DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site
Topologie réseau Internet Interface wan 209.219.109.92 Interface wan 209.219.109.93 Interface Lan 192.168.1.1 Interface Lan 192.168.2.1 Lan 1 192.168.1.0/24 Lan 2 192.168.2.0/24
Configuration du firewall du Lan 1 Etape 1 : Loguez-vous dans l interface de configuration de votre firewall via votre navigateur Internet. Dans notre exemple nous utilisons l adresse par défaut 192.168.1.1: Entrer le nom d utilisateur ainsi que le mot de passe. Etape 2 : Allez dans Objects > Address Book. Cliquez sur Add sélectionnez Adress Folder que nous nommerons «vpn-firewall-lan2»
Etape 3 : Spécifiez les paramètres du réseau distant du tunnel VPN. Sous Name entrez «reseau_lan2». Sous IP Address entrez le réseau correspondant ainsi que le bon bit pour le masque de sous réseau. Dans notre exemple Lan 2 : 192.168.2.0/24. Ajoutez une autre IP Address pour l adresse IP publique de Lan 2. Sous Name entrez IP-publique_Lan2. Sous IP Address entrez l adresse IP publique du site de Lan 2 (ici 202.219.109.93).
Etape 4 : Allez dans Objects > Authentication Objects. Cliquez sur Add et sélectionnez Pre-Shared Key. Entrez les paramètres de la Pre-Shared key pour votre tunnel VPN. Sous Name entrez «cleffirewall_lan2». Sous Shared Secret sélectionnez le type de clef que vous voulez utiliser. Dans notre exemple nous avons choisi d utiliser une clef ASCII (Passphrase). Notez que vous devrez utiliser la même clef dans la configuration du second firewall.
Etape 5 : Allez dans Interfaces > IPSec Tunnels. Cliquez sur Add puis sur IPSec Tunnel. Entrez les paramètres du tunnel IPSec. Sous Name entrez «Tunnel-IPSec_Lan2» Sous Local Network choisissez «Lannet» (c est le réseau local du coté du firewall dont vous paramétrez le tunnel IPSec). Sous Remote Network choisissez «reseau_lan2». Sous Remote Endpoint choisissez «IP-publique_Lan2» Le mode d encapsulation devra être Tunnel. Sous Algorithms choisissez un algorithme IKE et un autre IPSec. Dans notre exemple nous avons «High» comme paramètre. Vous pouvez vous-même ajouter vos algorithmes de cryptage pour les phase IKE et IPSec puis les choisir.
Cliquer sur l onglet Authentication puis cochez la case Pre-shared Key si l authentification se fait de cette manière ou alors X 509 Certificate si vous utilisez un certificat. Dans notre cas nous utiliserons une Pre-Shared Key. Dans le menu déroulant nous choisirons notre clef. Si le port wan du firewall est configuré en PPPoE, modifiez le métrique du tunnel en cliquant sur l onglet Advanced et choisir 80 autrement ne rien modifier.
Etape 6 : Allez dans Rules > IP Rules. Cliquez sur Add puis sur IP Rule Folder. Nous nommons ce dossier «vpn-lan1_to_lan2»
Vous devez créer deux règles : Une règle de communication du réseau Lan1 vers le réseau Lan2 au travers de l interface tunnel IPSec Une règle de communication du réseau Lan2 au travers de l interface tunnel IPSec vers le réseau Lan1.
A la fin de la configuration cliquez sur Configuration > Save and Activate pour sauvegarder et activer votre paramétrage. Puis OK pour valider.
Configuration du Firewall du lan 2 Les étapes de configuration du firewall du Lan 2 sont identiques à celle du firewall du Lan 1. La seule exception sera l adresse du réseau distant et la dresse IP publique du site distant. Il est à noté que le subnet réseau sera différent de celui du site du firewall 1. Etape 1 : Loguez-vous dans l interface de configuration de votre firewall via votre navigateur Internet. Dans notre exemple nous utilisons l adresse par défaut 192.168.1.1: Entrer le nom d utilisateur ainsi que le mot de passe. Etape 2 : Allez dans Objects > Address Book. Cliquez sur Add sélectionnez Adress Folder que nous nommerons «vpn-firewall-lan1. Etape 3 : Spécifiez les paramètres du réseau distant du tunnel VPN. Sous Name entrez «reseau_lan1». Sous IP Address entrez le réseau correspondant ainsi que le bon bit pour le masque de sous réseau. Dans notre exemple Lan 1 : 192.168.1.0/24. Ajoutez une autre IP Address pour l adresse IP publique de Lan 1. Sous Name entrez IP-publique_Lan1. Sous IP Address entrez l adresse IP publique du site de Lan 1 (ici 202.219.109.92). Etape 4 : Allez dans Objects > Authentication Objects. Cliquez sur Add et sélectionnez Pre-Shared Key. Entrez les paramètres de la Pre-Shared key pour votre tunnel VPN. Sous Name entrez «cleffirewall_lan1». Sous Shared Secret sélectionnez le type de clef que vous voulez utiliser. Dans notre exemple nous avons choisi d utiliser une clef ASCII (Passphrase). Notez que vous devrez utiliser la même clef dans la configuration du second firewall.
Etape 5 : Allez dans Interfaces > IPSec Tunnels. Cliquez sur Add puis sur IPSec Tunnel. Entrez les paramètres du tunnel IPSec. Sous Name entrez «Tunnel-IPSec_Lan1» Sous Local Network choisissez «Lannet» (c est le réseau local du coté du firewall dont vous paramétrez le tunnel IPSec). Sous Remote Network choisissez «reseau_lan1». Sous Remote Endpoint choisissez «IP-publique_Lan1» Le mode d encapsulation devra être Tunnel. Sous Algorithms choisissez un algorithme IKE et un autre IPSec. Dans notre exemple nous avons «High» comme paramètre. Vous pouvez vous-même ajouter vos algorithmes de cryptage pour les phase IKE et IPSec puis les choisir. Cliquer sur l onglet Authentication puis cochez la case Pre-shared Key si l authentification se fait de cette manière ou alors X 509 Certificate si vous utilisez un certificat. Dans notre cas nous utiliserons une Pre-Shared Key. Dans le menu déroulant nous choisirons notre clef. Attention : Si le port wan du firewall est configuré en PPPoE, modifiez le métrique du tunnel en cliquant sur l onglet Advanced et choisir 80 autrement ne rien modifier. Etape 6 : Allez dans Rules > IP Rules. Cliquez sur Add puis sur IP Rule Folder. Nous nommons ce dossier «vpn-lan2_to_lan1»
Vous devez créer deux règles : Une règle de communication du réseau Lan2 vers le réseau Lan1 au travers de l interface tunnel IPSec Une règle de communication du réseau Lan1 au travers de l interface tunnel IPSec vers le réseau Lan 2. A la fin de la configuration cliquez sur Configuration > Save and Activate pour sauvegarder et activer votre paramétrage. Puis OK pour valider. Votre Tunnel est configuré. Vos ne pourrez pas faire un Ping sur l adresse IP privé du firewall, mais sur un des PC du réseau dist.ant
La gamme de sécurité professionnelle NetDefend