Paramétrer le site central (Hub)

Les tunnels dans lesquels transitent les flux sont définis par des interfaces virtuelles IPsec.

Vous devez donc créer une interface virtuelle IPsec locale permettant de définir les extrémités locale et distante du tunnel. Dans l'exemple, cette interface est nommée tunnel_to_spoke. Les extrémités de tunnel sont définies par des objets réseau (VTI_local_spoke et VTI_remote_spoke dans l'exemple).

Créer l'interface virtuelle IPsec locale

Vous devez créer l'interface virtuelle IPsec permettant de définir le tunnel.

  1. Rendez-vous dans Configuration > Réseau > Interfaces virtuelles et sélectionnez l'onglet Interfaces IPsec (VTI).

  2. Cliquez sur Ajouter.

  3. Renseignez les champs suivants :

    • Nom : tunnel_to_spoke dans l'exemple,

    • Adresse IP : 172.16.50.1 dans l'exemple,

    • Masque réseau : la valeur par défaut est un masque de type 255.255.255.252 (le masque est laissé à sa valeur par défaut dans l'exemple).

      Configuration des VTI locales sur le Hub

Créer les extrémités locale et distante du tunnel

Les interfaces virtuelles du Spoke sont définies à l'aide d'objets réseau. Elles sont utilisées comme passerelles au sein des objets routeur du Hub et servent à la définition des tunnels IPsec. Vous devez définir les objets réseau qui correspondent aux extrémités locale et distante du tunnel avec le Spoke.

  1. Rendez-vous dans Configuration > Objets > Réseau.

  2. Cliquez sur Ajouter et sélectionnez Machine dans le bandeau de gauche.

  3. Configurez l'objet réseau correspondant à l'extrémité locale du tunnel en renseignant les champs suivants :

    • Nom de l'objet : VTI_local_spoke dans l'exemple,

    • Adresse IPv4 : 172.16.50.1 dans l'exemple,

    • Adresse MAC : vous pouvez indiquer une adresse MAC,

    • Commentaire : vous pouvez saisir un commentaire libre.

  4. Cliquez sur Créer et dupliquer pour finaliser la création de l'objet et créer le suivant.

  5. Configurez l'objet réseau correspondant à l'extrémité distante du tunnel avec les valeurs indiquées ci-dessous.

    • Nom de l'objet : VTI_remote_spoke dans l'exemple,

    • Adresse IPv4 : 172.16.50.2 dans l'exemple.

  6. Cliquez sur Créer pour finaliser la création de l'objet et fermer l'assistant.

    Extrémités des tunnels sur le Hub

Configurer le routage

Le routage du Hub doit être configuré afin de permettre aux flux d'atteindre leur destination. Pour cela, vous devez créer un objet réseau correspondant au réseau local du Spoke et définir le routage.

Créer un objet réseau

Vous devez créer un objet réseau correspondant au réseau local du Spoke.

  1. Rendez-vous dans Configuration > Objets > Réseau.

  2. Cliquez sur Ajouter et sélectionnez Réseau dans le bandeau de gauche.

  3. Renseignez les champs suivants :

    • Nom de l'objet : NET_spoke dans l'exemple,

    • Adresse IP de réseau : 192.168.2.0/24 dans l'exemple,

    • Commentaire : vous pouvez ajouter un commentaire libre.

  4. Cliquez sur Créer pour finaliser la création de l'objet et fermer l'assistant.

Définir le routage

Vous devez définir le routage des flux vers le réseau local du Spoke.

  1. Rendez-vous dans Configuration > Réseau > Routage et sélectionnez l'onglet Routes statiques IPv4.

  2. Cliquez sur Ajouter.

  3. Renseignez les champs suivants :

    • Réseau de destination : NET_spoke dans l'exemple,

    • Plan d'adressage : 192.168.2.0/24 dans l'exemple,

    • Passerelle : VTI_remote_spoke dans l'exemple,

    • Commentaire : vous pouvez saisir un commentaire libre.

      Configuration de la route statique depuis le hub vers le réseau du spoke

Créer le correspondant IPsec dynamique (ou anonyme)

Afin que le Hub soit en mesure d'identifier précisément le Spoke, vous devez créer le correspondant spoke. Vous pouvez le créer soit en utilisant la méthode d'authentification par certificat (recommandé), soit en suivant la méthode d'authentification par clé pré-partagée (PSK).

