IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Site à site (Gateway - Gateway)
Cet onglet va permettre de créer un tunnel VPN entre deux éléments réseaux supportant la norme IPsec. On appelle également ce type de procédé : Tunnel VPN passerelle à passerelle ou tunnel Gateway to Gateway.
Plusieurs tutoriels vous guident pas à pas pour la configuration d’une connexion sécurisée entre vos sites. Cliquez sur l'un des liens pour y accéder :
- VPN IPsec : Authentication par clé pré-partagée,
- VPN IPsec : Authentification par certificats,
- VPN IPsec : Configuration Hub and Spoke.
Le bouton Ajouter est détaillé dans la section suivante.
| Rechercher | La recherche s’effectuera sur le nom de l’objet et de ses différentes propriétés, sauf si vous avez spécifié dans les préférences de l’application de restreindre cette recherche aux noms d’objet. |
| Supprimer | Sélectionnez le tunnel VPN IPsec à retirer de la grille et cliquez sur ce bouton. |
| Monter | Placer la ligne sélectionnée avant celle du dessus. |
| Descendre | Placer la ligne sélectionnée après celle du dessous. |
| Couper | Couper la ligne dans le but de la coller. |
| Copier | Copier la ligne dans le but de la dupliquer. |
| Coller | Dupliquer la ligne après l’avoir copié. |
Ajouter
Afin de réaliser la configuration du tunnel, sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. L’assistant de politique VPN IPsec vous aiguille alors dans la configuration.
Tunnel site à site
Vous allez ici définir chacune des extrémités de votre tunnel ainsi que le correspondant.
| Choix du correspondant | Ceci est l’objet correspondant à l’adresse IP publique de l’extrémité du tunnel, soit, du correspondant VPN distant.La liste déroulante affiche par défaut « None ». Vous pouvez créer un correspondant via l’option suivante ou en choisir un dans la liste de ceux qui existent déjà. |
| Créer un correspondant IKEv1 | Définissez les paramètres de votre correspondant, plusieurs étapes sont nécessaires : Sélection de la passerelle :Passerelle distante : choisissez l’objet correspondant à l’adresse IP de l’extrémité du tunnel au sein de la liste déroulante. Vous pouvez également en ajouter à l’aide du bouton  .Nom : vous pouvez spécifier un nom pour votre passerelle ou conserver le nom d’origine du correspondant, qui sera précédé de la mention « Site_ » (« Site_<nom de l’objet> »). Un choix de correspondant None permet de générer des politiques sans chiffrement. L’objectif est de créer une exclusion aux règles suivantes de la politique de chiffrement. Le trafic de cette règle sera régit par la politique de routage. Cliquez sur Suivant.  Identification du correspondant :2 choix sont possibles, l’identification par Certificat ou par Clé pré partagée (PSK – Pre-Shared Key). Cochez l’option voulue.
Vous pouvez Saisir la clé en caractères ASCII (chaque caractère d'un texte en ASCII est stocké dans un octet dont le 8e bit est 0.) en cochant la case correspondante. Décochez la case pour afficher la clé en caractères hexadécimaux (dont le principe repose sur 16 signes : les lettres de A à F et les chiffres de 0 à 9). NOTE Cliquez sur Suivant.  Terminer la création du correspondant :L’écran vous présente une fenêtre récapitulative de la configuration effectuée, les Paramètres du site distant et la Clé pré partagée. Vous pouvez également ajouter un correspondant de secours en cliquant sur le lien joint. Vous devrez renseigner la passerelle distante.
Cliquez sur Terminer. |
| Créer un correspondant IKEv2 | Les étapes sont identiques à celles suivies pour la création d’un correspondant IKEv1. |
| Réseau local | Machine, groupe de machines, réseau ou groupe de réseaux qui vont être accessibles via le tunnel VPN IPsec. |
| Réseau distant | Machine, groupe de machines, réseau ou groupe de réseaux accessibles via le tunnel IPsec avec le correspondant. |
Configuration en étoile
Ce procédé consiste à diriger plusieurs tunnels VPN vers un même point. Il permet, par exemple, de relier des agences à un site central.
| Réseau local | Choisissez votre machine, groupe de machines, réseau ou groupe de réseaux qui sera accessible via le tunnel VPN IPsec, au sein de la liste déroulante d’objets. |
| Sites distants | Définissez les paramètres de vos sites distants : choisissez votre correspondant parmi la liste de ceux déjà créés ou cliquez sur l’icône pour en créer un nouveau, et sélectionnez les réseaux distants parmi les objets de la liste déroulante.Vous pouvez en Ajouter ou en Supprimer en cliquant sur les boutons prévus à cet effet. |
| Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels) | En cochant cette case, les interfaces IPsec deviennent des interfaces internes et donc protégées. Tous les réseaux pouvant se présenter au travers des tunnels IPsec doivent alors être légitimés et les routes statiques permettant de les joindre doivent être précisées. Dans le cas contraire, le trafic IPsec sera rejeté par le firewall. IMPORTANT |
| Créer les politiques sans chiffrement (none) pour les réseaux internes | Cette case permet de générer automatiquement des politiques sans chiffrement (none) dédiées aux réseaux internes (Network_internals vers Network_internals). Si la politique existe déjà, un message avertit que ces politiques ont déjà été créées. |
Cliquez sur Terminer.
Séparateur – regroupement de règles
Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée. Cela peut permettre à l’administrateur de hiérarchiser ses tunnels comme il le souhaite.
La grille
| Ligne | Cette colonne indique le numéro de la ligne (1,2,3…) traitée par ordre d’apparition à l’écran. |
| État | Cette colonne affiche l’état  On/ Off du tunnel. Lorsque vous en créez un, celui-ci s’active par défaut. Cliquez deux fois dessus pour le désactiver. |
|
Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec :
Ces informations sont sélectionnables, ce qui permet leur copie. |
| Réseau local | Choisissez votre machine, groupe de machines, réseau ou groupe de réseaux qui sera accessible via le tunnel VPN IPsec, au sein de la liste déroulante d’objets. |
| Correspondant | Configuration de correspondant, visible au sein de l’onglet du même nom dans le module VPN IPsec. |
| Réseau distant | Choisissez parmi la liste déroulant d’objets, votre machine, groupe de machines, réseau ou groupe de réseaux accessibles via le tunnel IPsec avec le correspondant. |
| Profil de chiffrement | Cette option permet de choisir le modèle de protection de Phase 2 associé à votre politique VPN, parmi les 3 profils pré-configurés : StrongEncryption, GoodEncryption et Mobile. Il est possible de créer ou de modifier d’autres profils au sein de l’onglet Profils de chiffrement. |
| Commentaire | Description associée à la politique VPN. |
L’option supplémentaire Keepalive permet de maintenir les tunnels montés de façon artificielle. Cette mécanique envoie des paquets initialisant et forçant le maintien du tunnel. Cette option est désactivée par défaut pour éviter une charge inutile, dans le cas de configuration contenant de nombreux tunnels, montés en même temps sans réel besoin.
Cette option n’est valide que pour les tunnels site à site. Elle est disponible en cochant la valeur Keepalive dans le menu Colonnes, apparaissant au survol de l’intitulé des colonnes de la grille.
| Keepalive | Pour activer cette option, affectez une valeur différente de 0, correspondant à l’intervalle en seconde, entre chaque envoi de paquet UDP. |
Vérification en temps réel de la politique
L’écran d’édition des règles de politique IPsec dispose d’un champ de « Vérification de la politique » (situé en dessous de la grille), qui prévient l’administrateur en cas d’incohérence ou d’erreur sur une des règles créées.