Créer les tunnels IPsec

Ajouter la CA dans les autorités de confiance

Dans le menu Configuration > VPN > VPN IPsec > onglet Identification :

  1. Dans le bloc Autorités de Certification Acceptées, cliquez sur Ajouter.
  2. Sélectionnez votre CA.
  3. Sauvegardez.

Créer les correspondants IPsec

Dans le menu Configuration > VPN > VPN IPsec :

  1. Sélectionnez l’onglet Correspondants.
  2. Cliquez sur Ajouter.
  3. Cliquez sur Nouveau Site distant IKEv1 ou Nouveau Site distant IKEv2 selon la version du protocole IKE utilisée.
  4. L’assistant vous invite à sélectionner la passerelle distante. Ici, il s’agit de l’adresse publique du premier Firewall distant (objet Pub_FW_Site_A).
    Par défaut, le nom du correspondant est créé en préfixant cet objet avec « Site_ »; ce nom est personnalisable.

Fenêtre d'ajout de correspondant (peer)

  1. Validez.
  2. Cochez la case Certificat.
  3. Cliquez sur la loupe du champ Certificat.
  4. Sélectionnez celui correspondant au Firewall principal.
    Le champ Autorité de confiance est automatiquement fourni par le certificat.
  5. L’assistant vous propose un résumé du correspondant que vous venez de créer.
    Cliquez sur Terminer pour fermer cette fenêtre.
  6. Cliquez à nouveau sur Terminer pour fermer l’assistant.
  7. Répétez l’ensemble de ces opérations pour la création du correspondant IPsec du site distant B.

Sélectionner la politique de chiffrement et ajouter les tunnels VPN

Dans le menu Configuration > VPN > VPN IPsec > onglet Politique de chiffrement – Tunnels :

  1. Choisissez la politique de chiffrement que vous souhaitez configurer.
  2. Vous avez la possibilité de la renommer en cliquant sur le bouton Éditer.
  3. Cliquez ensuite sur Ajouter afin de définir les tunnels IPsec.
  4. Choisissez le modèle Configuration en étoile.
    Un assistant de création se lance automatiquement.
  5. Dans le champ Réseau local, sélectionnez votre objet Private_Net_Main_Site,
  6. Dans le tableau Sites Distants, cliquer sur Ajouter pour sélectionner le premier correspondant en lui associant son réseau (Site_Pub_FW_Site_A et Private_Net_Site_A). Les correspondants peuvent être directement créés au sein de cet assistant en cliquant sur >> puis Créer un correspondant.
  7. Répétez les opérations 3 à 6 pour le second correspondant (Site_Pub_FW_Site_B et Private_Net_Site_B),

Fenêtre d'ajout de tunnel IPsec en configuration en étoile

IMPORTANT
Veillez à ne pas cocher la case Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels). Cette option empêcherait l’établissement des tunnels entre les sites distants et le site principal (elle ne peut être utilisée que dans le cadre d’une configuration de type Hub & Spoke). Si vous avez coché cette case par erreur, rendez-vous dans la fenêtre Configuration avancée du module Profils d'inspection (menu Protection applicative) et décochez la case Considérer l'(es) interface(s) IPsec comme interne(s) (s'applique à tous les tunnels - les réseaux distants devront être explicitement légitimés).

  1. Validez en cliquant sur Terminer.
    La définition des tunnels IPsec est terminée sur le site principal et les tunnels sont automatiquement activés (État à « on »).
  2. Vous pouvez désormais cliquer sur Activer cette politique.

Exemple de politique IPsec avec une configuration en étoile