[Stormshield] : Configurer un VPN IPSec site-à-site

Dans cet article, je vous propose une méthode d’interconnexion de sites distants à travers Internet grâce au protocole IPSec sur les UTM Stormshield. Pour les besoins du lab, l’infrastructure réseau a été virtualisée, l’UTM Stormshield est une version « virtual appliance ».

Schéma d’infrastructure

Dans ce lab, nous avons un site principal appelé « Headquarter » et un site distant appelé « Remote Office ». Les deux sites possèdent un accès à Internet. L’objectif est d’interconnecter ces deux sites géographiquement distants. Pour ce faire, nous utiliserons le protocole IPSec pour connecter ces deux sites à travers Internet. Les UTM stormshield, situés en tête de pont des réseaux, seront utilisés pour réaliser cette connexion et gérer le routage entre les différents réseaux.

 

Plan d’adressage

Ci-dessous vous retrouverez le plan d’adressage choisi pour les besoins du lab :

Type de réseauHeadquarterRemote Office 1
Production192.168.100.0/24192.168.200.0/24
Management192.168.101.0/24192.168.201.0/24
Web192.168.102.0/241921.168.202.0/24
IP publique172.19.136.50172.19.136.33

 

Menu de configuration

– Accédez au menu de configuration du VPN, Configuration > VPN > VPN IPSec :

 

Correspondant

– Créez un nouveau site distant IKEv2, VPN IPSec > Correspondants > Ajouter > Nouveau site distant IKEv2 :

 

– Créez un nouveau correspondant (ici il va falloir créer un nouvel objet machine qui correspond au pare-feu du Remote Office), cliquez sur l’icône pour créer la passerelle distante :

Passerelle distante => pare-feu distant (SG-Remote-office => 172.19.136.33)

 

– Sélectionnez l’identification par clé pré-partagée, il est conseillé d’utiliser une clé assez longue et complexe :

Cette clé sera utilisée par les deux passerelles de sécurité (pare-feux) pour s’identifier mutuellement, par conséquent elle doit identique sur chacune et unique pour chaque connexion.

 

– Reproduisez les mêmes manipulations sur le Remote-Office, en adaptant les informations.

Chiffrement

– Accédez aux paramètres de Profil de chiffrement, laisser les paramètres des sécurité par défaut, ces paramètres sont recommandés par l’ANSSI (soit StrongEncryption) :

Les paramètres de sécurité (algorithme d’authentification, de chiffrement, le D-H et le lifetime= doivent être strictement identiques pour les deux phases sur les deux pare-feux lorsque le protocole IKEv2 est utilisé.

 

Tunnel site-à-site

– Ajoutez un tunnel site à site :

 

– Sur chaque passerelle, créez pour un nouvel objet « Réseau » pour chaque réseau distant :

 

– Reproduisez les manipulations précédentes sur le Headquarter, en adaptant les informations.

 

Lorsque vous voulez connecter plusieurs réseaux locaux à plusieurs réseaux distants, voici ce qu’il se passe

      • une seule phase 1 est montée ;
      • autant de phases 2 sont montées, qu’il y a de réseaux à connecter

 

Règles de filtrage

– Créez de nouvelles règles de filtrage autorisant les flux depuis le réseau local vers le réseau distant et inversement :

 

– Vérifiez si les tunnels sont montés, Supervision > Supervision des tunnels VPN IPSec :

 

Pour que les tunnels soient montés, il faut que des flux transitent, lancer un ping du réseau local vers le réseau distant pour initier le tunnel.

N.B : L’état des tunnels sont également disponibles sur Real Time Monitor > Tunnel VPN.

10 Thoughts to “[Stormshield] : Configurer un VPN IPSec site-à-site”

  1. X.Pierre

    Bonjour,
    J’ai 2 sites distants, sur le premier site un LAN en 192.168.10.0/24 et un LAN en 192.168.50.0/24 sur le port 3 et le port 4 de mon Stormshield, et sur le second site un LAN 192.168.2.0/24
    IP SEC fonctionne entre le LAN 192.168.10.0 ET 192.168.2.0 mais ne fonctionne pas entre le 192.168.50.0 et le 192.168.2.0
    Faut-il que je créé un second LAN sur le second site pour que ça fonctionne? Peut-on mettre sur le même LAN source vers un LAN différent plusieurs tunnel IPSEC?

