COMPUTING > Serveur Cloud > Concevoir un datacenter > Créer un réseau privé entre plusieurs Serveurs Cloud dans différents data centers

16.2 Créer un réseau privé entre plusieurs Serveurs Cloud dans différents data centers

Ce guide explique comment créer un réseau privé qui connecte deux ou plusieurs serveurs Cloud dans deux Data Centers différents, créant un tunnel VPN entre deux routeurs/firewall, un dans chaque Data Center. Nous utiliserons un serveur Cloud basé sur pfSense, un des modèles disponibles dans Aruba Cloud, en tant que routeur/firewall.

Le schéma de la structure du réseau que nous obtiendrons à la fin de ce guide:

A la fin, "server1" situé dans "Data Center 1" sera connecté à "server2" dans "Data Center 2", l'échange de données se fera via un canal sécurisé, et les deux serveurs pourront communiquer en utilisant l'adresse IP privée que nous attribuerons à chaque serveur.
En particulier, les données qui transitent de "server1" à "server2" sont cryptées par "pfsense1" et décryptées par "pfsense2", de cette façon, même si les données transitent par un réseau non sécurisé (Internet), personne ne pourra les décrypter.
De plus, bien que le chemin de données via Internet puisse être complexe entre "Data Center 1" et "Data Center 2", "server1" et "server2" pourront communiquer séparés par seulement 2 "hop" ("pfsense1" et "pfsense2").

Ce guide présente des pré-requis et est divisé en 4 parties :

la première partie étant ce guide, qui montre comment établir le tunnel protégé
une partie qui décrit les étapes nécessaires si vous souhaitez vous connecter aux serveurs Windows ("server1" et/ou "server2" ont le système d'exploitation Windows)
une partie qui décrit les étapes nécessaires si vous souhaitez vous connecter aux serveurs Linux ("server1" et/ou "server2" ont le système d'exploitation Linux)
un addendum pour ceux qui ont besoin de connecter 3 ou plusieurs serveurs Cloud divisé en 3 ou plusieurs Data Centers différents, en utilisant plusieurs connexions point-à-point entre les différents Data Centers (une sorte de réseau MESH)

Voici les pré-requis :

disposer deux serveurs Cloud dans deux Data Centers différents pour les connecter entre eux, que nous indiquerons dans ce guide "server1" et "server2"
avoir créé deux switches virtuels, un dans chaque Data Center "virtual switch 1" et "virtual switch 2"
avoir créé deux serveurs Cloud basés sur pfSense, ci-dessous indiqués comme "pfsense1" et "pfsense2"
avoir relié "server1" et "pfsense1" via "virtual switch 1"
avoir relié "server2" et "pfsense2" via "virtual switch 2"

Dans le détail, les étapes (et les guides pertinents) nécessaires pour compléter les pré-requis ci-dessus sont :

Dans le Data Center 1:
- créer un serveur Cloud pfSense "pfsense1"
- créer un virtual switch "virtual switch 1"
- connecter la deuxième carte réseau de "pfsense1" à "virtual switch 1"
- connecter la deuxième carte réseau de "Server1" à "virtual switch 1"
Dans le Data Center 2:
- créer un serveur Cloud pfSense "pfsense2"
- créer un virtual switch "virtual switch 2"
- connecter la deuxième carte réseau "pfsense2" à "virtual switch 2"
- connecter la deuxième carte réseau "Server 2" à "virtual switch 2"

