Configurer une topologie par politique en étoile

Exemple de cas d'usage :

Une société dont le siège social est à Paris possède deux succursales à Bordeaux et Madrid. Le sous-réseau Comptabilité du siège social doit échanger des informations avec les sous-réseaux Comptabilité des succursales. Les trois sites de la société sont protégés par des firewalls SNS gérés par le serveur SMC.

La société vient d'acquérir une nouvelle entité qui possède également un service Comptabilité et dont le réseau est protégé par un firewall d'un autre fabricant.

L'administrateur doit connaître l'adressage de ce firewall, qui sera déclaré en tant que correspondant externe et l'adressage du sous-réseau.

Le type d'authentification choisi est la clé pré-partagée (PSK - pre-shared key).

Topologie en étoile

Pour configurer les tunnels VPN entre les quatre sites, suivez les étapes suivantes.

  1. Rendez-vous dans le menu de gauche Objets.
  2. Créez autant d'objets que d'extrémités de trafic ou de machines qui seront compris dans votre topologie VPN, soit quatre objets Réseau dans notre exemple.
  3. Votre topologie comprend un correspondant externe. Créez un objet Machine pour ce firewall.

Les objets associés peuvent être de type Réseau, Machine ou Groupe.

IMPORTANT
L'utilisation de groupes contenant des objets variables dans les topologies VPN n'est pas possible. La configuration des tunnels VPN serait invalide.

Vous disposez maintenant de tous les éléments nécessaires à la configuration de votre topologie VPN.

  1. Dans le menu Configuration > Topologies VPN, cliquez sur Ajouter une topologie VPN en haut de l'écran et choisissez Étoile.
    Bouton Ajouter une topologie VPN
  2. Dans la fenêtre qui s'ouvre, choisissez VPN par politique et cliquez sur Créer la topologie.
  3. Entrez un nom. La description est facultative.
  4. Choisissez l'authentification par clé pré-partagée.
  5. Générez une clé aléatoire.
  6. Le profil de chiffrement le plus fort est sélectionné par défaut. Le serveur SMC propose des profils pré-configurés. Créez des profils personnalisés en vous rendant dans le menu Configuration > Profils de chiffrement. Consultez le Manuel Utilisateur SNS pour plus d'informations sur les options des profils de chiffrement.
  7. Choisissez le centre de votre topologie. Il présente alors une icône "étoile" dans la liste des firewalls en-dessous, et le firewall s'affiche en gras.
  8. Le cas échéant, cochez l'option Ne pas initier les tunnels (Responder-only) si l'adresse IP du centre de la topologie est dynamique. Seuls les correspondants pourront alors initier la montée du tunnel VPN.
  9. Choisissez les correspondants de votre topologie. Vous pouvez sélectionner des firewalls connectés ou déconnectés. Vous pouvez également sélectionner des firewalls jamais connectés à condition d'avoir défini une adresse IP de contact par défaut personnalisée ou dynamique dans l'onglet Système > VPN IPsec des paramètres du firewall.
    Vous devez posséder le droit d'accès en écriture sur les firewalls que vous souhaitez sélectionner en tant que correspondants. Pour plus d'informations, reportez-vous à la section Restreindre les droits d'accès des administrateurs de dossiers.
  10. Choisissez les extrémités de trafic associées à chacun de vos correspondants. Pour plus d'informations sur les paramètres Adresse de contact et Adresse locale, reportez-vous aux sections Définir l'adresse de contact des firewalls pour les topologies VPN et Choisir l'interface de sortie des firewalls pour les topologies VPN.
  11. Cliquez sur Appliquer.
  12. Déployez la configuration sur les firewalls impliqués dans la topologie. La configuration VPN appartient à la politique globale du firewall.