Site à site (Gateway - Gateway)

Cet onglet va permettre de créer un tunnel VPN entre deux éléments réseaux supportant la norme IPsec. On appelle également ce type de procédé : Tunnel VPN passerelle à passerelle ou tunnel Gateway to Gateway.

Plusieurs tutoriels vous guident pas à pas pour la configuration d’une connexion sécurisée entre vos sites. Cliquez sur l'un des liens pour y accéder :

Rechercher La recherche s’effectuera sur le nom de l’objet et de ses différentes propriétés, sauf si vous avez spécifié dans les préférences de l’application de restreindre cette recherche aux noms d’objet.
Ajouter Le bouton Ajouter est détaillé dans la section suivante.
Supprimer Sélectionnez le tunnel VPN IPsec à retirer de la grille et cliquez sur ce bouton.
Monter Placer la ligne sélectionnée avant celle du dessus.
Descendre Placer la ligne sélectionnée après celle du dessous.
Couper Couper la ligne dans le but de la coller.
Copier Copier la ligne dans le but de la dupliquer.
Coller Dupliquer la ligne après l’avoir copiée.
Afficher les détails Pour faciliter la configuration du tunnel avec un équipement distant (passerelle ou client mobile), un clic sur cette icône affiche les différentes informations de la politique IPsec :
  • Résumé : type de règle, version IKE, correspondant, passerelle distante, extrémités de trafic (réseau local, réseau distant).
  • Authentification : Mode / Type (Certificat / Clé pré-partagée).
  • Profils de chiffrement (phase 1 & 2) : algorithmes, groupe Diffie-Hellman, durée de vie.

Chercher dans les logs Lorsque un nom a été attribué à la règle IPsec, un clic sur ce bouton lance la recherche du nom de la règle dans le log VPN IPsec et affiche le résultat.
Chercher dans la supervision Un clic sur ce bouton ouvre directement l'écran de supervision des tunnels IPsec (onglet Monitoring > module Supervision > Tunnels VPN IPsec).

REMARQUE
Un clic droit depuis n'importe quelle zone de la grille affiche un menu contextuel proposant les actions suivantes :

  • Ajouter,
  • Copier,
  • Couper,
  • Coller,
  • Afficher les détails,
  • Supprimer,
  • Chercher dans les logs,
  • Chercher dans la supervision.

Ajouter

Afin de réaliser la configuration du tunnel, sélectionnez la politique VPN dans laquelle vous désirez réaliser le tunnel. L’assistant de politique VPN IPsec vous aiguille alors dans la configuration.

Tunnel site à site simple

Vous allez ici définir chacune des extrémités de votre tunnel ainsi que le correspondant.

Ressources locales Machine, groupe de machines, réseau ou groupe de réseaux qui vont être accessibles via le tunnel VPN IPsec.
Choix du correspondant Ceci est l’objet correspondant à l’adresse IP publique de l’extrémité du tunnel, soit, du correspondant VPN distant.La liste déroulante affiche par défaut « None ». Vous pouvez créer un correspondant via l’option suivante ou en choisir un dans la liste de ceux qui existent déjà.
Créer un correspondant Définissez les paramètres de votre correspondant, plusieurs étapes sont nécessaires :

Étape 1 : Sélectionner la passerelle.
  1. Passerelle distante : choisissez l’objet correspondant à l’adresse IP de l’extrémité du tunnel au sein de la liste déroulante.
    Vous pouvez également en ajouter à l’aide du bouton .
  2. Nom : vous pouvez spécifier un nom pour votre passerelle ou conserver le nom d’origine du correspondant, qui sera précédé de la mention « Site_ » (« Site_<nom de l’objet> »).
    Un choix de correspondant None permet de générer des politiques sans chiffrement. L’objectif est de créer une exclusion aux règles suivantes de la politique de chiffrement. Le trafic de cette règle sera régit par la politique de routage.
  3. Version IKE : sélectionnez IKEv1 ou IKEv2 selon le version du protocole IKE utilisée par le correspondant.
  4. Cliquez sur Suivant.

Étape 2 : Identification du correspondant.
2 choix sont possibles :
  • Certificat
  • Clé pré-partagée (PSK – Pre-Shared Key).
  1. Cochez l’option voulue.
  2. Si vous optez pour le Certificat, vous devrez le sélectionner parmi ceux que vous avez créé préalablement au sein du module Certificats et PKI.
    Le certificat à renseigner ici est celui présenté par le firewall et non celui présenté par le site distant. Il est également possible d’ajouter une autorité de certification.
  3. Si vous optez pour la Clé pré partagée (PSK), il vous faudra définir le secret que partageront les deux correspondants du tunnel VPN IPsec, sous forme d’un mot de passe à confirmer dans un second champ.
    Vous pouvez Saisir la clé en caractères ASCII (chaque caractère d'un texte en ASCII est stocké dans un octet dont le 8e bit est 0.) en cochant la case correspondante.
    Décochez la case pour afficher la clé en caractères hexadécimaux (dont le principe repose sur 16 signes : les lettres de A à F et les chiffres de 0 à 9).

NOTE
Pour définir une clé pré-partagée au format ASCII suffisamment sécurisée, il est  indispensable de suivre les mêmes règles qu’un mot de passe utilisateur décrites dans la section Bienvenue, partie Sensibilisation des utilisateurs, paragraphe Gestion des mots de passe de l’utilisateur.

  1. Cliquez sur Suivant.
    L’écran vous présente une fenêtre récapitulative de la configuration effectuée, les Paramètres du site distant et la Clé pré partagée.
    Vous pouvez également ajouter un correspondant de secours en cliquant sur le lien joint. Vous devrez renseigner la passerelle distante.
  2. Cliquez sur Terminer.
Réseaux distants Machine, groupe de machines, réseau ou groupe de réseaux  accessibles via le tunnel IPsec avec le correspondant.

Séparateur (regroupement de règles )

Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée. Cela peut permettre à l’administrateur de hiérarchiser ses tunnels comme il le souhaite.