Configurer une topologie par route en maillage

Selon le type d'authentification choisi pour sécuriser votre topologie, des actions préalables peuvent être nécessaires avant de créer la topologie.

• Pour des informations sur l'authentification par certificat X509, reportez-vous à la section Configurer une topologie par politique en maillage.
• Pour des informations sur l'authentification par clé pré-partagée (PSK - pre-shared key), reportez-vous à la section Configurer une topologie par politique en étoile.

Pour créer la topologie VPN par route , suivez les étapes suivantes :

1. Dans le menu Configuration > Topologies VPN, cliquez sur Ajouter une topologie VPN en haut de l'écran et choisissez Maillage.
2. Dans la fenêtre qui s'ouvre, choisissez VPN par route et cliquez sur Créer la topologie.
3. Entrez un nom. La description est facultative.
4. A l'étape suivante, choisissez le type d'authentification.
5. Sélectionnez le profil de chiffrement. Le serveur SMC propose des profils pré-configurés. Créez vos profils personnalisés en vous rendant dans le menu Configuration > Profils de chiffrement. Consultez le Manuel d'utilisation et de configuration Stormshield Network pour plus d'informations sur les options des profils de chiffrement.
6. Si vous avez besoin de modifier le plan d'adressage par défaut des interfaces IPsec virtuelles (VTI), dépliez l'encart Configuration avancée. Pour plus d'informations sur le champ Plan d'adressage VTI, reportez-vous à la section Modifier le plan d'adressage VTI.
7. A l'étape suivante, choisissez les correspondants de votre topologie. Vous ne pourrez sélectionner que des firewalls connectés ou déconnectés. Par défaut, pour des performances optimales, vous pouvez sélectionner jusqu'à 50 correspondants. La variable d'environnement FWADMIN_VPN_MESH_ROUTE_BASED_MAX_PEERS permet toutefois de configurer cette limitation. Cette limitation n'est valable que pour les topologies VPN par route en maillage.
8. A l'étape suivante, double-cliquez sur la ligne d'un firewall pour ouvrir la fenêtre Correspondants et VTI :
   • Pour plus d'informations sur les paramètres Adresse de contact et Interface de sortie, reportez-vous aux sections Définir l'adresse de contact des firewalls pour les topologies VPN et Choisir l'interface de sortie des firewalls pour les topologies VPN.
   • Les adresses des interfaces IPsec virtuelles (VTI) seront générées automatiquement à la fin de la procédure de création de la topologie. Des objets VTI de type Machine représentant les correspondants distants seront également automatiquement générés. Vous pourrez les utiliser dans des règles de filtrage pour mettre en œuvre du routage. Ils seront visibles dans votre base d'objets, au format "VTI_on_FW1_with_FW2_in_nomtopologie". Ces objets sont automatiquement déployés sur les firewalls. Pour plus d'informations, reportez-vous à la section Définir la politique de routage du trafic.
9. Cliquez sur Appliquer pour fermer la fenêtre.
10. Cliquez de nouveau sur Appliquer à la fin de l'étape 4/4, pour générer la topologie.
11. SMC propose de télécharger le fichier .csv de configuration des interfaces IPsec. Vous avez besoin de ces informations pour créer maintenant les interfaces sur chaque firewall faisant partie de la topologie. Consultez la section Définir les interfaces IPsec virtuelles (VTI) sur les firewalls SNS pour plus d'informations.
    
12. Déployez la configuration sur les firewalls faisant partie de la topologie. La configuration VPN appartient à la politique globale du firewall.

A ce stade, votre topologie n'est pas encore opérationnelle. Vous devez suivre les étapes suivantes Définir les interfaces IPsec virtuelles (VTI) sur les firewalls SNS et Définir la politique de routage du trafic pour compléter la procédure de mise en œuvre d'une topologie VPN par route.