[Stormshield] : Configurer un VPN IPSec site-à-site

Dans cet article, je vous propose une méthode d’interconnexion de sites distants à travers Internet grâce au protocole IPSec sur les UTM Stormshield. Pour les besoins du lab, l’infrastructure réseau a été virtualisée, l’UTM Stormshield est une version « virtual appliance ».

Schéma d’infrastructure

Dans ce lab, nous avons un site principal appelé « Headquarter » et un site distant appelé « Remote Office ». Les deux sites possèdent un accès à Internet. L’objectif est d’interconnecter ces deux sites géographiquement distants. Pour ce faire, nous utiliserons le protocole IPSec pour connecter ces deux sites à travers Internet. Les UTM stormshield, situés en tête de pont des réseaux, seront utilisés pour réaliser cette connexion et gérer le routage entre les différents réseaux.

 

Plan d’adressage

Ci-dessous vous retrouverez le plan d’adressage choisi pour les besoins du lab :

Type de réseauHeadquarterRemote Office 1
Production192.168.100.0/24192.168.200.0/24
Management192.168.101.0/24192.168.201.0/24
Web192.168.102.0/241921.168.202.0/24
IP publique172.19.136.50172.19.136.33

 

Menu de configuration

– Accédez au menu de configuration du VPN, Configuration > VPN > VPN IPSec :

 

Correspondant

– Créez un nouveau site distant IKEv2, VPN IPSec > Correspondants > Ajouter > Nouveau site distant IKEv2 :

 

– Créez un nouveau correspondant (ici il va falloir créer un nouvel objet machine qui correspond au pare-feu du Remote Office), cliquez sur l’icône pour créer la passerelle distante :

Passerelle distante => pare-feu distant (SG-Remote-office => 172.19.136.33)

 

– Sélectionnez l’identification par clé pré-partagée, il est conseillé d’utiliser une clé assez longue et complexe :

Cette clé sera utilisée par les deux passerelles de sécurité (pare-feux) pour s’identifier mutuellement, par conséquent elle doit identique sur chacune et unique pour chaque connexion.

 

– Reproduisez les mêmes manipulations sur le Remote-Office, en adaptant les informations.

Chiffrement

– Accédez aux paramètres de Profil de chiffrement, laisser les paramètres des sécurité par défaut, ces paramètres sont recommandés par l’ANSSI (soit StrongEncryption) :

Les paramètres de sécurité (algorithme d’authentification, de chiffrement, le D-H et le lifetime= doivent être strictement identiques pour les deux phases sur les deux pare-feux lorsque le protocole IKEv2 est utilisé.

 

Tunnel site-à-site

– Ajoutez un tunnel site à site :

 

– Sur chaque passerelle, créez pour un nouvel objet « Réseau » pour chaque réseau distant :

 

– Reproduisez les manipulations précédentes sur le Headquarter, en adaptant les informations.

 

Lorsque vous voulez connecter plusieurs réseaux locaux à plusieurs réseaux distants, voici ce qu’il se passe

      • une seule phase 1 est montée ;
      • autant de phases 2 sont montées, qu’il y a de réseaux à connecter

 

Règles de filtrage

– Créez de nouvelles règles de filtrage autorisant les flux depuis le réseau local vers le réseau distant et inversement :

 

– Vérifiez si les tunnels sont montés, Supervision > Supervision des tunnels VPN IPSec :

 

Pour que les tunnels soient montés, il faut que des flux transitent, lancer un ping du réseau local vers le réseau distant pour initier le tunnel.

N.B : L’état des tunnels sont également disponibles sur Real Time Monitor > Tunnel VPN.

2 Thoughts to “[Stormshield] : Configurer un VPN IPSec site-à-site”

  1. X.Pierre

    Bonjour,
    J’ai 2 sites distants, sur le premier site un LAN en 192.168.10.0/24 et un LAN en 192.168.50.0/24 sur le port 3 et le port 4 de mon Stormshield, et sur le second site un LAN 192.168.2.0/24
    IP SEC fonctionne entre le LAN 192.168.10.0 ET 192.168.2.0 mais ne fonctionne pas entre le 192.168.50.0 et le 192.168.2.0
    Faut-il que je créé un second LAN sur le second site pour que ça fonctionne? Peut-on mettre sur le même LAN source vers un LAN différent plusieurs tunnel IPSEC?

    1. Bonjour,
      Désolé pour ma réponse tardive. Tu peux tout à fait faire communique un réseau local avec plusieurs réseaux distants.
      1) As-tu créer un second tunnel ayant comme réseau local 192.168.50.0 et réseau distant 192.168.2.0 sur ton Stormshield sur le premier site, et inversement sur le deuxième ?
      2) As-tu créer la règle de filtrage qui va bien pour que ton réseau local communique avec ton réseau distant ?
      3) Pour établir la phase 2 du tunnel, lance un ping depuis ton réseau 192.168.50.0 vers 192.168.2.0 ou inversement.

Laisser un commentaire