Cas n°2 : paramétrer les sites satellites Spoke A et Spoke B
Dans une configuration de type Hub and Spoke, un site satellite ne connaît qu’un seul correspondant IPsec : le Firewall du site Hub.
Site Spoke A
En suivant la méthode décrite au paragraphe Créer les correspondants Site_Spoke_A et Site_Spoke_B du Cas n°1, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :
- passerelledistante : le Firewall du site Hub (objet Pub_FW_Hub),
- certificat : le certificat du Firewall Spoke A.
Site Spoke B
En suivant la méthode décrite au paragraphe Créer les correspondants Site_Spoke_A et Site_Spoke_B du Cas n°1, créez le correspondant Site_FW_Hub en utilisant les valeurs suivantes :
- passerelledistante : le Firewall du site Hub (objet Pub_FW_Hub),
- certificat : le certificat du Firewall Spoke B.
Site Spoke A
Suivez la méthode décrite dans le paragraphe Créer les tunnels du Cas n°1 pour définir le VPN suivant :
Site Spoke B
Suivez la méthode décrite dans le paragraphe Créer les tunnels du Cas n°1 pour définir le VPN suivant :
Dans ce didacticiel, le trafic entre les réseaux privés n’est volontairement pas précisé (port destination : ANY). Pour des raisons d’optimisation de performances (économie de bande passante et de ressources machine), il est important d’affiner le filtrage sur les sites satellites (protocoles, ports… autorisés) afin d’éviter de laisser transiter des paquets inutiles dans les tunnels. Cette politique de filtrage sera également présente sur le site Hub.
Site Spoke A
Définissez les règles de filtrage nécessaires au dialogue entre Spoke A et Spoke B, Spoke A et Hub ainsi qu’au trafic vers Internet (centralisé sur Hub) :
Site Spoke B
Définissez les règles de filtrage nécessaires au dialogue entre Spoke B et Spoke A, Spoke B et Hub ainsi qu’au trafic vers Internet (centralisé sur Hub) :