[Stormshield] : Configurer un VPN IPSec site-à-site

Dans cet article, je vous propose une méthode d’interconnexion de sites distants à travers Internet grâce au protocole IPSec sur les UTM Stormshield. Pour les besoins du lab, l’infrastructure réseau a été virtualisée, l’UTM Stormshield est une version « virtual appliance ».

Schéma d’infrastructure

Dans ce lab, nous avons un site principal appelé « Headquarter » et un site distant appelé « Remote Office ». Les deux sites possèdent un accès à Internet. L’objectif est d’interconnecter ces deux sites géographiquement distants. Pour ce faire, nous utiliserons le protocole IPSec pour connecter ces deux sites à travers Internet. Les UTM stormshield, situés en tête de pont des réseaux, seront utilisés pour réaliser cette connexion et gérer le routage entre les différents réseaux.

 

Plan d’adressage

Ci-dessous vous retrouverez le plan d’adressage choisi pour les besoins du lab :

Type de réseauHeadquarterRemote Office 1
Production192.168.100.0/24192.168.200.0/24
Management192.168.101.0/24192.168.201.0/24
Web192.168.102.0/241921.168.202.0/24
IP publique172.19.136.50172.19.136.33

 

Menu de configuration

– Accédez au menu de configuration du VPN, Configuration > VPN > VPN IPSec :

 

Correspondant

– Créez un nouveau site distant IKEv2, VPN IPSec > Correspondants > Ajouter > Nouveau site distant IKEv2 :

 

– Créez un nouveau correspondant (ici il va falloir créer un nouvel objet machine qui correspond au pare-feu du Remote Office), cliquez sur l’icône pour créer la passerelle distante :

Passerelle distante => pare-feu distant (SG-Remote-office => 172.19.136.33)

 

– Sélectionnez l’identification par clé pré-partagée, il est conseillé d’utiliser une clé assez longue et complexe :

Cette clé sera utilisée par les deux passerelles de sécurité (pare-feux) pour s’identifier mutuellement, par conséquent elle doit identique sur chacune et unique pour chaque connexion.

 

– Reproduisez les mêmes manipulations sur le Remote-Office, en adaptant les informations.

Chiffrement

– Accédez aux paramètres de Profil de chiffrement, laisser les paramètres des sécurité par défaut, ces paramètres sont recommandés par l’ANSSI (soit StrongEncryption) :

Les paramètres de sécurité (algorithme d’authentification, de chiffrement, le D-H et le lifetime= doivent être strictement identiques pour les deux phases sur les deux pare-feux lorsque le protocole IKEv2 est utilisé.

 

Tunnel site-à-site

– Ajoutez un tunnel site à site :

 

– Sur chaque passerelle, créez pour un nouvel objet « Réseau » pour chaque réseau distant :

 

– Reproduisez les manipulations précédentes sur le Headquarter, en adaptant les informations.

 

Lorsque vous voulez connecter plusieurs réseaux locaux à plusieurs réseaux distants, voici ce qu’il se passe

      • une seule phase 1 est montée ;
      • autant de phases 2 sont montées, qu’il y a de réseaux à connecter

 

Règles de filtrage

– Créez de nouvelles règles de filtrage autorisant les flux depuis le réseau local vers le réseau distant et inversement :

 

– Vérifiez si les tunnels sont montés, Supervision > Supervision des tunnels VPN IPSec :

 

Pour que les tunnels soient montés, il faut que des flux transitent, lancer un ping du réseau local vers le réseau distant pour initier le tunnel.

N.B : L’état des tunnels sont également disponibles sur Real Time Monitor > Tunnel VPN.

5 Thoughts to “[Stormshield] : Configurer un VPN IPSec site-à-site”

  1. X.Pierre

    Bonjour,
    J’ai 2 sites distants, sur le premier site un LAN en 192.168.10.0/24 et un LAN en 192.168.50.0/24 sur le port 3 et le port 4 de mon Stormshield, et sur le second site un LAN 192.168.2.0/24
    IP SEC fonctionne entre le LAN 192.168.10.0 ET 192.168.2.0 mais ne fonctionne pas entre le 192.168.50.0 et le 192.168.2.0
    Faut-il que je créé un second LAN sur le second site pour que ça fonctionne? Peut-on mettre sur le même LAN source vers un LAN différent plusieurs tunnel IPSEC?

    1. Bonjour,
      Désolé pour ma réponse tardive. Tu peux tout à fait faire communique un réseau local avec plusieurs réseaux distants.
      1) As-tu créer un second tunnel ayant comme réseau local 192.168.50.0 et réseau distant 192.168.2.0 sur ton Stormshield sur le premier site, et inversement sur le deuxième ?
      2) As-tu créer la règle de filtrage qui va bien pour que ton réseau local communique avec ton réseau distant ?
      3) Pour établir la phase 2 du tunnel, lance un ping depuis ton réseau 192.168.50.0 vers 192.168.2.0 ou inversement.

  2. Zaho

    Bonjour,
    j’ai suivis votre tuto sur deux stormshiel N160, j’ai un LAN-local et Lan-remonte avec WAN-1 et WAN-2.
    Mon problème, il semble qu’il n’y pas de vpn-ipsec monter en place, j’ai vérifier partout mais rien. Est-ce qu’il y a d’autre configuration ou activation de service vpn à faire?
    Merci

  3. Le_facteur_100

    Bonjour,
    J’ai un SN500 qui est configuré(il marchait très bien toute l’année dernière) depuis un mois nous avons des lignes passant par ce SN500 qui ne fonctionnent plus je voudrais simplement redémarrer le SN500 via l’IHM, savez ou se trouve cette commande?
    Ou bien dois je nécessairement faire un OFF/ON?
    Cordialement

    1. Bonjour,
      Connectez-vous à l’IHM. Dans le menu Système > Maitenance. Cliquez sur l’onglet Configuration > Redémarrer ou Arrêter.
      Cordialement.

Laisser un commentaire