Tunnels VPN IPsec

Ce module permet de visualiser les tunnels de la politiques IPsec active sur le firewall (tunnels définis à l'aide de l'interface IPsec native ou d'interfaces IPsec virtuelles).

La barre d'actions

Actualiser Ce bouton permet de rafraîchir les informations affichées dans les grilles.
Configurer le service VPN IPsec Ce lien permet d'accéder directement à la configuration du service VPN IPsec (module Configuration > VPN > VPN IPsec).

La grille « Politiques »

Les données affichées dans la grille « Politiques » sont classées suivant le type de politique :

  • Tunnels site à site,
  • Tunnels mobiles,
  • Politiques d'exception (bypass).

Ces données sont les suivantes :

Type Il s'agit du type de politique IPsec : Tunnels site à site, Tunnels mobiles et Politiques d'exception (bypass).
État Un voyant vert accompagné de la mention OK, ou rouge accompagné de la mention KO, indique l'état des tunnels de la politique concernée.
Nom de règle Nom donné à la règle IPsec (boite d'édition de la règle > Paramètres généraux > Configuration avancée > Nom).
Source Nom de l'objet correspondant au réseau local.
Adresse source Réseau des machines ayant initié le trafic traversant le tunnel IPsec sélectionné (extrémité de trafic).
Masque Masque réseau associé à l'adresse source.
Passerelle locale Nom de l'objet correspondant à la passerelle IPsec locale (extrémité locale du tunnel).
Adresse IP passerelle locale Adresse IP présentée par le firewall local pour établir le tunnel.
Local ID Identifiant (optionnel) local précisé lors de la création du correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle locale.
Passerelle distante Nom de l'objet correspondant à la passerelle IPsec distante (extrémité distante du tunnel).
Adresse IP passerelle distante Adresse IP présentée par le firewall distant pour établir le tunnel avec le firewall local.
Correspondant Nom du correspondant ayant servi à établir le tunnel.
ID du correspondant Identifiant (optionnel) attribué au correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle distante.
Extrémité de trafic distante Nom de l'objet correspondant au réseau de la machine distante avec laquelle le trafic est échangé au sein du tunnel.
Adresse distante Réseau des machines distantes dialoguant au travers du tunnel sélectionné (extrémité de trafic).
Masque réseau distant Masque réseau associé à l'adresse distante.
Politique

Type de politique IPsec. Ce champ peut prendre deux valeurs :

  • tunnel,
  • pass.
Encapsulation Protocole utilisé pour l'encapsulation des données du tunnel.
Version IKE Version (1 ou 2) du protocole IKE utilisé pour l'établissement du tunnel.
Durée de vie Durée de vie maximale du tunnel avant renégociation des clés.
Protection par PPK

Indique si l'option PPK requise a été cochée pour ce correspondant.
Les valeurs affichées possibles sont :

  • Obligatoire (option cochée),
  • Non requise (option non cochée).

Menu contextuel

Un clic droit sur les champs Type, État, Nom de la règle, Masque du réseau source, Local ID, Correspondant, ID du correspondant, Masque du réseau distant, Type de politique, Encapsulation, Version IKE ou Durée de vie donne accès aux menus contextuels suivants :

  • Accéder aux logs de cette politique IPsec,
  • Copier la ligne sélectionnée dans le presse-papier,
  • Accéder à la configuration de cette politique IPsec,
  • Accéder à la configuration de ce correspondant.

Un clic droit sur les champs Passerelle locale, Adresse IP de la passerelle locale, Passerelle distante ou Adresse IP de la passerelle distante donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans la vue "Tous les journaux",
  • Afficher les détails de la machine,
  • Placer cet objet en liste noire (pour 1 minute, pour 5 minutes, pour 30 minutes ou pour 3 heures),
  • Accéder aux logs de cette politique IPsec,
  • Copier la ligne sélectionnée dans le presse-papier,
  • Accéder à la configuration de cette politique IPsec,
  • Accéder à la configuration de ce correspondant.

