Configurer une topologie par route en maillage
Selon le type d'authentification choisi pour sécuriser votre topologie, des actions préalables peuvent être nécessaires avant de créer la topologie.
- Pour des informations sur l'authentification par certificat X509, reportez-vous à la section Configurer une topologie par politique en maillage.
- Pour des informations sur l'authentification par clé pré-partagée (PSK - pre-shared key), reportez-vous à la section Configurer une topologie par politique en étoile.
Pour créer la topologie VPN par route , suivez les étapes suivantes :
- Dans le menu Configuration > Topologies VPN, cliquez sur Ajouter une topologie VPN en haut de l'écran et choisissez Maillage.
- Dans la fenêtre qui s'ouvre, choisissez VPN par route et cliquez sur Créer la topologie.
- Entrez un nom. La description est facultative.
- A l'étape suivante, choisissez le type d'authentification.
- Sélectionnez le profil de chiffrement. Le serveur SMC propose des profils pré-configurés. Créez vos profils personnalisés en vous rendant dans le menu Configuration > Profils de chiffrement. Consultez le Manuel Utilisateur SNS pour plus d'informations sur les options des profils de chiffrement.
- Si vous avez besoin de modifier le plan d'adressage par défaut des interfaces IPsec virtuelles (VTI), dépliez l'encart Configuration avancée. Pour plus d'informations sur le champ Plan d'adressage VTI, reportez-vous à la section Modifier le plan d'adressage VTI.
- A l'étape suivante, choisissez les correspondants de votre topologie. Vous pouvez sélectionner des firewalls connectés ou déconnectés. Vous pouvez également sélectionner des firewalls jamais connectés à condition d'avoir défini une adresse IP de contact par défaut personnalisée ou dynamique dans l'onglet Système > VPN IPsec des paramètres du firewall.
Par défaut, pour des performances optimales, vous pouvez sélectionner jusqu'à 50 correspondants. La variable d'environnement SMC_VPN_MESH_ROUTE_BASED_MAX_PEERS_INT permet toutefois de configurer cette limitation. Cette limitation n'est valable que pour les topologies VPN par route en maillage.
Vous devez posséder le droit d'accès en écriture sur les firewalls que vous souhaitez sélectionner en tant que correspondants. Pour plus d'informations, reportez-vous à la section Restreindre les droits d'accès des administrateurs de dossiers. - A l'étape suivante, double-cliquez sur la ligne d'un firewall pour ouvrir la fenêtre Correspondants et VTI :
- Pour plus d'informations sur les paramètres Adresse de contact et Adresse locale, reportez-vous aux sections Définir l'adresse de contact des firewalls pour les topologies VPN et Choisir l'interface de sortie des firewalls pour les topologies VPN.
- Les adresses des interfaces IPsec virtuelles (VTI) seront générées automatiquement à la fin de la procédure de création de la topologie. Des objets VTI de type Machine représentant les correspondants distants seront également automatiquement générés. Vous pourrez les utiliser dans des routes ou règles de filtrage pour mettre en œuvre du routage. Ils seront visibles dans votre base d'objets, au format "VTI_on_FW1_with_FW2_in_nomtopologie". Ces objets sont automatiquement déployés sur les firewalls. Pour plus d'informations, reportez-vous à la section Définir la politique de routage du trafic.
- Cliquez sur Appliquer pour fermer la fenêtre.
- Cliquez de nouveau sur Appliquer à la fin de l'étape 4/4, pour générer la topologie.
- Si la topologie comprend des firewalls dont la configuration du réseau n'est pas gérée par SMC, SMC propose de télécharger le fichier .csv de configuration des interfaces IPsec. Vous devez créer manuellement les interfaces IPsec sur ces firewalls. Consultez la section Définir les interfaces IPsec virtuelles (VTI) sur les firewalls SNS pour plus d'informations. Pour les firewalls dont la configuration du réseau est gérée par SMC, les interfaces IPsec sont automatiquement créées par SMC. Consultez la section Configurer les interfaces IPsec (VTI). Le fichier .csv indique si les interfaces sont automatiquement créées par SMC dans la colonne "created_by_smc".
- Déployez la configuration sur les firewalls faisant partie de la topologie. La configuration VPN appartient à la politique globale du firewall.
A ce stade, votre topologie n'est pas encore opérationnelle. Vous devez suivre les étapes suivantes Définir les interfaces IPsec virtuelles (VTI) sur les firewalls SNS si la topologie comprend des firewalls dont la configuration du réseau n'est pas gérée par SMC et Définir la politique de routage du trafic pour compléter la procédure de mise en œuvre d'une topologie VPN par route.