les points de terminaison du tunnel CloudBridge Connector et sont appelées homologues.

Exemple de configuration d’un tunnel CloudBridge Connector

Pour illustrer le flux de trafic dans un tunnel CloudBridge Connector, prenons un exemple dans lequel un tunnel CloudBridge Connector est configuré entre les appareils suivants :

  • Appliance NetScaler NS_Appliance-1 dans un centre de données désigné Datacenter-1
  • Appliance StrongSwan StrongSwan-Appliance-1 dans un centre de données désigné Datacenter-2

NS_Appliance-1 et StrongSwan-Appliance-1 permettent la communication entre les réseaux privés du Datacenter-1 et du Datacenter-2 via le tunnel CloudBridge Connector. Dans l’exemple, NS_Appliance-1 et StrongSwan-Appliance-1 permettent la communication entre le client CL1 dans Datacenter-1 et le serveur S1 dans Datacenter-2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Sur NS_Appliance-1, la configuration du tunnel CloudBridge Connector inclut l’entité de profil IPsec NS_StrongSwan_IPsec_Profile, l’entité de tunnel du CloudBridge Connector NS_StrongSwan_Tunnel et l’entité de routage basé sur des politiques (PBR) NS_StrongSwan_PBR.

Image localisée

Le tableau suivant répertorie les paramètres utilisés dans cet exemple.

Paramètres principaux de la configuration du tunnel CloudBridge Connector

Entité Détails
Adresse IP du point de terminaison du tunnel CloudBridge Connector (NS_Appliance-1) dans Datacenter-1 198.51.100.100
Adresse IP du point de terminaison du tunnel CloudBridge Connector (StrongSwan-Appliance-1) dans Datacenter-2 203.0.113.200
Centre de données : sous-réseau de 1 dont le trafic doit être protégé via le tunnel CloudBridge Connector 10.102.147,0/24
Datacenter : sous-réseau de type 2 dont le trafic doit être protégé via le tunnel CloudBridge Connector 10.20.20.0/24

Paramètres de l’appliance NetScaler NS_Appliance-1 dans Datacenter-1

|SNIP1 (à des fins de référence uniquement)|198.51.100.100| |–|–|–| |Profil IPSe|NS_StrongSwan_IPSEC_Profile|Version IKE : v1, algorithme de chiffrement : AES, algorithme de hachage : HMAC_SHA1 psk = examplepresharedkey (Remarque : il s’agit d’un exemple de clé de pré-partage, à titre d’illustration). NetScaler ne recommande pas d’utiliser cette chaîne dans votre configuration CloudBridge Connector) | |Tunnel CloudBridge Connector | NS_Strongswan_Tunnel|IP distante = 203.0.113.200, IP locale = 198.51.100.100, protocole de tunnel = IPSEC, profil IPsec = NS_Strongswan_IPSEC_profile| |Route basée sur des politiques | NS_Strongswan_PBR|Plage d’adresses IP source = Sous-réseau dans le centre de données 1=10.102.147.0-10.102.147.255, plage d’adresses IP de destination = sous-réseau dans le centre de données 2=10.20.20.0-10.20.20.255, tunnel IP = NS_Strongswan_Tunnel|

Points à considérer pour une configuration de tunnel CloudBridge Connector

Avant de commencer à configurer le tunnel du connecteur CloudBridge, assurez-vous que :

  • Vous avez des connaissances de base sur les configurations Linux.
  • Vous avez des connaissances de base sur la suite de protocoles IPsec.
  • L’appliance StrongSwan est opérationnelle, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • L’appliance NetScaler est opérationnelle, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance StrongSwan.
    • Mode IPsec : mode tunnel
    • Version d’IKE : Version 1
    • Méthode d’authentification IKE : clé pré-partagée
    • Algorithme de chiffrement IKE : AES
    • Algorithme de hachage IKE : HMAC SHA1
    • Algorithme de chiffrement ESP : AES
    • Algorithme de hachage ESP : HMAC SHA1
  • Vous devez spécifier les mêmes paramètres IPsec sur l’appliance NetScaler et sur l’appliance StrongSwan aux deux extrémités du tunnel CloudBridge Connector.
  • NetScaler fournit un paramètre commun (dans les profils IPsec) pour spécifier un algorithme de hachage IKE et un algorithme de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithme de chiffrement IKE et un algorithme de cryptage ESP. Par conséquent, dans l’appliance StrongSwan, vous devez spécifier le même algorithme de hachage et le même algorithme de chiffrement dans les paramètres IKE et ESP du fichier IPsec.conf.
  • Vous devez configurer le pare-feu côté NetScaler et côté StrongSwan pour autoriser ce qui suit.
    • Tous les paquets UDP pour le port 500
    • Tous les paquets UDP pour le port 4500
    • Tous les paquets ESP (numéro de protocole IP 50)

Configurer StrongSwan pour le tunnel CloudBridge Connector

Pour configurer un tunnel de connecteur CloudBridge entre une appliance NetScaler et une appliance StrongSwan, effectuez les tâches suivantes sur l’appliance StrongSwan :

  • Spécifiez les informations de connexion IPsec dans le fichier ipsec.conf. Le fichieripsec.conf définit toutes les informations de contrôle et de configuration pour les connexions IPsec dans l’appliance StrongSwan.
  • Spécifiez la clé pré-partagée dans le fichier ipsec.secrets. Le fichier ipsec.secretsdéfinit les secrets pour l’authentification IKE/IPsec pour les connexions IPsec dans l’appliance StrongSwan.

