Cas n°1 : paramétrer les sites satellites Spoke A et Spoke B
Dans une configuration de type Hub and Spoke, un site satellite ne connaît qu’un seul correspondant IPsec : le Firewall du site Hub.
Site Spoke A
En suivant la méthode décrite au paragraphe Créer les correspondants Site_Spoke_A et Site_Spoke_B, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :
- passerelledistante : le Firewall du site Hub (objet Pub_FW_Hub),
- certificat : le certificat du Firewall Spoke A.
Site Spoke B
En suivant la méthode décrite au paragraphe Créer les correspondants Site_Spoke_A et Site_Spoke_B, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :
- passerelledistante : le Firewall du site Hub (objet Pub_FW_Hub),
- certificat : le certificat du Firewall Spoke B.
Site Spoke A
En suivant la méthode décrite au paragraphe Créer les tunnels, créez les deux tunnels nécessaires :
Site Spoke B
En suivant la méthode décrite au paragraphe Créer les tunnels, créez les deux tunnels nécessaires :
Dans ce didacticiel, le trafic entre les réseaux privés n’est volontairement pas précisé (port destination : ANY). Pour des raisons d’optimisation de performances (économie de bande passante et de ressources machine), il est important d’affiner le filtrage sur les sites satellites (protocoles, ports… autorisés) afin d’éviter de laisser transiter des paquets inutiles dans les tunnels. Cette politique de filtrage sera également présente sur le site Hub.
Site Spoke A
Définissez les règles de filtrage nécessaires au dialogue entre Spoke A et Spoke B, Spoke A et Hub ainsi qu’au trafic local vers Internet :
Site Spoke B
Définissez les règles de filtrage nécessaires au dialogue entre Spoke B et Spoke A, Spoke B et Hub ainsi qu’au trafic local vers Internet:
Site Spoke A
Pour permettre l’accès à Internet des machines du réseau Private_Net_Spoke_A, créez la règle de NAT suivante :
Site Spoke B
Pour permettre l’accès à Internet des machines du réseau Private_Net_Spoke_B, créez la règle de NAT suivante :