Prérequis
Cette section présente les prérequis nécessaires pour configurer chacun des firewalls de l'architecture présentée.
Les adresses IP 198.51.100.0/24 et 203.0.113.0/24 utilisées dans cette note technique pour représenter les adresses IP publiques des firewalls sont réservées pour la documentation conformément à la RFC 5737.
Conditions et limitations
Ce cas d'usage est supporté selon les conditions et limitations suivantes :
-
Vous utilisez une des versions de firmware SNS 4.3, SNS 4.8 ou SNS 5
-
Vous utilisez le protocole IKEv2,
-
Vous utilisez le protocole DHCP.
Configuration du réseau et de la PKI
Vous avez configuré au préalable votre réseau et optionnellement votre PKI afin que les différents sites puissent communiquer via leurs interfaces physiques.
Configuration du réseau
Configuration réseau du Hub :
-
Interface WAN : 198.51.100.1/24,
-
Interface LAN : 192.168.1.1/24,
-
Route par défaut : GW_default (198.51.100.254).
Configuration réseau du Spoke :
-
Interface WAN : 203.0.113.59/24 (DHCP),
-
Interface LAN : 192.168.2.1/24,
-
Route par défaut : Firewall_WAN_router.
Configuration de la PKI (optionnel)
Vous pouvez choisir de configurer l'authentification des correspondants IPsec par certificat ou par clé pré-partagée (PSK).
Nous vous recommandons l'authentification par certificat.
Dans ce cas, vous devez avoir mis en place votre PKI :
-
Vous avez créé l'autorité de certification (CA) et les certificats des firewalls sur le Hub,
-
Vous avez exporté le certificat de la CA et l'identité du Spoke (certificat et clé privée) puis vous les avez importés dans la PKI du Spoke,
-
Vous avez ajouté la CA dans les autorités de confiance sur chacun des firewalls à mettre en relation.
Configuration de la PKI du Hub
Configuration de la PKI du Spoke
NOTE
Pour des raisons de sécurité, nous vous recommandons de supprimer la clé privée générée sur le Hub dès lors que l'identité (spoke.stormshield.lab dans l'exemple) a été exportée et importée dans la PKI du Spoke.