Créer le correspondant avec la méthode d'authentification par certificat (recommandé)

  1. Rendez-vous dans Configuration > VPN > VPN IPsec > onglet Correspondants.

  2. Cliquez sur Ajouter.

  3. Choisissez Nouveau correspondant mobile. Un assistant s'affiche, vous invitant à sélectionner la passerelle distante.

  4. Choisissez Any.

  5. Renseignez le nom du correspondant. Par défaut, son nom est préfixé en "mobile_", ce nom est personnalisable (spoke dans l'exemple). Validez.

  6. Sélectionnez la version IKEv2 comme version IKE et cliquez sur Suivant.

  7. Sélectionnez le type d'authentification par Certificat.

  8. Dans le menu déroulant Certificat, sélectionnez le certificat qui sera présenté par le Hub pour établir le tunnel avec son correspondant mobile et cliquez sur Suivant.

  9. Dans la fenêtre qui s'ouvre et résume les paramètres du correspondant, vérifiez les informations puis cliquez sur Terminer.

  10. Dans la zone Identification, renseignez les champs suivants :

    • Local ID (optionnel) : il s'agit de l'identifiant local précisé lors de la création du correspondant. Si vous renseignez ce champ, vous devez indiquer la même valeur dans le champ ID du correspondant sur le Spoke.

    • ID du correspondant (optionnel) : il s'agit de l'identifiant attribué au correspondant. Il est recommandé de le spécifier afin d'identifier formellement le correspondant mobile et d'y associer la bonne politique IPsec lors de la négociation du tunnel. Si vous renseignez ce champ, vous devez indiquer la même valeur dans le champ Local ID sur le Spoke.

  11. Cliquez sur Appliquer pour valider la création du correspondant.

    Authentification du correspondant par certificat

Créer le correspondant avec la méthode d'authentification par clé pré-partagée (PSK)

  1. Rendez-vous dans Configuration > VPN > VPN IPsec > onglet Correspondants.

  2. Cliquez sur Ajouter.

  3. Choisissez Nouveau correspondant mobile. Un assistant s'affiche, vous invitant à sélectionner la passerelle distante.

  4. Choisissez Any.

  5. Par défaut le nom du correspondant est créé en préfixant cet objet avec "mobile_", ce nom est personnalisable (spoke dans l'exemple). Validez.

  6. Sélectionnez la méthode d'authentification par Clé pré-partagée (PSK).

  7. Dans la zone Identification, renseignez les champs suivants :

    • Local ID (optionnel) : il s'agit de l'identifiant local précisé lors de la création du correspondant. Si vous renseignez ce champ, vous devez indiquer la même valeur dans le champ ID du correspondant sur le Spoke.

    • ID du correspondant (optionnel) : il s'agit de l'identifiant attribué au correspondant. Il est recommandé de le spécifier afin d'identifier formellement le correspondant et d'y associer la bonne politique IPsec lors de la négociation du tunnel. Si vous renseignez ce champ, vous devez indiquer la même valeur dans le champ Local ID sur le Spoke.

    • Clé pré-partagée : cliquez sur le bouton Éditer et saisissez dans les champs Clé pré-partagée et Confirmer une clé complexe qui sera échangée entre le Hub et le Spoke afin d'établir le tunnel IPsec.
      Pour définir une clé pré-partagée suffisamment sécurisée :

      • Respectez une longueur minimale de 15 caractères,

      • Utilisez des majuscules, minuscules, chiffres et caractères spéciaux,

      • Ne basez pas votre clé sur un mot du dictionnaire.

  8. Cliquez sur Appliquer.

    Authentification du correspondant par PSK

Configurer la politique VPN IPsec

Vous devez définir les règles de la politique de chiffrement qui s'appliquera aux flux.

  1. Rendez-vous dans Configuration > VPN > VPN IPsec > onglet Politique de chiffrement - tunnels > onglet Mobile - Utilisateurs nomades.

  2. Cliquez sur Ajouter puis sélectionnez Nouvelle politique mobile simple.

  3. Sélectionnez spoke comme Choix du correspondant.

  4. Pour le champ Réseau local, sélectionnez l'objet VTI_local_spoke.

  5. Pour le champ Réseau distant, sélectionnez l'objet VTI_remote_spoke.

  6. Activez la politique en positionnant le curseur d'État sur On.

    Politique de chiffrement VPN IPsec

Vous avez terminé la configuration du Hub et pouvez poursuivre la procédure par la configuration du Spoke.