Lire attentivement avant de commencer

Ce document s'adresse tout particulièrement aux administrateurs qui utilisent une configuration IPsec existante de tunnels site à site en IKEv2, et qui souhaitent y ajouter une politique nomade IKEv2.

Les solutions basées sur IKEv2 sont en effet recommandées par l'ANSSI pour une sécurité optimale.

Si votre configuration IPsec existante contient déjà des tunnels IPsec site à site en IKEv1 et que vous souhaitez y adjoindre une politique nomade IKEv2, veuillez noter que l'utilisation de correspondants IKEv1 et IKEv2 au sein d'une même politique IPsec entraîne plusieurs restrictions ou obligations :

• Le mode de négociation "agressif" n'est pas autorisé pour un correspondant IKEv1 avec authentification par clé pré-partagée. Un message d'erreur est affiché lors de la tentative d'activation de la politique IPsec.
• La méthode d'authentification "Hybride" ne fonctionne pas pour un correspondant nomade IKEv1.
• Les correspondants de secours sont ignorés. Un message d'avertissement est affiché lors de l'activation de la politique IPsec.
• L'algorithme d'authentification "non_auth" n'est pas supporté pour un correspondant IKEv1. Dans un tel cas, la politique IPsec ne peux pas être activée.
• Dans une configuration mettant en œuvre du NAT-T (NAT-Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique), il est impératif de définir l'adresse IP translatée comme identifiant d'un correspondant utilisant l'authentification par clé pré-partagée et pour lequel un ID local sous la forme d'une adresse IP aurait été forcé.

Nous vous recommandons dans ce cas de vous référer au tutoriel VPN IPsec mobile IKEv1 - Authentification par clé pré-partagée.