VPN IPSec

From Cloud Avenue
Jump to navigation Jump to search

Le VPN IPSec prend en charge l'établissement d'un réseau privé virtuel entre une instance NSXEdge et des sites distants. Certains pré-requis sont nécessaires à sa mis en place :

  • Avoir un équipement compatible IPSec NSX (un client de test libre est disponible ici: https://strongswan.org/)
  • Avoir les ports suivants udp-500 (port dedié service IPSec) / udp-4500 (si derrière une adresse NAT) et ICMP ouvert

Ces flux sont normalement mis en place dans les règles de FW sur activation du service IPSEC.)

Notepad.png
À noter !
Il est nécessaire d'avoir un compte avec le rôle Organization Administrator Advanced pour mettre en place cette configuration.


Configuration du VPN IPSec

Accéder aux Services Avancées de Passerelles Edge accessible depuis le vE
00.jpg
Activer le Service IPSec

Dans certain cas, il faut au préalable configurer la partie Sites VPN IPSec avant de pouvoir activer le service IPSec.

IPSEC01.jpg
Dans la Configuration globale, il est possible de :
  • activer l'authentification par Certificat,
  • importer les certificats du serveur et/ou les certificats signés par une autorité de certification correspondants.
IPSEC02.jpg
Dans la partie Paramètres de journalisation, il est possible :
  • d'Activer la journalisation Recommandé et de les consulter depuis un serveur SYSLOG
  • de Paramétrer un Niveau de Journalisation.

Dans certain cas, il faut au préalable configurer la partie Sites VPN IPSec avant de pouvoir activer le service IPSec.

IPSEC03.jpg
Dans la partie Sites VPN IPSec, on va définir la configuration des sites :

Cliquez sur le bouton :
Plus.jpg pour ajouter un site
Edit.jpg pour éditer un site
Monte.jpg pour supprimer un site

IPSEC04.jpg
On va :
  • Activer le site et Activer le PFS :
    • Attention, dans certains cas l'activation de PFS pose soucis pour la synchronisation de la connexion avec le client, il faudra le désactiver.
  • Indiquer le Nom du Site
  • Indiquer l'ID Local, il s'agit d'une IP Publique Cloud Avenue NUP
  • Le Point de terminaison local correspond à une IP de Transport en sortie de la Passerelle Edge Internet, visible dans les Paramètres de la Passerelle Edge.
  • Les Sous-réseaux locaux indiquent le(s) Subnet(s) Cloud Avenue NUP à partager au format CIDR. Utiliser la virgule entre chaque sous réseaux.
  • L' ID de l'homologue et le Point de terminaison homologue indique l'IP d'entrée du Site Distant. On l'identifie de manière identique.
  • Le Sous-réseaux homologues est le Subnet privée du Site distant.
  • On doit choisir l'algorithme de chiffrement (AES/AES256/3-DES), définir le mode d'Authentification (PSK\Certificat):
IPSEC05.jpg
Dialog-warning.png
Attention !

Sur l'équipement Distant, la configuration sera inversée.

Le Point Local doit être le Point Distant et les Sous-réseaux locaux deviendront les Sous-réseaux homologues.


Il est nécessaire également de :
  • Préciser la clé de partage entre les 2 Sites, la PSK (Pre Shared Key) Pre Shared Key, peut être une phrase, un code, alphanumérique etc...
  • Dans le Groupe Diffie-Hellman sélectionner le schéma de chiffrement entre les 2 Sites (DH2/DH5/DH14)
  • Indiquer le Digest Algorithm (SHA1/SHA256) et le type d'Algorithme (IKEv1/IKEv2)
  • Confirmer le paramétrage en cliquant sur CONSERVER puis enregistrer la configuration au niveau de la Passerelle Edge
IPSEC06.jpg
Dans la partie Pare-feu, une règle Interne ipsec est créé (règle 4)

Ouvrir le ping si besoin de debugger (règle 7)
Pensez également à ouvrir les flux A/R sur les 2 FW entre les réseaux interconnectés (Règle 24)

  • 213.56.106.96/27 vers 10.200.1.0/24
  • 10.200.1.0/24 vers 213.56.106.96/27
IPSEC07'.jpg
Dans la partie Statistique / VPN IPSec, vérifier l'état du canal (phase 1) et du Tunnel IPSec (phase 2)
IPSEC08'.jpg



Liens rapides : Revenir en haut de la page Bouton CDS NGP.png Bouton FAQ.png Bouton FP.png Bouton Accueil.png Bouton contact wiki.jpg

Retrieved from "https://wiki.cloudavenue.orange-business.com/mediawiki/index.php?title=VPN_IPSec&oldid=2678"