Configurer le firewall FW-LYON

Créer les objets correspondant aux LAN des sites de LILLE et LYON

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Réseau.
  4. Précisez le Nom de l'objet (LIL-LAN dans cet exemple).
  5. Saisissez son Adresse IP de réseau sous la forme "réseau/masque de réseau". Le masque de réseau peut être renseigné au format CIDR ou décimal.
  6. Cliquez sur Créer et dupliquer.
  7. Répétez les étapes 4 et 5 pour créer l'objet LYO-LAN.
  8. Cliquez sur Créer.

Créer l'objet correspondant à la passerelle / lien WAN de LYON

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Machine.
  4. Précisez le Nom de l'objet (LYO-WAN-1 dans cet exemple).
  5. Saisissez son Adresse IPv4.
  6. Cliquez sur Créer.

Définir cet objet routeur comme passerelle du firewall FW-LYON

  1. Placez-vous dans le menu Configuration > Réseau > Routage.
  2. Dans le champ Passerelle par défaut, sélectionnez l'objet machine précédemment créé (LYO-WAN-1 dans cet exemple).
  3. Cliquez sur Appliquer puis Sauvegarder.

Définir le correspondant IPsec pour le site de LILLE

Ce correspondant est de type mobile car le firewall FW-LYON ne peut pas prévoir l'adresse utilisée par le firewall FW-LILLE pour établir le tunnel.

Comme sur le firewall FW-LILLE, l'option DPD (Dead Peer Detection) doit être positionnée sur Haut afin de provoquer immédiatement la renégociation du tunnel IPsec en cas de perte du lien.

  1. Placez-vous dans le menu Configuration > VPN > VPN IPsec > onglet Correspondants.
  2. Cliquez sur Ajouter puis sur Nouveau correspondant mobile.
  3. Indiquez un nom pour ce correspondant (FW-LILLE dans l'exemple).
  4. Sélectionnez la Version IKEv2.
  5. Choisissez le Profil IKE à utiliser.
    Il doit être identique à celui utilisé sur le firewall FW-LILLE.
  6. Cliquez sur Suivant.
  7. Pour le Type d'authentification, sélectionnez Clé pré-partagée (PSK).
  8. Cliquez sur Suivant.
  9. Cliquez sur Ajouter :
    1. Pour l'Identifiant, indiquez l'adresse IP publique du premier lien WAN du site de LILLE.
      Saisissez la Clé pré-partagée et confirmez-la.
      Elle doit être identique à celle définie sur le firewall FW-LILLE.
    2. Cliquez sur Appliquer.
    3. Répétez les étapes A à C afin de définir les clés pré-partagées utilisées pour les deux autres liens WAN du site de LILLE.
      Elles doivent être identiques à celle définie sur le firewall FW-LILLE.
  10. Cliquez sur Suivant.
    Un résumé du correspondant est proposé.
  11. Cliquez sur Terminer.
    Le détail du correspondant est affiché.
  12. Vérifier que le champ Adresse locale a bien la valeur Any.
  13. Dans le cadre Configuration avancée, positionnez le champ DPD sur Haut.
    14. NOTE
    Le correspondant étant de type mobile, il est automatiquement positionné en mode Responder-only.
  14. Cliquez sur Appliquer puis sur Sauvegarder.
  15. Vous pouvez appliquer immédiatement les modifications en cliquant sur Oui, activer la politique.

Créer la politique IPsec pour établir le tunnel avec le correspondant FW-LILLE

  1. Placez-vous dans le menu Configuration > VPN > VPN IPsec > onglet Politique de chiffrement - Tunnels > onglet Mobile - Utilisateurs nomades.
  2. Cliquez sur Ajouter puis sur Nouvelle politique mobile simple.
  3. Dans le champ Ressources locales, sélectionnez l’extrémité de trafic du site de LYON (objet réseau LYO-LAN dans l'exemple).
    Il peut s'agir d'un groupe de réseaux.
  4. Dans le champ Choix du correspondant, sélectionnez le correspondant créé pour le firewall de LILLE (objet machine FW-LILLE dans l'exemple).
  5. Cliquez sur Terminer.
  6. Cliquez dans la colonne Keepalive et choisissez une durée dans le menu déroulant (600 ms dans l'exemple).
    Ce paramètre permet de maintenir le tunnel ouvert même lorsque celui-ci n'est pas utilisé.
  7. Double-cliquez dans la colonne État pour activer cette règle de la politique IPsec.
  8. Cliquez sur Appliquer puis Sauvegarder.
  9. Vous pouvez appliquer immédiatement les modifications en cliquant sur Oui, activer la politique.

Sur le firewall FW-LYON, la politique IPsec entre les sites de LYON et de LILLE est donc la suivante :

Créer la règle de filtrage pour autoriser le dialogue entre les sites de LYON et de LILLE

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
  2. Cliquez sur Nouvelle règleRègle simple.
  3. Faites un double clic dans l'une des colonnes de cette règle.
  4. Menu de gauche Général : passer l'État de la règle à On.
  5. Menu de gauche Action, onglet Général : positionnez l'Action à passer.
  6. Menu de gauche Source : sélectionnez l'objet correspondant au réseau local de LILLE ( LIL-LAN dans cet exemple).
  7. Menu de gauche Destination : sélectionnez l'objet correspondant au réseau local de LYON (LYO-LAN dans cet exemple).
  8. Menu de gauche Port / Protocole : ajoutez à la grille des Ports destination les différents objets correspondant aux ports à autoriser dans cette règle de filtrage.
  9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
  10. Cliquez sur OK.
  11. Répétez les étapes 2 à 10 avec l'objet LYO-LAN en source et l'objet LIL-LAN en destination.
  12. Cliquez sur Appliquer.