Créer le tunnel IPSec

Sur chacun des firewalls participant au tunnel GRETAP, dans le module Configuration > VPN VPN IPSec > onglet Politique de chiffrement - Tunnels :

  1. Cliquez sur le bouton Ajouter.
  2. Sélectionnez Tunnel site à site.
  3. Pour le champ Réseau local : sélectionnez l'interface physique portant le tunnel GRE (Firewall_out dans l'exemple).
  4. Pour le champ Réseau distant : sélectionnez un objet portant l'adresse IP publique du Firewall distant (Remote_FW dans l'exemple).
  5. Pour le champ Choix du correspondant : créez (ou sélectionnez-le s’il existe déjà) un correspondant dont la passerelle distante sera un objet portant l’adresse IP publique du Firewall distant.
  6. Cliquez sur Terminer.

NOTES
Pour plus de détails concernant la création d'un correspondant utilisant les méthodes d'authentification par clé pré-partagée ou par certificats, veuillez consulter les documents VPN IPSec - Authentification par clé pré-partagée et VPN IPSec - Authentification par certificats.

La version du protocole IKE pour ce correspondant doit être identique à :

  • Celle utilisée sur le firewall distant,
  • Celle des correspondants utilisés dans les autres règles de la politique IPSec concernée.

  1. Afin de ne pas autoriser l'établissement du tunnel IPSec pour des protocoles autres que GRE et éviter le chiffrement de flux tels que ICMP (Ping), il est conseillé de spécifier le protocole GRE dans la colonne Protocole.
    Si cette colonne n'est pas affichée, passez votre souris sur le titre d'une colonne quelconque et déroulez le menu contextuel en cliquant sur la flèche. Sélectionnez Colonnes puis cochez Protocole :
    Affichage colonne Protocol pour Tunnel site à site
  2. Pour permettre au tunnel de s'établir sans flux initial et de rester établi même lorsque le trafic s’interrompt pour une courte période, cliquez dans la colonne Keepalive et choisissez une durée (30 secondes dans l'exemple).
    La politique VPN IPSec prendra donc la forme suivante :
    Exemple de politique VPN IPsec

NOTE
Le firewall étant à l'initiative de l'émission des paquets réseau GRE, il n'est donc pas nécessaire de créer de règles de filtrage pour ce protocole.