Configurer le firewall FW-PARIS

Créer les objets correspondant aux LAN des sites de PARIS et LILLE

1. Placez-vous dans le menu Configuration > Objets > Réseau.
2. Cliquez sur Ajouter.
3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Réseau.
4. Précisez le Nom de l'objet (LIL-LAN dans cet exemple).
5. Saisissez son Adresse IP de réseau sous la forme "réseau/masque de réseau". Le masque de réseau peut être renseigné au format CIDR ou décimal.
6. Cliquez sur Créer et dupliquer.
7. Répétez les étapes 4 et 5 pour créer l'objet PAR-LAN.
8. Cliquez sur Créer.

Créer les objets correspondant aux passerelles / liens WAN du site de PARIS

1. Placez-vous dans le menu Configuration > Objets > Réseau.
2. Cliquez sur Ajouter.
3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Machine.
4. Précisez le Nom de l'objet (PAR-WAN-1 dans cet exemple).
5. Saisissez son Adresse IPv4.
6. Cliquez sur Créer et dupliquer.
7. Répétez les étapes 4 et 5 pour créer l'objet PAR-WAN-2.
8. Cliquez sur Créer.

Créer les objets correspondant aux passerelles / liens WAN du site de LILLE

1. Placez-vous dans le menu Configuration > Objets > Réseau.
2. Cliquez sur Ajouter.
3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Machine.
4. Précisez le Nom de l'objet (LIL-WAN-1 dans cet exemple).
5. Saisissez l'Adresse IPv4 publique du lien WAN-1 du site de LILLE.
6. Cliquez sur Créer et dupliquer.
7. Répétez les étapes 4 à 5 pour créer l'objet LIL-WAN-2 avec l'adresse IPv4 publique du lien WAN-2 du site de LILLE.
8. Cliquez sur Créer.

Créer les objets correspondant aux interfaces IPsec virtuelles du firewall de LILLE

1. Placez-vous dans le menu Configuration > Objets > Réseau.
2. Cliquez sur Ajouter.
3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Machine.
4. Précisez le Nom de l'objet (LIL-VTI-1 dans cet exemple).
5. Saisissez l'Adresse IPv4 de l'interface IPsec virtuelle (10.255.1.1/255.255.255.252).
6. Cliquez sur Créer et dupliquer.
7. Répétez les étapes 4 à 5 pour créer l'objet LIL-VTI-2 dont l'adresse IP est 10.255.2.1/255.255.255.252 dans cet exemple.
8. Cliquez sur Créer.

Créer les interfaces IPsec virtuelles du site de PARIS

1. Placez-vous dans le menu Configuration > Réseau > Interfaces virtuelles.
2. Cliquez sur Ajouter.
3. Passez l'État de l'interface à Activée.
4. Indiquez le Nom de l'interface IPsec virtuelle (PAR-VTI-1 dans cet exemple).
5. Indiquez l'Adresse IPv4 et le masque réseau de cette interface (10.255.1.2/255.255.255.252 dans cet exemple).
6. Cliquez sur Appliquer.
7. Répétez les étapes 2 à 6 pour créer le deuxième interface IPsec virtuelle (PAR-VTI-2 et 10.255.2.2/255.255.255.252 dans cet exemple).
8. Cliquez sur le bouton Appliquer situé au bas du module pour enregistrer cette configuration.

Créer les routes de retour pour les interfaces IPsec virtuelles de FW-PARIS

1. Placez-vous dans le menu Configuration > Réseau > Routage > onglet Routes de retour IPv4.
2. Cliquez sur Ajouter.
3. Passez l'État de la route de retour à On.
4. Indiquez la Passerelle distante de cette route de retour (LIL-VTI-1 dans cet exemple).
5. Indiquez l'Interface IPsec virtuelle locale à utiliser pour cette route de retour (PAR-VTI-1 dans cet exemple).
6. Répétez les étapes 2 à 5 avec les éléments suivants :
   • Passerelle : LIL-VTI-2,
   • Interface : PAR-VTI-2.

