Vérifier la compatibilité d'une politique IPsec avec le mode DR

Une fois installée, la version SNS 5 ou supérieure permet d'identifier aisément les éléments de la politique IPsec compatibles avec le mode DR, et inversement, ceux nécessitant des modifications de configuration afin de les rendre compatibles.

Rendez-vous dans le module Configuration > VPN > VPN IPsec.

Onglet Profils de chiffrement

Deux profils prédéfinis, nommés DR, sont proposés par défaut. L'icône associée indique que ces profils de chiffrement IKE et IPsec sont compatibles avec le mode DR.

Vous pouvez également ajouter vos propres profils personnalisés compatibles avec le mode DR, en clonant ces profils DR prédéfinis par exemple. Ces profils seront automatiquement accompagnés de l'icône .

Onglet Correspondants

  1. Sélectionnez un correspondant.
  2. Dans le volet Configuration avancée, cochez la case Compatible mode DR pour mettre en évidence les paramètres du correspondant devant être modifiés afin de le rendre compatible avec le mode DR.

Exemple 1 : correspondant non compatible avec le mode DR.

Les paramètres à modifier sont encadrés de rouge.

Dans cet exemple, pour rendre le correspondant compatible avec le mode DR, vous devez :

  • Choisir un profil de chiffrement compatible avec le mode DR (profil prédéfini DR ou profil personnalisé compatible),
  • Changer la méthode d'authentification pour sélectionner l'authentification par certificat.

Seuls les choix compatibles avec le mode DR vous sont proposés pour modifier les valeurs de ces champs.

La sélection d'un choix compatible avec le mode DR peut entraîner l'affichage d'autres champs obligatoires. Par exemple, en modifiant la méthode Clé pré-partagée (PSK) pour la méthode Certificat, certains champs obligatoires liés à cette méthode d'authentification sont alors mis en évidence :

Vous devez dans ce cas :

  • Sélectionner le certificat présenté par le firewall local,
  • Préciser un ID de correspondant reflétant le FQDN présent dans le certificat du correspondant.

Exemple 2 : correspondant compatible avec le mode DR.

Pour ce correspondant, aucun paramètre ne nécessite de modification.

Onglet politique de chiffrement - Tunnels

Lorsqu'un correspondant est compatible avec le mode DR (case Compatible mode DR cochée et tous paramètres du correspondant compatibles), la règle IPsec associée à ce correspondant est précédée de l'icône .