Configuration VPN IPSec

From Cloud Avenue
Jump to navigation Jump to search

Le VPN IPSec prend en charge l'établissement d'un réseau privé virtuel entre une instance NSXEdge et des sites distants. Certains pré-requis sont nécessaires à sa mis en place :

  • Avoir un équipement compatible IPSec NSX
  • Avoir les ports suivants udp-500 (port dedié service IPSec) / udp-4500 (si derrière une adresse NAT) et ICMP ouvert

Ces flux sont normalement mis en place dans les règles de FW sur activation du service IPSEC.)

Notepad.png
À noter !
Il est nécessaire d'avoir un compte avec le rôle Organization Administrator Advanced pour mettre en place cette configuration.


Configuration du VPN IPSec

Accéder aux Services Avancées de Passerelles Edge" accessible depuis le vE
00.jpg
Activer le Service IPSec
IPSEC01.jpg
Dans la Configuration globale, il est possible de :
  • activer l'authentification par Certificat,
  • importer les certificats du serveur et/ou les certificats signés par une autorité de certification correspondants.
IPSEC02.jpg
Dans la partie Paramètres de journalisation, il est possible :
  • d'Activer la journalisation Recommandé et de les consulter depuis un serveur SYSLOG
  • de Paramétrer un Niveau de Journalisation.
IPSEC03.jpg
Dans la partie Sites VPN IPSec, on va définir la configuration des sites :

Sélectionner le bouton + pour éditer un nouveau site

IPSEC04.jpg
On va :
  • Activer le site et Activer le PFS
  • Indiquer le Nom du Site
  • Indiquer l'ID Local, il s'agit d'une IP Publique FCA
  • Le Point de terminaison local correspond à une IP de Transport en sortie de la Passerelle Edge Internet, visible dans les Paramètres de la Passerelle Edge.
  • Les Sous-réseaux locaux indiquent le(s) Subnet(s) FCA à partager au format CIDR. Utiliser la virgule entre chaque sous réseaux.
  • L' ID de l'homologue et le Point de terminaison homologue indique l'IP d'entrée du Site Distant. On l'identifie de manière identique.
  • Le Sous-réseaux homologues est le Subnet privée du Site distant.
  • On doit choisir l'algorithme de chiffrement (AES/AES256/3-DES), définir le mode d'Authentification (PSK\Certificat):
IPSEC05.jpg
Dialog-warning.png
Attention !

Sur l'équipement Distant, la configuration sera inversée.

Le Point Local doit être le Point Distant et les Sous-réseaux locaux deviendront les Sous-réseaux homologues.


Il est nécessaire également de :
  • Préciser la clé de partage entre les 2 Sites, la PSK (Pre Shared Key) Pre Shared Key,peut être une phrase, un code, alphanumérique ...etc
  • Dans le Groupe Diffie-Hellman sélectionner le shéma de chiffrement entre les 2 Sites (DH2/DH5/DH14)
  • Indiquer le Digest Algorithm (SHA1/SHA256) et le type d'Algorithme (IKEv1/IKEv2)
  • Confirmer le paramétrage en cliquant sur CONSERVER puis enregistrer la configuration au niveau de la Passerelle Edge
IPSEC06.jpg
Dans la partie Pare-feu, une règle Interne ipsec est créé (règle 4)

Ouvrir le ping si besoin de debuggage (règle 7)
Pensez également à ouvrir les flux A/R sur les 2 FW entre les réseaux interconnectés (Règle 24)

  • 213.56.106.96/27 vers 10.200.1.0/24
  • 10.200.1.0/24 vers 213.56.106.96/27
IPSEC07'.jpg
Dans la partie Statistique / VPN IPSec, vérifier l'état du canal (phase 1) et du Tunnel IPSec (phase 2)
IPSEC08.jpg


Retour au sommaire des fiches pratiques.

Retour au Catalogue de Services

Retrieved from "https://wiki.cloudavenue.orange-business.com/mediawiki/index.php?title=Configuration_VPN_IPSec&oldid=2662"