7. Cliquez sur le bouton Appliquer situé au bas du module pour enregistrer cette configuration.

Créer les routes statiques nécessaires à l'établissement des tunnels IPsec

Il s'agit de définir une route statique vers chaque interface physique distante de telle sorte que :

• Le premier tunnel s'établisse entre les liens LIL-WAN-1 et PAR-WAN-1,
• Le second tunnel s'établisse entre les liens LIL-WAN-2 et PAR-WAN-2.

Pour ce faire :

1. Placez-vous dans le menu Configuration > Réseau > Routage > onglet Routage statique.
2. Cliquez sur Ajouter.
3. Passez l'État de la route à On.
4. Pour le Réseau de destination, sélectionnez l'objet correspondant à l'accès WAN 1 du site de LILLE (LIL-WAN-1 dans cet exemple).
5. Pour l'Interface locale devant être utilisée pour cette route, sélectionnez l'interface correspondant à l'accès WAN 1 de PARIS (WAN-1 dans cet exemple).
6. Pour la passerelle devant être utilisée pour cette route, sélectionnez l'objet PAR-WAN-1.
7. Répétez les étapes 2 à 6 avec les éléments suivants :
   • Réseau de destination : LIL-WAN-2,
   • Interface : WAN-2,
   • Passerelle : PAR-WAN-2.

8. Cliquez sur le bouton Appliquer situé au bas du module pour enregistrer cette configuration.

Ces routes statiques prennent la forme suivante :

Créer l'objet routeur à utiliser dans la route vers le LAN du site de LILLE

1. Placez-vous dans le menu Configuration > Objets > Réseau.
2. Cliquez sur Ajouter.
3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Routeur.

Propriétés générales

4. Nommez l'objet (exemple : ROUTER-PARIS-VTI-FAILOVER ou ROUTER-PARIS-VTI-LB selon l'option de routage retenue).

Supervision

5. Pour la Méthode de détection, sélectionnez ICMP.
6. Ajustez le Délai d'expiration (s) selon vos besoins.
7. Ajustez l'Intervalle de tests (s) selon vos besoins.
8. Ajustez le nombre d'Échecs avant dégradation (3 par défaut).

SLA SD-WAN (seuils)

9. Cochez la case SLA SD-WAN (seuils).
10. Ajustez la Latence (ms) selon vos besoins.
11. Ajustez la Gigue (ms) selon vos besoins.
12. Ajustez le Taux de perte de paquets (%) selon vos besoins.
13. Ne renseignez pas de Taux d'indisponibilité (%).

Passerelles

14. Dans l'onglet Passerelles utilisées, cliquez sur Ajouter.
15. Dans la colonne Passerelle, sélectionnez l'objet LIL-VTI-1.
16. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.
17. Si vous sélectionnez l'option de partage de charge : répétez les étapes 14 à 16 pour ajouter l'objet LIL-VTI-2.
18. Si vous sélectionnez l'option de redondance :
    1. Dans l'onglet Passerelles de secours, cliquez sur Ajouter.
    2. Dans la colonne Passerelle, sélectionnez l'objet LIL-VTI-2.
    3. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.

Configuration avancée

19. Dans le cadre Configuration avancée, pour la valeur du champ Répartition de charge :
    1. Selon votre besoin, sélectionnez Par connexion ou Par adresse IP source si vous avez choisi l'option de partage de charge.
    2. Sélectionnez Aucune Répartition si vous avez choisi l'option de redondance.
20. Pour l'Activation des passerelles de secours, sélectionnez l'option Lorsque toutes les passerelles sont injoignables.
IMPORTANT
Pour le champ Si aucune passerelle n'est disponible, sélectionnez Ne pas router quel que soit votre choix de routage.
Ceci évite que des flux non chiffrés ne soient envoyés vers des réseaux non protégés tels qu'Internet si aucune passerelle n'est disponible.
21. Cliquez sur Appliquer puis Sauvegarder.

