Créer des topologies VPN par route

Un tunnel VPN par route est un tunnel dont le trafic est routé via des interfaces IPSec virtuelles (VTI - Virtual Tunnel Interface) pour relier des firewalls SN gérés par le serveur SMC, et les réseaux et machines protégés par ces firewalls.

Les firewalls doivent être en version 3.3 minimum.

Ces interfaces IPSec virtuelles jouent le rôle d'extrémités de trafic des tunnels et tous les paquets routés vers ces interfaces sont alors chiffrés. Ce trafic est décrit par des routes dans une table de routage ou par des règles de filtrage (règles PBR - Policy Based Routing).

Les topologies VPN par route présentent entre autres les avantages suivants :

  • Le routage par interfaces IPSec virtuelles est prioritaire sur la correspondance de politique (tunnel IPSec standard).
  • Elles nécessitent moins de tunnels qu'une topologie IPSec standard. Un seul tunnel est nécessaire entre deux firewalls, quel que soit le nombre de réseaux protégés par le firewall.

NOTE
Une topologie par route ne peut pas inclure de correspondants externes, c'est-à-dire des firewalls SN ou tout autre type de passerelle VPN, non gérés par le serveur SMC.


Depuis le serveur SMC, vous pouvez

Sur chaque firewall impliqué dans la topologie, vous devrez ensuite

Créer les topologies VPN par route Créer les interfaces IPSec virtuelles (VTI)
Superviser ces topologies Éventuellement configurer les routes statiques
Définir des règles de filtrage. SMC génère automatiquement des objets VTI représentant les correspondants de la topologie, à utiliser dans ces règles. Éventuellement configurer les routes de retour
Pour plus d'informations, reportez-vous aux sections suivantes.

 

SMC propose deux formes de topologie VPN : maillage ou étoile.

  • Maillage : tous les sites distants sont connectés,
  • Étoile : un site central est connecté à plusieurs sites satellites. Les sites satellites ne communiquent pas entre eux.

Dans le cas du choix d'une authentification par certificat X509, avant de configurer vos topologies, vous devez avoir importé un certificat pour vos firewalls gérés par SMC compris dans vos topologies et déclaré les autorités de certification. Les procédures correspondantes sont décrites à la section Configurer une topologie par politique en maillage.

Dans cette section, nous décrivons la configuration d'une topologie par route en maillage et la configuration d'une topologie par route en étoile. Pour obtenir plus de détails sur chaque menu et option de la configuration des tunnels VPN, consultez le Manuel d'utilisation et de configuration Stormshield Network.

Pour des informations sur la mise en œuvre d'interfaces IPSec virtuelles sur les firewalls, consultez la Note technique dédiée.