Configurer le firewall FW-LILLE

Créer les objets correspondant aux LAN des sites de LILLE et LYON

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Réseau.
  4. Précisez le Nom de l'objet (LIL-LAN dans cet exemple).
  5. Saisissez son Adresse IP de réseau sous la forme "réseau/masque de réseau". Le masque de réseau peut être renseigné au format CIDR ou décimal.
  6. Cliquez sur Créer et dupliquer.
  7. Répétez les étapes 4 et 5 pour créer l'objet LYO-LAN.
  8. Cliquez sur Créer.

Créer les 3 objets correspondant aux passerelles / liens WAN de LILLE

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Machine.
  4. Précisez le Nom de l'objet (LIL-WAN-1 dans cet exemple).
  5. Saisissez son Adresse IPv4.
  6. Cliquez sur Créer et dupliquer.
  7. Répétez les étapes 4 à 6 pour créer l'objet LIL-WAN-2.
  8. Répétez les étapes 4 et 5 pour créer l'objet LIL-WAN-3.
  9. Cliquez sur Créer.

Créer l'objet correspondant au firewall FW-LYON

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Machine.
  4. Précisez le Nom de l'objet (FW-LYON dans cet exemple).
  5. Saisissez l'Adresse IPv4 publique du lien WAN du site de LYON.
  6. Cliquez sur Créer.

Créer l'objet routeur destiné à servir de route par défaut

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Routeur.

Propriétés générales

  1. Nommez l'objet (exemple : DEFAULT-ROUTER-LILLE).

Supervision

Pour obtenir plus d'informations sur les paramètre de supervision et les seuils SLA, veuillez consulter le Manuel Utilisateur SNS

  1. Pour la Méthode de détection, sélectionnez ICMP.
  2. Ajustez le Délai d'expiration (s) selon vos besoins.
  3. Ajustez l'Intervalle de tests (s) selon vos besoins.
  4. Ajustez le nombre d'Échecs avant dégradation (3 par défaut).

SLA SD-WAN (seuils)

  1. Cochez la case SLA SD-WAN (seuils).
  2. Ajustez la Latence (ms) selon vos besoins.
  3. Ajustez la Gigue (ms) selon vos besoins.
  4. Ajustez le Taux de perte de paquets (%) selon vos besoins.
  5. Ne renseignez pas de Taux d'indisponibilité (%).

Passerelles

  1. Dans l'onglet Passerelles utilisées, cliquez sur Ajouter.
  2. Dans la colonne Passerelle, sélectionnez l'objet LIL-WAN-1.
  3. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.
  4. Répétez les étapes 14 à 16 pour ajouter l'objet LIL-WAN-2.
  5. Dans l'onglet Passerelles de secours, cliquez sur Ajouter.
  6. Dans la colonne Passerelle, sélectionnez l'objet LIL-WAN-3.
  7. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.

Configuration avancée

  1. Dans le cadre Configuration avancée, sélectionnez l'option de Répartition de charge Aucune Répartition de charge.
  2. Pour l'Activation des passerelles de secours, sélectionnez l'option Lorsque toutes les passerelles sont injoignables.
  3. Cliquez sur Appliquer puis Sauvegarder.

Définir cet objet routeur comme passerelle du firewall FW-LILLE

  1. Placez-vous dans le menu Configuration > Réseau > Routage.
  2. Dans le champ Passerelle par défaut, sélectionnez l'objet routeur précédemment créé (DEFAULT-ROUTER-LILLE dans cet exemple).
  3. Cliquez sur Appliquer puis Sauvegarder.

Définir son correspondant IPsec pour le site de LYON

Ce correspondant est de type passerelle distante.

Dans cet exemple, l'authentification par clé pré-partagée est utilisée.

