Conf VPNIPsec
Conf VPNIPsec
Conf VPNIPsec
ConfVPNIPsec 1.0 20/04/2019 VEM Lab 8 sur la mise en place d’un VPN Site-à-Site avec IPSec
Afin de configurer un tunnel VPN IPSEC site-à-site, il faut commencer par créer des profils de
chiffrement.
Configuration => VPN => VPN IPSEC => Profils de chiffrement . Les paramètres
du profil courant en surligné jaune (ici IKE Strong Encryption) s’affichent dans le volet de
droite.
1/7
Nous allons créer un nouveau profil de chiffrement pour chaque phase mais il est également
possible simplement d’utiliser les deux profils prédéfinis Strong Encryption.
1. Profil IKE Phase 1 : Diffie-Hellman (Group 14), Durée de vie maximum ( 21600 s,
algorithme d’authentification (sha 256bits) et algorithme de chiffrement (AES 256bits).
Cliquez Ajouter puis Profil de phase 1 (IKE)
Dans la zone Général, dans Commentaire saisir Phase 1, dans Diffie-Hellman saisir
DH 14 MODP Group (20148-bits)
Cliquez Enregistrer puis Sauvegarder puis Plus tard pour ne pas activer tout de suite
les changements.
2. Profil IPSEC Phase 2 : PFS (Group 14), durée de vie (3600s), algorithme
d’authentification (hmac_sha2 256bits) et algorithme de chiffrement (AES 256bits).
Dans la zone Général, dans Commentaire saisir Phase 2, dans Perfect Forward
Secrecy (PFS) saisir DH 14 MODP Group (20148-bits)
Dans la zone PROPOSITIONS choisir dans Authentification Algorithme sha2_256 force
256 bits et dans Chiffrement Algorithme AES force 256 bits, puis Enregistrer puis
Sauvegarder.
2/7
Dans la zone Profils de chiffrement par défaut choisir pour IKE (phase 1) le nouveau
profil Phase 1 pour IPsec (phase 2) le nouveau profil Phase 2 puis Enregistrer puis
Sauvegarder puis Appliquer la politique.
3. Configurez un tunnel IPsec avec une authentification par clé partagée (PSK) pour relier
votre réseau interne « 192.168.x.0/24 » à celui de l’agence voisine en utilisant les profils de
chiffrement précédemment créés. Utilisez comme clé PSK : gsb1234.
Dans le menu Configuration => VPN => VPN IPSEC => politique de chiffrement
–tunnels => site à site (gateway-gateway), cliquez Ajouter => Tunnel site à
site
Dans Réseau local indiquer votre réseau interne (objets prédéfinis Network_in ou
Network_internals qui comprend également la DMZ).
Dans Réseau distant indiquer le réseau interne de votre correspondant : LANx
Dans la zone Choix du correspondant cliquez sur le lien Créer un correspondant
Ikev2
Dans Passerelle distante indiquer l’adresse IP publique du firewall de votre
correspondant : FWx_OUT, dans Nom, par défaut le nom Site_FWx_OUT est créé, puis
Suivant.
Choisir Clé prépartagée (PSK) entrer une clé : gsb1234, la confirmer puis Suivant.
3/7
Un résumé s’affiche, cliquer Terminer.
Vérifier que les trois paramètres (Réseau local, correspondant et Réseau distant) sont
bien renseignés puis cliquer Terminer pour enregistrer la configuration.
Le tunnel VPN IPSec est ajouté sur une nouvelle ligne de la politique par défaut (1)IPSec.
La configuration n’est pas terminée, il faut utiliser les protocoles de chiffrement précédemment
configurés pour les phases 1 et 2.
Dans la zone Profil de chiffrement, le cas échéant, sélectionnez dans la liste déroulante
Phase 2 (comme nous l’avons configuré dans les profils par défaut il est déjà présent).
La sélection du profil de chiffrement pour la phase 1 s’effectue elle dans l’onglet Correspondants.
Cliquer l’onglet Correspondants, dans le volet de droite les éléments du correspondant
s’affichent.
4/7
Dans Profil IKE choisissez, le cas échéant, le profil Phase 1 (comme nous l’avons
configuré dans les profils par défaut il est déjà sélectionné)
Au niveau de la règle (1) IPsec01 cliquer Activer cette politique puis confirmer
pour activer le tunnel.
Un résumé détaillé des paramètres de configuration peut être affiché par un simple clic sur le
pictogramme représentant un œil au niveau de l’Etat on de la politique Site-à-Site. Tous les
éléments nécessaires sont affichés et vous permettront de vérifier que votre correspondant a bien
une configuration identique
Cliquer sur le pictogramme représentant un œil
5/7
Exécutez Stormshield RealTime Monitor pour inspecter l’activité du tunnel.
Générez du trafic correspondant aux extrémités de trafic (ping d’un poste client à l’autre) et
suivez les étapes de négociations des tunnels et l'activité dans les tunnels (section Tunnel
VPN depuis SN RTM).
6/7
On ne peut rentrer que via le tunnel
Avec ces deux règles il sera possible de communiquer entre les deux réseaux
Il est plus prudent d’affiner les ports autorisés entre les deux lans plutôt que de laisser Any.
7/7