Ce tutoriel a pour but de mettre en place une connexion VPN entre votre réseau d'entreprise et un de vos Virtual Private Clouds (VPC) dans le Cloud OUTSCALE.  

Dans ce tutoriel, vous apprenez comment :

Créer les ressources requises 

Avant de commencer : Créez un VPC à connecter à votre réseau d'entreprise. Pour en savoir plus, voir Créer un VPC.


  1. Créez une customer gateway. Pour en savoir plus, voir Créer une customer gateway

  2. Créez une virtual private gateway. Pour en savoir plus, voir Créer une virtual private gateway.

  3. Attachez la virtual private gateway au VPC. Pour en savoir plus, voir Attacher une virtual private gateway

  4. Créez une connexion VPN. Pour en savoir plus, voir Créer une connexion VPN

    Assurez-vous de télécharger le fichier XML renvoyé après la création du VPN. Ce fichier contient un exemple d'informations de configuration utiles au moment de la configuration du tunnel VPN, comme évoqué dans la section Configurer le tunnel VPN ci-dessous.


Configurer les ressources pour autoriser le trafic  

Autoriser l'accès

  1. Dans le pare-feu de votre réseau d'entreprise : 
    • Ouvrez les ports 500 et 4500 avec le protocole UDP
    • Ajoutez une route pointant vers le VPC. 

  2. Dans le VPC, ajoutez des règles aux security groups associés aux instances pour autoriser les flux entrants et sortants vers et depuis votre réseau d'entreprise. Pour en savoir plus, voir Ajouter des règles à un security group

Configurer le routage 

  1. Si vous voulez que les routes soient créées automatiquement, activez la propagation des routes dans le VPC vers la route table. Pour en savoir plus, voir Activer la propagation des routes.

  2. Si vous n'activez pas la propagation des routes, créez une route dans la route table avec
    • Le CIDR de votre réseau d'entreprise comme destination 
    • L'ID de la virtual private gateway comme target
    Pour en savoir plus, voir Créer une route.

  3. (routage statique uniquement) Créez une route associée à la connexion VPN, avec 

    • Le CIDR de votre réseau d'entreprise comme destination
    • L'ID de la virtual private gateway comme target

    Pour en savoir plus, voir Créer une route pour une connexion VPN

    Avec le routage dynamique et le Border Gateway Protocol (BGP), ces routes sont automatiquement créées et actualisées. Pour en savoir plus, voir À propos des configurations de routage des connexions VPN.

Configurer le tunnel VPN

Vous devez configurer le tunnel VPN selon les spécifications suivantes. La procédure exacte dépend de la solution VPN que vous utilisez.

Les protocoles IKEv1 et IKEv2 sont tous deux supportés. Nous recommandons IKEv2.

Pour les propositions de phase 1, les options suivantes sont supportées :

  • Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et PFS 2, 14 ou 16.
  • Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et PFS 2 ou 14.

Pour les propositions de phase 2, les mêmes options sont supportées :

  • Chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et PFS 2, 14 ou 16.
  • Chiffrement 128-bit AES-CBC, avec authentification SHA1 HMAC ou SHA2_256_128 HMAC, et PFS 2 ou 14.

Nous recommandons les options suivantes pour les deux phases : chiffrement 256-bit AES-CBC, avec authentification SHA2_256_128 HMAC, et PFS 2, 14 ou 16.

Le dead peer detection (DPD) doit être activé, avec les réglages suivants :

  • Délai ou intervalle de 30 secondes
  • Expiration (timeout) à 90 secondes / 3 nouvelles tentatives (retries)

Comme le VPN policy-based n'est pas supporté, il faut utiliser une VTI, avec les réglages suivants :

  • Sélecteurs de trafic : 0.0.0.0/0 aux deux extrémités
  • IP : telle que définie aux champs "tunnel inside address" dans le fichier XML fourni par l'API ou Cockpit