Configuration du routeur pfSense / Firewall

1 - Configuration des 2 Router/Firewall pfSense
1. 1.1 Pour compléter les étapes qui suivent, vous devez connaitre les adresses IP publiques des 2 serveurs Cloud pfSense ("pfsense1" et "pfsense2"), attribuées lors de la création.
  pfSense peut être configuré via l'interface Web, en le connectant à l'interface d'administration Web avec votre navigateur.
  Par exemple, si l'adresse IP "95.110.156.254" a été attribuée au serveur Cloud pfSense au moment de la création, vous pouvez :
  1. 1.1.1 ouvrir votre navigateur en vous connectant à l'adresse https://95.110.156.254
  2. 1.1.2 les données d'authentification vous seront demandées : saisissez "admin" dans le champ "Username" et le mot de passe que vous avez choisi lors de la création du serveur Cloud comme mot de passe.
2 - Configuration de "pfsense1"
1. 2.1 Attribuez une adresse IP à la deuxième carte réseau de "pfsense1" (dans notre exemple nous utiliserons l'adresse IP privée 10.0.1.1)
  1. 2.1.1 depuis le menu du haut, choisissez "Interfaces", puis "LAN"
  2. 2.1.2 dans cette page, il suffit de modifier le champ IP Address dans "Static IP configuration" en entrant la valeur "10.0.1.1", puis de sélectionner "/24" dans le menu déroulant qui se trouve à côté, et enfin cliquer sur "Save" en bas de page
3 - Configurer pfSense comme serveur OpenVPN
1. 3.1 dans l'interface d'administration Web de pfSense dans le menu du haut choisissez "VPN" puis "OpenVPN"
2. 3.2 dans l'onglet "Server" cliquez sur le "+" en bas à droite, comme indiqué dans l'image ci-dessous :
3. 3.3 dans cette page, par rapport aux paramètres par défaut, ne modifiez que les valeurs :
  1. 3.3.1 Server Mode: sélectionnez "Peer to Peer (Shared Key)"
  2. 3.3.2 Tunnel Network: entrez "10.0.8.0/24"
  3. 3.3.3 Local Network: entrez "10.0.1.0/24"
  4. 3.3.4 Remote Network: entrez "10.0.2.0/24"
4. 3.4 les autres valeurs peuvent être laissées vides ou avec les paramètres par défaut
5. 3.5 à la fin de ces opérations la page doit être la même que l'image suivante :
6. 3.6 cliquez sur "Save" en bas de page
7. 3.7 il faut maintenant copier la "Shared Key" qui a été générée automatiquement lors de l'étape précédente : cliquez sur le symbole "e" (edit) en bas à droite, pour revenir à la page d'édition de connexion OpenVPN précédemment créée, comme dans l'image ci-dessous :
8. 3.8 Allez dans le champ de texte "Shared Key", sélectionnez tout le contenu, puis faites un clic droit et sélectionnez "Copier" dans le menu contextuel, comme dans l'image:
9. 3.9 Enregistrez le texte copié dans un fichier. Ce texte représente la clé d'authentification que nous allons insérer lors de la configuration d'OpenVPN dans "pfsense2" pour qu'il s'authentifie lors de la connexion à "pfsense1".
4 - Configurer le firewall
1. 4.1 Configurer le firewall pour l'interface WAN
  1. 4.1.1 Dans l'interface d'administration web de pfSense depuis le menu du haut choisissez "Firewall", puis "Rules"
  2. 4.1.2 dans l'onglet "WAN" cliquez sur le symbole "+" en bas à droite, comme dans l'image ci-dessous:
  3. 4.1.3 dans cette page, par rapport aux paramètres par défaut, ne modifiez que les valeurs :
    1. 4.1.3.1 Protocol: sélectionnez "UDP"
    2. 4.1.3.2 Destination port range: entrez dans les champs "from:" et "to:" la valeur "1194"
  4. 4.1.4 à la fin de ces opérations la page doit être la même que l'image suivante :
  5. 4.1.5 cliquez sur "Save" en bas de page
2. 4.2 Configurer le firewall pour l'interface "OpenVPN"
  1. 4.2.1 Dans l'interface d'administration web de pfSense depuis le menu du haut choisissez "Firewall", puis "Rules"
  2. 4.2.2 cliquez sur l'onglet OpenVPN puis cliquez sur le symbole "+" en bas à droite, comme dans l'image ci-dessous:
  3. 4.2.3 dans cette page, par rapport aux paramètres par défaut, ne modifiez que la valeur:
    1. 4.2.3.1 Protocol: sélectionnez "any"
  4. 4.2.4 à la fin de ces opérations la page doit être la même que l'image suivante :
  5. 4.2.5 cliquez sur "Save" en bas de page
3. 4.3 Appliquer les changements aux règles firewall
  1. 4.3.1 Une fois l'étape précédente terminée, nous nous retrouvons dans une page contenant la liste des règles de firewall, cliquez sur "Apply changes" en haut à droite.
  2. 4.3.2 la configuration du firewall dans pfSense est terminée.
5 - Configuration de "pfsense2"
1. 5.1 Connectez-vous à l'interface web d'administration "pfsense" en suivant les instructions de l'étape 1
6 - Attribuez une adresse IP à la deuxième carte réseau de "pfsense2" (dans notre exemple nous utiliserons l'adresse IP privée 10.0.2.1)
1. 6.1 dans le menu du haut, choisissez "Interfaces" puis "LAN"
2. 6.2 dans cette page il suffit de modifier le champ IP Address dans "Static IP configuration" et d'entrer la valeur "10.0.2.1", puis de sélectionner "/24" dans le menu sur le côté, et à la fin cliquer sur "Save" en bas de page
7 - Configurer pfSense comme client OpenVPN
1. 7.1 dans l'interface d'administration web de pfSense dans le menu du haut choisissez "VPN", puis "OpenVPN"
2. 7.2 cliquez sur l'onglet "Client" puis cliquez sur le symbole "+" en bas à droite, comme dans l'image ci-dessous:
  1. 7.2.1 Server Mode: sélectionnez "Peer to Peer (Shared Key)"
  2. 7.2.2 Server host or address: entrez l'adresse IP publique de "pfsense1"
  3. 7.2.3 Shared Key: décochez "Automatically generate a shared key", puis collez dans la zone de texte la Shared Key de "pfsense1" que nous avons enregistrée lors de la configuration de "pfsense1" (étapes 3.8 et 3.9)
  4. 7.2.4 Tunnel Network: entrez "10.0.8.0/24"
  5. 7.2.5 Remote Network: entrez "10.0.1.0/24"
3. 7.3 les autres valeurs peuvent être laissées vides ou avec les paramètres par défaut
4. 7.4 à la fin de ces opérations la page doit être identique à l'image suivante (sauf pour le champ "Server host or address"):
5. 7.5 cliquez sur "Save" en bas de page
8 - Configurer le firewall
1. 8.1 Répétez tous les passages de l'étape 4 ci-dessus (4.1, 4.2, 4.3), cette fois dans le serveur Cloud "pfsense2"
9 - Configurer le firewall
1. 9.1 Vérifier la connexion entre "pfsense1" et "pfsense2"
2. 9.2 dans l'interface d'administration web de pfSense depuis le menu du haut choisissez "Status", puis "OpenVPN"
3. 9.3 dans "pfsense1" (OpenVPN server) le "Status" doit être "up", et la page doit être identique à celle-ci:
4. 9.4 dans "pfsense2" (OpenVPN client) le "Status" doit être "up", et la page doit être identique à celle-ci:
5. 9.5 Si la connexion est établie, nous pouvons passer à la configuration des serveurs qui font partie du réseau virtuel, "server1" et "server2", sinon il est nécessaire de revérifier toutes les étapes précédentes à partir de l'étape 2.