VPN IPSec : Configuration Hub and Spoke

Architectures présentées

La méthode d’authentification choisie dans ce didacticiel est basée sur les certificats.

Pour le détail des opérations concernant la PKI, référez-vous au didacticiel « Mise en œuvre VPN IPSec - authentification par certificats ».

Dans la suite de ce document, le site central sera dénommé « Hub », les deux sites satellites étant représentés par « Spoke A » et « Spoke B ». Il est bien entendu que ce type d’architecture ne se limite pas à deux sites satellites.

Veuillez noter que dans la configuration présentée ici, les deux site satellites possèdent chacun un seul réseau local.

Cas n° 1 : trafic interne via les tunnels IPSec

Seul le trafic interne entre les trois sites (Hub, Spoke A et Spoke B) passe au travers de tunnels via le Hub. Les flux Internet sont gérés localement sur chaque site.

Cette infrastructure peut parfois être préférée à celle présentée dans le cas n°2 pour des raisons économiques notamment: un accès internet centralisé sur le site Hub peut nécessiter un très gros débit et donc s’avérer plus onéreux qu’un ensemble d’accès Internet de capacité plus réduite.

Cas n°2 : trafic total via les tunnels IPSec

L’ensemble du trafic passe par le site Hub au travers de tunnels. L’accès Internet est centralisé au niveau du Hub.

.

Cette infrastructure présente l’avantage d’une gestion centralisée de l’accès Internet et de la politique de sécurité associée.

Prérequis de configuration

Dans ce didacticiel, les réseaux privés des 3 sites sont totalement distincts (exemple : 192.168.0.0/24, 192.168.1.0/24 et 192.168.2.0/24).

Les objets réseau nécessaires ont été créés sur chacun des sites à mettre en relation:

  • l’adresse IP publique de l’IPS-Firewall Hub:Pub_FW_Hub,
  • le réseau local du site Hub: Private_Net_Hub,
  • l’adresse IP publique de l’IPS-Firewall Spoke A: Pub_FW_Spoke_A,
  • le réseau local du site Spoke A: Private_Net_Spoke_A,
  • l’adresse IP publique de l’IPS-Firewall Spoke B: Pub_FW_Spoke_B,
  • le réseau local du site Spoke B: Private_Net_Spoke_B.

 

Vous avez mis en place votre PKI :

  • Vous disposez d’une autorité de certification (CA),
  • Vous avez créé les certificats des IPS-Firewalls,
  • Vous avez importé sur les IPS-Firewalls des sites Spoke leur certificat respectif,
  • Vous avez ajouté la CA dans les autorités de confiance sur chacun des IPS-Firewalls à mettre en relation.