Dans cet article, je vous propose une méthode d’interconnexion de sites distants à travers Internet grâce au protocole IPSec sur les UTM Stormshield. Pour les besoins du lab, l’infrastructure réseau a été virtualisée, l’UTM Stormshield est une version « virtual appliance ».
Sommaire
Schéma d’infrastructure
Dans ce lab, nous avons un site principal appelé « Headquarter » et un site distant appelé « Remote Office ». Les deux sites possèdent un accès à Internet. L’objectif est d’interconnecter ces deux sites géographiquement distants. Pour ce faire, nous utiliserons le protocole IPSec pour connecter ces deux sites à travers Internet. Les UTM stormshield, situés en tête de pont des réseaux, seront utilisés pour réaliser cette connexion et gérer le routage entre les différents réseaux.
Plan d’adressage
Ci-dessous vous retrouverez le plan d’adressage choisi pour les besoins du lab :
| Type de réseau | Headquarter | Remote Office 1 |
|---|---|---|
| Production | 192.168.100.0/24 | 192.168.200.0/24 |
| Management | 192.168.101.0/24 | 192.168.201.0/24 |
| Web | 192.168.102.0/24 | 1921.168.202.0/24 |
| IP publique | 172.19.136.50 | 172.19.136.33 |
Menu de configuration
– Accédez au menu de configuration du VPN, Configuration > VPN > VPN IPSec :
Correspondant
– Créez un nouveau site distant IKEv2, VPN IPSec > Correspondants > Ajouter > Nouveau site distant IKEv2 :
– Créez un nouveau correspondant (ici il va falloir créer un nouvel objet machine qui correspond au pare-feu du Remote Office), cliquez sur l’icône 
pour créer la passerelle distante :
Passerelle distante => pare-feu distant (SG-Remote-office => 172.19.136.33)
– Sélectionnez l’identification par clé pré-partagée, il est conseillé d’utiliser une clé assez longue et complexe :
Cette clé sera utilisée par les deux passerelles de sécurité (pare-feux) pour s’identifier mutuellement, par conséquent elle doit identique sur chacune et unique pour chaque connexion.
– Reproduisez les mêmes manipulations sur le Remote-Office, en adaptant les informations.
Chiffrement
– Accédez aux paramètres de Profil de chiffrement, laisser les paramètres des sécurité par défaut, ces paramètres sont recommandés par l’ANSSI (soit StrongEncryption) :
Les paramètres de sécurité (algorithme d’authentification, de chiffrement, le D-H et le lifetime= doivent être strictement identiques pour les deux phases sur les deux pare-feux lorsque le protocole IKEv2 est utilisé.
Tunnel site-à-site
– Ajoutez un tunnel site à site :
– Sur chaque passerelle, créez pour un nouvel objet « Réseau » pour chaque réseau distant :
– Reproduisez les manipulations précédentes sur le Headquarter, en adaptant les informations.
Lorsque vous voulez connecter plusieurs réseaux locaux à plusieurs réseaux distants, voici ce qu’il se passe
- une seule phase 1 est montée ;
- autant de phases 2 sont montées, qu’il y a de réseaux à connecter
Règles de filtrage
– Créez de nouvelles règles de filtrage autorisant les flux depuis le réseau local vers le réseau distant et inversement :
– Vérifiez si les tunnels sont montés, Supervision > Supervision des tunnels VPN IPSec :
Pour que les tunnels soient montés, il faut que des flux transitent, lancer un ping du réseau local vers le réseau distant pour initier le tunnel.
N.B : L’état des tunnels sont également disponibles sur Real Time Monitor > Tunnel VPN.
Bonjour,
J’ai 2 sites distants, sur le premier site un LAN en 192.168.10.0/24 et un LAN en 192.168.50.0/24 sur le port 3 et le port 4 de mon Stormshield, et sur le second site un LAN 192.168.2.0/24
IP SEC fonctionne entre le LAN 192.168.10.0 ET 192.168.2.0 mais ne fonctionne pas entre le 192.168.50.0 et le 192.168.2.0
Faut-il que je créé un second LAN sur le second site pour que ça fonctionne? Peut-on mettre sur le même LAN source vers un LAN différent plusieurs tunnel IPSEC?
Bonjour,
Désolé pour ma réponse tardive. Tu peux tout à fait faire communique un réseau local avec plusieurs réseaux distants.
1) As-tu créer un second tunnel ayant comme réseau local 192.168.50.0 et réseau distant 192.168.2.0 sur ton Stormshield sur le premier site, et inversement sur le deuxième ?
2) As-tu créer la règle de filtrage qui va bien pour que ton réseau local communique avec ton réseau distant ?
3) Pour établir la phase 2 du tunnel, lance un ping depuis ton réseau 192.168.50.0 vers 192.168.2.0 ou inversement.