Lire attentivement avant de commencer

Ce document s'adresse tout particulièrement aux administrateurs qui utilisent une configuration IPsec existante de tunnels site à site en IKEv2, et qui souhaitent y ajouter une politique nomade IKEv2.

Les solutions basées sur IKEv2 sont en effet recommandées par l'ANSSI pour une sécurité optimale.


Si votre configuration IPsec existante contient déjà des tunnels IPsec site à site en IKEv1 et que vous souhaitez y adjoindre une politique nomade IKEv2, veuillez noter que l'utilisation de correspondants IKEv1 et IKEv2 au sein d'une même politique IPsec entraîne plusieurs restrictions ou obligations :

  • Le mode de négociation "agressif" n'est pas autorisé pour un correspondant IKEv1 avec authentification par clé pré-partagée. Un message d'erreur est affiché lors de la tentative d'activation de la politique IPsec (n'est plus supporté à partir de SNS version 4.2).
  • La méthode d'authentification "Hybride" ne fonctionne pas pour un correspondant nomade IKEv1 (n'est plus supporté à partir de SNS version 4.2).
  • Les correspondants de secours sont ignorés. Un message d'avertissement est affiché lors de l'activation de la politique IPsec (n'est plus supporté à partir de SNS version 4.2).
  • Dans une configuration mettant en œuvre du NAT-T (NAT-Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique), il est impératif de définir l'ID local du correspondant avec l'adresse IP publique translatée qu'il présente au correspondant distant lors des négociations. Cette identité doit correspondre à celle associée à la clé pré-partagée configurée pour le correspondant distant.

Nous vous recommandons dans ce cas de vous référer au tutoriel VPN IPsec mobile IKEv1 - Authentification par clé pré-partagée.

 

Date Description
11 avril 2024

Remplacement de la section Optimiser les flux liés aux tunnels et sécuriser l'authentification par PSK par la section Optimiser les flux ISAKMP lors de la négociation des tunnels IPsec et sécuriser l'authentification

Avril 2020 Nouveau document