Utiliser cet objet dans le routage pour joindre le LAN du site de LILLE

Cas du routage statique avec redondance

1. Placez-vous dans le menu Configuration > Réseau > Routage > onglet Routage statique.
2. Cliquez sur Ajouter.
3. Passez l'État de la route de retour à Activée.
4. Pour le Réseau de destination, sélectionnez l'objet correspondant au LAN du site de LILLE (LIL-LAN dans cet exemple).
5. Ne sélectionnez pas d'Interface.
6. Pour la passerelle devant être utilisée pour cette route, sélectionnez l'objet routeur défini avec de la redondance (ROUTER-PARIS-VTI-FAILOVER dans cet exemple).
7. Cliquez sur le bouton Appliquer situé au bas du module pour enregistrer cette configuration.

Cette route prend la forme suivante :

Cas du routage par politique avec partage de charge

1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
2. Cliquez sur Nouvelle règle > Règle simple.
3. Double-cliquez dans l'une des colonnes de cette règle.
4. Menu de gauche Général : passez l'État de la règle à On.
5. Menu de gauche Action, onglet Général :
   • Cadre Général : positionnez l'Action à passer.
   • Cadre Routage : sélectionnez l'objet routeur défini précédemment (ROUTER-PARIS-VTI-LB dans cet exemple).

6. Menu de gauche Source : faites un double-clic sur l'objet Any et remplacez-le par l'objet correspondant au réseau local du site de PARIS (PAR-LAN dans cet exemple).
7. Menu de gauche Destination : double-cliquez sur l'objet Any et remplacez-le par l'objet correspondant au réseau local du site de LILLE (LIL-LAN dans cet exemple).
8. Menu de gauche Port / Protocole : ajoutez à la grille des Ports destination les différents objets correspondant aux ports à autoriser dans cette règle de filtrage.
9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
10. Cliquez sur OK.
11. Cliquez sur Appliquer.

Cette règle de filtrage prend la forme suivante :

Définir les correspondants IPsec du site de LILLE

Ce correspondant est de type passerelle distante.

Dans cet exemple, l'authentification par clé pré-partagée est utilisée.

Pour permettre l'utilisation de l'un des deux liens WAN de FW-PARIS lors de l'initialisation du tunnel, le champ Adresse locale doit prendre la valeur Any. De même, l'option DPD (Dead Peer Detection) doit être positionnée sur Haut afin de provoquer au plus vite la renégociation du tunnel IPsec en cas de perte du lien.

1. Placez-vous dans le menu Configuration > VPN > VPN IPsec > onglet Correspondants.
2. Cliquez sur Ajouter puis sur Nouvelle passerelle distante.
3. Dans le champ Passerelle distante, sélectionnez l'objet correspondant à la première adresse IP publique du firewall FW-LILLE (LIL-WAN-1 dans cet exemple).
4. Indiquez un nom pour ce correspondant (LIL-WAN-1 dans l'exemple).
5. Sélectionnez la Version IKEv2.
6. Choisissez le Profil IKE à utiliser.
7. Cliquez sur Suivant.
8. Pour le Type d'authentification, sélectionnez Clé pré-partagée (PSK).
9. Définissez la Clé pré-partagée et confirmez-la.
10. Cliquez sur Suivant.
    Un résumé du correspondant est proposé.
11. Cliquez sur Terminer.
    Le détail du correspondant est affiché.
12. Vérifier que le champ Adresse locale a bien la valeur Any.
13. Dans le cadre Configuration avancée, positionnez le champ DPD sur Haut.
14. Cliquez sur Appliquer puis sur Sauvegarder.
15. Répétez les étapes 2 à 14 pour créer le correspondant basé sur la deuxième adresse IP publique du firewall FW-LILLE (LIL-WAN-2 dans cet exemple).
16. Vous pouvez appliquer immédiatement les modifications en cliquant sur Oui, activer la politique.

