Configurer les interfaces IPsec (VTI)
Le serveur SMC affiche automatiquement les interfaces IPsec de votre firewall dans l'onglet Interfaces > Interfaces IPsec (VTI) des paramètres du firewall. Vous pouvez ainsi les configurer de manière centralisée. Le firewall doit être en version 4.2.3 minimum.
Les interfaces IPsec des firewalls peuvent être utilisées dans les topologies VPN par route et dans la configuration de routes et de règles de filtrage PBR (Policy Based Routing).
Pour plus d'informations sur les interfaces IPsec, reportez-vous à la section Créer ou modifier une interface IPsec (VTI) du Manuel d'utilisation et de configuration Stormshield Network et à la Note technique Interfaces virtuelles IPsec.
Les interfaces IPsec affichées dans SMC proviennent de trois sources différentes et les comportements peuvent varier selon que la configuration du réseau du firewall est gérée par SMC ou non :
| Le firewall fait partie d'une topologie VPN par route |
SMC crée automatiquement les interfaces IPsec associées si la configuration du réseau du firewall est gérée par SMC. Elles sont classées par topologies VPN dans la grille. Vous ne pouvez pas les modifier, ni les supprimer. Le bouton Voir la configuration VPN permet de vous rendre sur le panneau de configuration de la topologie VPN concernée. |
| Les interfaces IPsec ont été créées sur le firewall |
SMC les récupère automatiquement lors de la migration de la version 3.3 vers la version 3.4 de SMC, même si la configuration du réseau du firewall n'est pas gérée par SMC. Si la configuration du réseau du firewall est gérée par SMC, vous pouvez forcer la récupération des interfaces à tout moment comme expliqué à la section Configurer les interfaces réseau. Si elles sont utilisées dans une topologie VPN par route créée depuis SMC, elles sont bien associées à la topologie en question dans la grille de l'onglet Interfaces IPsec (VTI). Si la configuration du réseau est gérée par SMC à partir de la version 3.4, nous vous recommandons de ne plus créer directement d'interface IPsec sur les firewalls, elles seraient écrasées au prochain déploiement de configuration. |
| Les interfaces IPsec ont été créées manuellement depuis SMC |
Cela est possible seulement si le réseau du firewall est géré par SMC, à partir de la version 3.4. |
Vous pouvez modifier ou supprimer une interface IPsec seulement pour les firewalls dont SMC gère la configuration du réseau, et si elle ne fait pas partie d'une topologie VPN par route.
Concernant les interfaces IPsec utilisées dans des topologies VPN par route, certaines modifications effectuées dans une topologie peuvent avoir un impact sur la configuration des interfaces IPsec. Dans ce cas, l'impact est automatiquement répercuté sur les interfaces IPsec des firewalls dont SMC gère la configuration du réseau.
Dans le cas des firewalls dont SMC ne gère pas la configuration du réseau, les modifications effectuées dans une topologie ont les conséquences suivantes :
-
Si vous supprimez une topologie, les interfaces IPsec associées ne sont pas supprimées automatiquement ,
-
Si vous modifiez le nom d'une topologie ou d'un correspondant, le commentaire associé à l'interface IPsec et affiché dans l'onglet Interfaces IPsec (VTI) n'est pas mis à jour automatiquement,
-
Si vous modifiez le plan d'adressage VTI de la topologie, les adresses IP des interfaces IPsec sont modifiées et vous devez répercuter la modification manuellement sur les firewalls SNS.