Cas n°1 : trafic interne via les tunnels IPSec

Paramétrage du site Hub

Définition des correspondants IPSec

Création du correspondant Site_Spoke_A.

Dans l’onglet Correspondants du menu Configuration > VPN > VPN IPsec, cliquez sur Ajouter et choisissez Nouveau site distant.

L’assistant vous invite alors à sélectionner la passerelle distante. Ici, il s’agit de l’adresse publique de l’IPS-Firewall du site Spoke A (objet Pub_FW_Spoke_A).

Par défaut, le nom du correspondant est créé en préfixant cet objet avec « Site_ »; ce nom est personnalisable. Validez.

Choisissez ensuite la méthode Certificat.

Cliquez sur la loupe du champ Certificat et sélectionnez celui correspondant à l’IPS-Firewall Hub. Le champ Autorité de confiance est automatiquement fourni par le certificat.

Création du correspondant Site_Spoke_B.

De la même manière, créez le correspondant Site_Spoke_B en utilisant les valeurs suivantes :

  • Passerelle distante : l’IPS-Firewall du site Spoke B (objet Pub_FW_Spoke_B),
  • Certificat : le certificat de l’IPS-Firewall Hub.

 

Création des tunnels

Dans l’onglet Politique de chiffrement – Tunnels du menu Configuration > VPN > VPN IPsec, cliquez sur Ajouter et choisissez Tunnel site à site.

Suivez l’assistant pour définir le tunnel destiné au trafic entre sites Spoke A et Spoke B:

  • Dans le champ Réseau local, choisissez Private_Net_Spoke_A,
  • Dans le champ Choix du correspondant, sélectionnez Site_Spoke_B,
  • Dans le champ Réseau distant, choisissez Private_Net_Spoke_B,
  • Cliquez sur Terminer.

 

Procédez à l’identique pour créer les trois autres tunnels:

  • Private_Net_Spoke_B=> Site_Spoke_A => Private_Net_Spoke_A,
  • Private_Net_Hub => Site_Spoke_A => Private_Net_Spoke_A,
  • Private_Net_Hub => Site_Spoke_B=> Private_Net_Spoke_B.

Règles de filtrage

Définissez les règles de filtrage nécessaires au dialogue entre sites Spoke, sites Spoke et Hub ainsi qu’au trafic local vers Internet :

Règle de NAT

Pour permettre l’accès à Internet des machines du réseau Private_Net_Hub, créez la règle de NAT suivante :

Paramétrage des sites satellites Spoke A et Spoke B

Dans une configuration de type Hub and Spoke, un site satellite ne connait qu’un seul correspondant IPSec : l’IPS-Firewall du Hub.

Définition du correspondant IPSec

Site Spoke A

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Définition des correspondants IPSec, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :

  • passerelle distante : l’IPS-Firewall du site Hub (objet Pub_FW_Hub),
  • certificat : le certificat de l’IPS-Firewall Spoke A.

Site Spoke B

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Définition des correspondants IPSec, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :

  • passerelle distante : l’IPS-Firewall du site Hub (objet Pub_FW_Hub),
  • certificat : le certificat de l’IPS-Firewall Spoke B.

Création des tunnels

Site Spoke A

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Création des tunnels, créez les deux tunnels nécessaires :

Site Spoke B

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Création des tunnels, créez les deux tunnels nécessaires :

Règles de filtrage

Dans ce didacticiel, le trafic entre les réseaux privés n’est volontairement pas précisé (port destination : ANY). Pour des raisons d’optimisation de performances (économie de bande passante et de ressources machine), il est important d’affiner le filtrage sur les sites satellites (protocoles, ports… autorisés) afin d’éviter de laisser transiter des paquets inutiles dans les tunnels. Cette politique de filtrage sera également présente sur le site Hub.

Site Spoke A

Définissez les règles de filtrage nécessaires au dialogue entre Spoke A et Spoke B, Spoke A et Hub ainsi qu’au trafic local vers Internet :

Site Spoke B

Définissez les règles de filtrage nécessaires au dialogue entre Spoke B et Spoke A, Spoke B et Hub ainsi qu’au trafic local vers Internet:

Règle de NAT

Site Spoke A

Pour permettre l’accès à Internet des machines du réseau Private_Net_Spoke_A, créez la règle de NAT suivante :

 

Site Spoke B

Pour permettre l’accès à Internet des machines du réseau Private_Net_Spoke_B, créez la règle de NAT suivante :