  1. Placez-vous dans le menu Configuration > VPN > VPN IPsec > onglet Correspondants.
  2. Cliquez sur Ajouter puis sur Nouvelle passerelle distante.
  3. Dans le champ Passerelle distante, sélectionnez l'objet correspondant à l'adresse IP publique du firewall FW-LYON (LYO-WAN-1 dans cet exemple).
  4. Indiquez un nom pour ce correspondant (FW-LYON dans l'exemple).
  5. Sélectionnez la Version IKEv2.
  6. Choisissez le Profil IKE à utiliser.
  7. Cliquez sur Suivant.
  8. Pour le Type d'authentification, sélectionnez Clé pré-partagée (PSK).
  9. Définissez la Clé pré-partagée et confirmez-la.
  10. Cliquez sur Suivant.
    Un résumé du correspondant est proposé.
  11. Cliquez sur Terminer.
    Le détail du correspondant est affiché.
  12. Vérifier que le champ Adresse locale a bien la valeur Any.
    13. NOTE
    Pour permettre l'utilisation de l'un des 3 liens WAN de FW-LILLE, le champ Adresse locale doit prendre la valeur Any.
  13. Dans le cadre Configuration avancée, positionnez le champ DPD sur Haut.
    14. NOTE
    L'option DPD (Dead Peer Detection) doit être positionnée sur Haut afin de provoquer au plus vite la renégociation du tunnel IPsec en cas de perte du lien.
  14. Validez les modifications en cliquant sur Appliquer puis sur Sauvegarder.
  15. Vous pouvez appliquer immédiatement les modifications en cliquant sur Oui, activer la politique.

Créer la politique IPsec pour établir le tunnel avec le correspondant FW-LYON

  1. Placez-vous dans le menu Configuration > VPN > VPN IPsec > onglet Politique de chiffrement - Tunnels > onglet Site à site (gateway-gateway).
  2. Cliquez sur Ajouter puis sur Tunnel site à site simple.
  3. Dans le champ Ressources locales, sélectionnez l’extrémité de trafic du site de LILLE (objet réseau LIL-LAN dans l'exemple).
    Il peut s'agir d'un groupe de réseaux.
  4. Dans le champ Choix du correspondant, sélectionnez le correspondant créé pour le firewall de LYON (objet machine FW-LYON dans l'exemple).
  5. Dans le champ Réseaux distants, sélectionnez l’extrémité de trafic du site de LYON (objet réseau LYO-LAN dans l'exemple).
    Il peut s'agir d'un groupe de réseaux.
  6. Cliquez sur Terminer.
  7. Cliquez dans la colonne Keepalive et choisissez une durée dans le menu déroulant (600 ms dans l'exemple).
    Ce paramètre permet de maintenir le tunnel ouvert même lorsque celui-ci n'est pas utilisé.
  8. Double-cliquez dans la colonne État pour activer cette règle de la politique IPsec.
  9. Cliquez sur Appliquer puis Sauvegarder pour enregistrer les modifications de configuration.
  10. Vous pouvez appliquer immédiatement les modifications en cliquant sur Oui, activer la politique.

Sur le firewall FW-LILLE, la politique IPsec entre les sites de LILLE et de LYON est donc la suivante :

Créer la règle de filtrage pour autoriser le dialogue entre les sites de LILLE et de LYON

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
  2. Cliquez sur Nouvelle règleRègle simple.
  3. Double-cliquez dans l'une des colonnes de cette règle.
  4. Menu de gauche Général : passez l'État de la règle à On.
  5. Menu de gauche Action, onglet Général : positionnez l'Action à passer.
  6. Menu de gauche Source : sélectionnez l'objet correspondant au réseau local de LYON (LYO-LAN dans cet exemple).
  7. Menu de gauche Destination : sélectionnez l'objet correspondant au réseau local de LILLE (LIL-LAN dans cet exemple).
  8. Menu de gauche Port / Protocole : ajoutez à la grille des Ports destination les différents objets correspondant aux ports à autoriser dans cette règle de filtrage.
  9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
  10. Cliquez sur OK.
  11. Répétez les étapes 2 à 10 avec l'objet LIL-LAN en source et l'objet LYO-LAN en destination.
  12. Cliquez sur Appliquer.