    1. Bonjour,
      Désolé pour ma réponse tardive. Tu peux tout à fait faire communique un réseau local avec plusieurs réseaux distants.
      1) As-tu créer un second tunnel ayant comme réseau local 192.168.50.0 et réseau distant 192.168.2.0 sur ton Stormshield sur le premier site, et inversement sur le deuxième ?
      2) As-tu créer la règle de filtrage qui va bien pour que ton réseau local communique avec ton réseau distant ?
      3) Pour établir la phase 2 du tunnel, lance un ping depuis ton réseau 192.168.50.0 vers 192.168.2.0 ou inversement.

  2. Zaho

    Bonjour,
    j’ai suivis votre tuto sur deux stormshiel N160, j’ai un LAN-local et Lan-remonte avec WAN-1 et WAN-2.
    Mon problème, il semble qu’il n’y pas de vpn-ipsec monter en place, j’ai vérifier partout mais rien. Est-ce qu’il y a d’autre configuration ou activation de service vpn à faire?
    Merci

  3. Le_facteur_100

    Bonjour,
    J’ai un SN500 qui est configuré(il marchait très bien toute l’année dernière) depuis un mois nous avons des lignes passant par ce SN500 qui ne fonctionnent plus je voudrais simplement redémarrer le SN500 via l’IHM, savez ou se trouve cette commande?
    Ou bien dois je nécessairement faire un OFF/ON?
    Cordialement

    1. Bonjour,
      Connectez-vous à l’IHM. Dans le menu Système > Maitenance. Cliquez sur l’onglet Configuration > Redémarrer ou Arrêter.
      Cordialement.

  4. LOUKKAS

    Bonjour,

    Sans le cas où un routeur s’intercalerait entre deux Stormshield reliés par un tunnel IPsec quelles serait le correspondant? L’adresse IP du routeur ou toujours celle de l’interface publique du Stormshield? J’imagine que c’est l’IP publique du Stormshield car c’est avec ce dernier qu’est initié la phase 1 et 2.

    Merci de ton éclairage

  5. LOUKKAS

    Bonjour,

    Dans le cas où on intercalerait un routeur entre deux stormshields reliés par un tunnel IPsec, quel serait le correspondant IKev? le routeur ou le stormshield de l’autre côté? J’imagine que c’est le stormshield car c’est avec lui qu’est initié la phase 1 et 2 ?

    Merci de ton éclairage

    1. Bonjour,
      Si le stormshield ne porte pas l’IP publique, ton correspondant IKE sera l’équipement qui porte l’IP publique. Sur ton routeur qui porte l’IP publique, il faudra ajouter une redirection des flux 500 et 4500 en UDP. Mais il faudra ajouter l’IP privée dans l’identifiant local & distant du correspondant (on parle de NAT-T).
      Si le stormshield porte l’IP publique, pas besoin de redirection ni de renseigner un identifiant du correspondant.

  6. LOUKKAS

    Bonjour,

    Tu ne fais pas allusion au routage dans la configuration de tes tunnels. Est-ce qu’on peut s’en passer? Dans le cas où on rajoute des routes statiques entre sites distant en plus des tunnels est-ce que cela pourrait perturber l’établissement des tunnels?

    Encore merci

    1. Bonjour,
      En fonction de votre configuration IPSec (via plusieurs phases ou vti) le routage s’appliquera de manière différente.
      Si vous configurer vos tunnels IPSec avec plusieurs phases, alors le boîtier effectuera le routage tout seul.
      En revanche, si vous configurez vos tunnels IPSec via des VTI, il est recommandé de renseigner les routes statiques des réseaux distants que vous souhaitez joindre (en utilisant comme passerelle votre VTI distante).

Laisser un commentaire