Les procédures de configuration du VPN IPSec (tunnel CloudBridge Connector) sur une appliance StrongSwan peuvent changer au fil du temps, en fonction du cycle de publication de StrongSwan. Citrix vous recommande de suivre la documentation officielle de StrongSwan sur la configuration des tunnels VPN IPSec.

L’exemple suivant d’extrait du fichier ipsec.conf spécifie les informations IPsec pour la configuration du tunnel VPN IPSec, décrites dans la rubrique Exemple de configuration du connecteur CloudBridge. Pour plus d’informations, consultez la section Configuration du CloudBridge Connector pdf.

L’exemple suivant d’extrait du fichier ipsec.secrets spécifie la clé pré-partagée d’authentification IKE pour la configuration du tunnel VPN IPSec, décrite dans la rubrique Exemple de configuration du connecteur CloudBridge.

/etc/ipsec.secrets

clé partagée PSK ‘exemplepresharedkey’ #pre -pour l’authentification IKE IPsec

Configuration de l’appliance NetScaler pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance StrongSwan, effectuez les tâches suivantes sur l’appliance NetScaler. Vous pouvez utiliser la ligne de commande NetScaler ou l’interface utilisateur graphique (GUI) de NetScaler :

  • Créez un profil IPsec. Une entité de profil IPsec spécifie les paramètres du protocole IPsec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et la méthode d’authentification à utiliser par le protocole IPsec dans le tunnel CloudBridge Connector.
  • Créez un tunnel IP qui utilise le protocole IPsec et associez-y le profil IPsec. Un tunnel IP spécifie l’adresse IP locale (adresse IP du point de terminaison du tunnel CloudBridge Connector (de type SNIP) configurée sur l’appliance NetScaler), l’adresse IP distante (adresse IP du point de terminaison du tunnel CloudBridge Connector configurée sur l’appliance StrongSwan), le protocole (IPsec) utilisé pour configurer le tunnel CloudBridge Connector et une entité de profil IPsec. L’entité de tunnel IP créée est également appelée entité de tunnel CloudBridge Connector.
  • Créez une règle PBR et associez-la au tunnel IP. Une entité PBR spécifie un ensemble de règles et une entité de tunnel IP (tunnel CloudBridge Connector). La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Définissez la plage d’adresses IP source pour spécifier le sous-réseau côté NetScaler dont le trafic doit être protégé via le tunnel, et définissez la plage d’adresses IP de destination pour spécifier le sous-réseau côté StrongSwan dont le trafic doit être protégé via le tunnel.

Pour créer un profil IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commande, tapez :

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1
  • show ipsec profile <name>

Pour créer un tunnel IPSEC et y lier le profil IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commande, tapez :

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commande, tapez :

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Pour créer un profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > ConnecteurCloudBridge>ProfilIPsec.
  2. Dans le volet de détails, cliquez sur Ajouter.
  3. Sur la page Ajouter un profil IPsec, définissez les paramètres suivants :
    • Nom
    • Algorithme de chiffrement
    • Algorithme de hachage
    • Version du protocole IKE
  4. Configurez la méthode d’authentification IPsec à utiliser par les deux homologues du tunnel CloudBridge Connector pour s’authentifier mutuellement : sélectionnez laméthode d’authentification par clé pré-partagée et définissez le paramètre Pre-Shared KeyExists.
  5. Cliquez sur Créer, puis sur Fermer.

Pour créer un tunnel IP et y lier le profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Tunnels IP.
  2. Dans l’onglet Tunnels IPv4, cliquez sur Ajouter.
  3. Sur la page Ajouter un tunnel IP, définissez les paramètres suivants :
    • Nom
    • IP distante
    • Masque à distance
    • Type d’adresse IP locale (Dans la liste déroulante Type d’adresse IP locale, sélectionnez Adresse IP du sous-réseau).
    • IP locale (Toutes les adresses IP configurées du type IP sélectionné figurent dans la liste déroulante IP locale. Sélectionnez l’adresse IP souhaitée dans la liste.)
    • Protocole
    • Profil IPSec
  4. Cliquez sur Créer, puis sur Fermer.

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Réseau > PBR.
  2. Dans l’onglet PBR, cliquez sur Ajouter.
  3. Dans la page Créer un PBR, définissez les paramètres suivants :
    • Nom
    • Action
    • Type de saut suivant (sélectionnez le tunnel IP)
    • Nom du tunnel IP
    • IP de la source : faible
    • IP de la source : élevée
    • IP de destination faible
    • IP de destination : élevée
  4. Cliquez sur Créer, puis sur Fermer.

La nouvelle configuration du tunnel CloudBridge Connector correspondante sur l’appliance NetScaler apparaît dans l’interface graphique. L’état actuel du tunnel du connecteur CloudBridge est affiché dans le volet Configuré du CloudBridge Connector. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté. Les commandes suivantes créent les paramètres de l’appliance NetScaler NS_Appliance-1 dans « Exemple de configuration d’un CloudBridge Connector » :

    > add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1


    Done

    > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_StrongSwan_IPSec_Profile


    Done

    > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_StrongSwan_Tunnel


    Done

    > apply pbrs


    Done
<!--NeedCopy-->

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance NetScaler à l’aide des compteurs statistiques des tunnels CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques des tunnels CloudBridge Connector sur une appliance NetScaler, consultez la section Surveillance des tunnels CloudBridgeConnector.

Interopérabilité du CloudBridge Connector — StrongSwan