Référence pour la configuration des VPN

Lorque vous mettez en place une connexion VPN entre votre réseau d’entreprise et le Cloud OUTSCALE, vous devez configurer le tunnel VPN selon les spécifications suivantes.

La procédure exacte dépend de la solution VPN que vous utilisez.

  • Le support pour le protocole IKEv1 est End of Life. Nous recommandons fortement IKEv2.

  • Un VPN IKEv1 échoue s’il y a plus d’une connexion VPN sur la même virtual gateway.

Pour les propositions de phase 1, les options suivantes sont supportées :

  • Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et groupe DH 2, 14, 16, 19 ou 21.

  • Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et groupe DH 2 ou 14.

Pour les propositions de phase 2, les options suivantes sont supportées :

  • Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et PFS 2, 14, 16, 19 ou 21.

  • Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et PFS 2 ou 14.

Vous devez spécifier les valeurs suivantes pour la durée de vie de chaque phase :

  • 28800 secondes (8 heures) pour la phase 1.

  • 3600 secondes (1 heure) pour la phase 2.

Nous recommandons les options suivantes pour les deux phases : chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et DH groupe 16, 19 ou 21.

Le dead peer detection (DPD) doit être activé, avec les réglages suivants :

  • Délai ou intervalle de 30 secondes.

  • Expiration (timeout) à 90 secondes / 3 nouvelles tentatives (retries).

Comme le VPN policy-based n’est pas supporté, il faut utiliser une VTI, avec les réglages suivants :

  • Sélecteurs de trafic : 0.0.0.0/0 aux deux extrémités.

  • IP : telle que définie aux champs "tunnel inside address" dans le fichier XML fourni par l’API ou Cockpit.

L’ID local doit être l’IP de la client gateway et l’ID distant doit être l’IP publique de la virtual gateway.

Pages connexes