Créer la politique IPsec pour établir les tunnels avec le site de LILLE

1. Placez-vous dans le menu Configuration > VPN > VPN IPsec > onglet Politique de chiffrement - Tunnels > onglet Site à site (gateway-gateway).
2. Cliquez sur Ajouter puis sur Tunnel site à site simple.
3. Dans le champ Ressources locales, sélectionnez l’extrémité de trafic du site de PARIS : il s'agit de la première interface IPsec virtuelle de FW-PARIS (objet réseau Firewall_PAR-VTI-1 dans l'exemple).
   
4. Dans le champ Choix du correspondant, sélectionnez le premier correspondant créé pour le firewall de PARIS (objet machine LIL-WAN-1 dans l'exemple).
5. Dans le champ Réseaux distants, sélectionnez l’extrémité de trafic du site de PARIS : il s'agit de la première interface IPsec virtuelle de FW-PARIS (objet réseau LIL-VTI-1 dans l'exemple).
   
6. Cliquez sur Terminer.
7. Cliquez dans la colonne Keepalive et choisissez une durée dans le menu déroulant (600 ms dans l'exemple).
   Ce paramètre permet de maintenir le tunnel ouvert même lorsque celui-ci n'est pas utilisé.
8. Double-cliquez dans la colonne État pour activer cette règle de la politique IPsec.
9. Répétez les étapes 2 à 8 pour créer le tunnel entre LIL-VTI-2 et PAR-VTI-2.
10. Cliquez sur Appliquer puis sur Sauvegarder.
11. Vous pouvez appliquer immédiatement les modifications en cliquant sur Oui, activer la politique.

Sur le firewall FW-PARIS, la politique IPsec entre les sites de LILLE et de PARIS est donc la suivante :

Créer la règle de filtrage pour autoriser la supervision des interfaces VTI du site de LILLE

1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
2. Cliquez sur Nouvelle règle > Règle simple.
3. Double-cliquez dans l'une des colonnes de cette règle.
4. Menu de gauche Général : passez l'État de la règle à On.
5. Menu de gauche Action, onglet Général : positionnez l'Action à passer.
6. Menu de gauche Source : laissez l'objet Any proposé par défaut.
7. Menu de gauche Destination : sélectionnez les objets correspondant aux interfaces VTI du site de PARIS (LIL-VTI-1 et LIL-VTI-2 dans cet exemple).
8. Menu de gauche Port / Protocole : pour le champ Protocole IP du cadre Protocole, sélectionnez l'objet icmp.
9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
10. Cliquez sur OK.
11. Cliquez sur Appliquer.

Créer la règle de filtrage pour autoriser le dialogue entre les sites de LILLE et de PARIS

1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
2. Cliquez sur Nouvelle règle > Règle simple.
3. Double-cliquez dans l'une des colonnes de cette règle.
4. Menu de gauche Général : passer l'État de la règle à On.
5. Menu de gauche Action, onglet Général : positionnez l'Action à passer.
6. Menu de gauche Source : double-cliquez sur l'objet Any et remplacez-le par l'objet correspondant au réseau local de LILLE (LIL-LAN dans cet exemple).
7. Menu de gauche Destination : double-cliquez sur l'objet Any et remplacez-le par l'objet correspondant au réseau local de PARIS (PAR-LAN dans cet exemple).
8. Menu de gauche Port / Protocole : ajoutez à la grille des Ports destination les différents objets correspondant aux ports à autoriser dans cette règle de filtrage.
9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
10. Cliquez sur OK.
11. Répétez les étapes 2 à 10 avec l'objet PAR-LAN en source et l'objet LIL-LAN en destination.
NOTE
Cette seconde règle n'a pas besoin d'être créée si vous avez utilisé le routage par politique pour joindre le LAN de LILLE.
12. Cliquez sur Appliquer.