Un clic droit sur les champs Source, Adresse de la source, Extrémité de trafic distante ou Adresse distante donne accès aux menus contextuels suivants :

  • Rechercher cette valeur dans la vue "Tous les journaux",
  • Afficher les détails de la machine,
  • Placer cet objet en liste noire (pour 1 minute, pour 5 minutes, pour 30 minutes ou pour 3 heures),
  • Accéder aux logs de cette politique IPsec,
  • Copier la ligne sélectionnée dans le presse-papier,
  • Ajouter la machine à la base Objet et / ou l'ajouter dans un groupe,
  • Accéder à la configuration de cette politique IPsec,
  • Accéder à la configuration de ce correspondant.

Détails complémentaires d'un tunnel

La sélection d'une ligne de tunnel permet l'affichage de détails complémentaires dans les grilles suivantes :

  • Associations de sécurité (SA) IKE,
  • Associations de sécurité (SA) IPsec.

La grille « Associations de sécurité (SA) IKE »

Nom de règle Nom (optionnel) donné à la règle VPN IPsec correspondant au tunnel établi.
Pour rappel, ce nom permet une recherche dans les logs IPsec des événements liés au tunnel.
IKE Indique la version du protocole IKE pour le tunnel concerné.
Passerelle locale Nom de l'objet correspondant à la passerelle locale (extrémité locale du tunnel).
Adresse passerelle locale Adresse IP présentée par la passerelle locale pour établir le tunnel IPsec concerné.
Passerelle distante Nom de l'objet correspondant à la passerelle distante (extrémité distante du tunnel).
Adresse passerelle distante Adresse IP présentée par la passerelle distante pour établir le tunnel IPsec concerné.
État Indique l'état de la SA IKE (exemple: established).
Rôle Rôle de la passerelle locale dans l'établissement du tunnel (initiator ou responder).
Cookie initiateur Marqueur d'identité temporaire de l'initiateur de la négociation.
Exemple : « 0xae34785945ae3cbf ».
Cookie réception Marqueur d'identité temporaire du correspondant de la négociation.
Exemple : « 0x56201508549a6526 ».
Local ID Identifiant (optionnel) local précisé lors de la création du correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle locale.
ID du correspondant Identifiant (optionnel) attribué au correspondant. Si rien n'est précisé, il s'agit de l'adresse IP de la passerelle distante.
NAT-T Indique si le NAT-T (Nat Traversal - Passage du protocole IPsec au travers d'un réseau réalisant de la translation d'adresses dynamique) est activé pour ce tunnel.
Authentification Algorithme d’authentification utilisé pour la phase IKE du tunnel.
Chiffrement Algorithme de chiffrement utilisé pour la phase IKE du tunnel.
PRF PseudoRandom Function négociée et utilisée pour la dérivation des clés.
DH Profil Diffie-Hellman utilisé pour le tunnel.
Durée de vie Durée de vie écoulée de la SA (Security Association) IKE pour le tunnel concerné.

La grille « Associations de sécurité (SA) IPsec »

État Indique l'état de la SA IPsec (exemple: installed / rekeying).
Passerelle locale Nom de l'objet correspondant à la passerelle locale (extrémité locale du tunnel).
Passerelle distante Nom de l'objet correspondant à la passerelle distante (extrémité distante du tunnel).
Octets entrants Quantité de données (en octets) ayant transité dans le tunnel à destination de l'extrémité locale de trafic.
Octets sortants Quantité de données (en octets) ayant transité dans le tunnel à destination de l'extrémité distante de trafic.
Chiffrement Algorithme de chiffrement utilisé pour la phase IPsec du tunnel.
Authentification Algorithme d'authentification utilisé pour la phase IPsec du tunnel.
Durée de vie écoulée Durée de vie écoulée de la SA IPsec pour le tunnel concerné.
ESN

Indique si l'option ESN (Extended Sequence Number) est activée.

Cette option n'est disponible que pour IKEv2.
Encapsulation UDP

Indique si l'encapsulation UDP des paquets ESP est activée.

Cette encapsulation est automatiquement forcée lorsque le mode DR est activé (Configuration > Système > Configuration > onglet Configuration Générale > Activer le mode "Diffusion Restreinte (DR)").
Sur un firewall non configuré en mode DR, cette option est activable à l'aide du jeton natt=<auto|force> des commandes CLI / Serverd CONFIG.IPSEC.PEER.NEW et CONFIG.IPSEC.PEER.UPDATE.

Pour plus de détails sur ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.