Cas n°2 : trafic total via les tunnels IPSec

Paramétrage du site central Hub

Définition des correspondants IPSec

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Définition des correspondants IPSec du Cas n°1, créez les deux correspondants Site_Spoke_A et Site_Spoke_B.

Pour définir Site_Spoke_A, utilisez les valeurs suivantes :

  • passerelle distante : l’IPS-Firewall du site Spoke A (objet Pub_FW_Spoke_A),
  • certificat : le certificat de l’IPS-Firewall Hub.

Pour définir Site_Spoke_B :

  • passerelle distante : l’IPS-Firewall du site Spoke B (objet Pub_FW_Spoke_B),
  • certificat : le certificat de l’IPS-Firewall Hub.

Création des tunnels

Suivez la méthode décrite dans le paragraphe Paramétrage du site Hub > Création des tunnels du Cas n°1 pour définir les VPN suivants:

Règles de filtrage

Définissez les règles de filtrage nécessaires au dialogue entre sites Spoke, sites Spoke et Hub ainsi qu’au trafic local vers Internet :

Règle de NAT

Pour permettre l’accès à Internet de l’ensemble des machines des réseaux privés, créez la règle de NAT suivante :

 

Les sources ont été indiquées de manière unitaire dans cette règle, mais il est bien évident que l’emploi de groupes devient indispensable lorsque le nombre de sites satellites augmente.

Paramétrage des sites satellites Spoke A et Spoke B

Définition du correspondant IPSec

Site Spoke A

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Définition des correspondants IPSec du Cas N°1, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :

  • passerelle distante : l’IPS-Firewall du site Hub (objet Pub_FW_Hub),
  • certificat : le certificat de l’IPS-Firewall Spoke A.

Site Spoke B

En suivant la méthode décrite au paragraphe Paramétrage du site Hub > Définition des correspondants IPSec du Cas N°1, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :

  • passerelle distante : l’IPS-Firewall du site Hub (objet Pub_FW_Hub),
  • certificat : le certificat de l’IPS-Firewall Spoke B.

Création des tunnels

Site Spoke A

Suivez la méthode décrite dans le paragraphe Paramétrage du site Hub > Création des tunnels du Cas n°1 pour définir le VPN suivant:

Site Spoke B

Suivez la méthode décrite dans le paragraphe Paramétrage du site Hub > Création des tunnels du Cas n°1 pour définir le VPN suivant:

Règles de filtrage

Dans ce didacticiel, le trafic entre les réseaux privés n’est volontairement pas précisé (port destination : ANY). Pour des raisons d’optimisation de performances (économie de bande passante et de ressources machine), il est important d’affiner le filtrage sur les sites satellites (protocoles, ports… autorisés) afin d’éviter de laisser transiter des paquets inutiles dans les tunnels. Cette politique de filtrage sera également présente sur le site Hub.

Site Spoke A

Définissez les règles de filtrage nécessaires au dialogue entre Spoke A et Spoke B, Spoke A et Hub ainsi qu’au trafic vers Internet (centralisé sur Hub):

 

Site Spoke B

Définissez les règles de filtrage nécessaires au dialogue entre Spoke B et Spoke A, Spoke B et Hub ainsi qu’au trafic vers Internet (centralisé sur Hub):