Créer des topologies VPN par route

Un tunnel VPN par route est un tunnel dont le trafic est routé via des interfaces IPsec virtuelles (VTI - Virtual Tunnel Interface) pour relier des firewalls SNS gérés par le serveur SMC, et les réseaux et machines protégés par ces firewalls.

Ces interfaces IPsec virtuelles jouent le rôle d'extrémités de trafic des tunnels et tous les paquets routés vers ces interfaces sont alors chiffrés. Ce trafic est décrit par des routes dans une table de routage ou par des règles de filtrage (règles PBR - Policy Based Routing).

Les topologies VPN par route présentent entre autres les avantages suivants :

  • Le routage par interfaces IPsec virtuelles est prioritaire sur la correspondance de politique (tunnel IPsec standard).
  • Elles nécessitent moins de tunnels qu'une topologie IPsec standard. Un seul tunnel est nécessaire entre deux firewalls, quel que soit le nombre de réseaux protégés par le firewall.

NOTE
Une topologie par route ne peut pas inclure de correspondants externes, c'est-à-dire des firewalls SNS ou tout autre type de passerelle VPN, non gérés par le serveur SMC.

Depuis le serveur SMC, vous pouvez :

  • Créer les topologies VPN par route,

  • Superviser ces topologies,

  • Définir des règles de filtrage. SMC génère automatiquement des objets VTI représentant les correspondants de la topologie, à utiliser dans ces règles,

  • Éventuellement configurer les routes statiques et les routes de retour et/ou activer le routage dynamique.

Les interfaces IPsec virtuelles (VTI) sont automatiquement créées sur les firewalls dont SMC gère la configuration du réseau. Elles sont listées dans l'onglet Interfaces IPsec (VTI) des paramètres d'un firewall. Pour plus d'informations, reportez-vous à la section Configurer les interfaces IPsec (VTI).

Si la topologie comprend des firewalls dont la configuration du réseau n'est pas gérée par SMC, vous devez créer manuellement les interfaces IPsec virtuelles sur chaque firewall. La colonne Réseau géré par SMC dans l'étape de choix des correspondants d'une topologie indique si la configuration du réseau du firewall est gérée par SMC ou non.

Pour plus d'informations, reportez-vous aux sections suivantes.

NOTE
La modification d'une topologie VPN par route peut engendrer des modifications sur les interfaces IPsec virtuelles associées. Pour plus d'informations, reportez-vous à la section Configurer les interfaces IPsec (VTI).

SMC propose deux formes de topologie VPN : maillage ou étoile.

  • Maillage : tous les sites distants sont connectés,
  • Étoile : un site central est connecté à plusieurs sites satellites. Les sites satellites ne communiquent pas entre eux.

Dans le cas du choix d'une authentification par certificat X509, avant de configurer vos topologies, vous devez avoir importé un certificat pour vos firewalls gérés par SMC compris dans vos topologies et déclaré les autorités de certification. Les procédures correspondantes sont décrites à la section Configurer une topologie par politique en maillage.

Dans cette section, nous décrivons la configuration d'une topologie par route en maillage et la configuration d'une topologie par route en étoile. Pour obtenir plus de détails sur chaque menu et option de la configuration des tunnels VPN, consultez le Manuel d'utilisation et de configuration Stormshield Network.

Pour des informations sur la mise en œuvre d'interfaces IPsec virtuelles sur les firewalls, consultez la Note technique dédiée.

NOTE
Les commentaires des interfaces IPsec créées par SMC sont générés à partir des noms de la topologie et des correspondants. S'ils dépassent 127 caractères, ils sont tronqués. Il en est de même avec les commentaires des objets VTI de type Machine, s'ils dépassent 255 caractères.